Новые правила вступили в силу практически сразу после скандала, связанного с политикой конфиденциальности Facebook, и можно предположить, что одно вытекает из другого, но на самом деле это просто совпадение.

Для конечного пользователя изменится не так много, по крайней мере, в ближайшее время. Компании будут по-прежнему собирать и анализировать персональные данные, полученные со смартфонов, приложений и сайтов. Изменится лишь то, что теперь им придется объяснять клиентам, для чего они собирают и используют информацию. Применять данные для других целей, за исключением указанных, им запрещено. У регуляторов Евросоюза появились новые полномочия, чтобы наказывать компании, которые не сообщают своим клиентам об операциях с личными данными.

Кого затронули изменения после 25 мая?

С 25 мая 2018 вместо разных законов в каждой отдельной стране Европы теперь существует единый регламент для всего ЕС. Новые правила применяются ко всем гражданам 28 стран Евросоюза и компаниям вне зависимости от их местоположения, которые собирают, анализируют и используют данные европейских пользователей. Регламент повлияет и на гигантов вроде Facebook и Google, и на малые предприятия США, чья деятельность предполагает контакты с европейскими клиентами.

Что говорится в новых правилах?

Прежде всего, компании должны понятно объяснить своим пользователем, как именно происходит сбор и обработка персональных данных. При этом деятельность компании может никак не поменяться, но политика конфиденциальности должна быть пересмотрена для соответствия новым требованиям.

Регламент приводит несколько вариантов того, как компании могут объяснить обработку и использование персональных данных. Некоторые из них очевидны: например, когда заемщик выплачивает долг, его данные могут потребоваться для принуждения к выполнению контрактных обязательств. Для других целей, например, таргетинг, компании обязаны получать согласие пользователей.

Существует также несколько неопределенная категория под названием «законные интересы». Как объяснил Дэвид Мартин, старший юрисконсульт европейской группы потребителей, она допускает обработку персональных данных без согласия клиентов, но только в том случае, если польза от этого перевешивает потенциальные угрозы конфиденциальности.

Компании также обязаны предоставлять пользователям Евросоюза доступ к личным данным и инструменты для их удаления, а также запрещать их обработку. Кроме этого, компании должны уточнить, каков срок хранения пользовательских данных.

Также регламент обязывает компании ликвидировать обнаруженные проблемы безопасности в течение 72 часов. Насколько это выполнимо на практике, сложно сказать: ранее Yahoo потребовалось более 2 лет, чтобы выявить и устранить нарушения в системе безопасности, в результате которого пострадали 3 миллиарда пользователей.

Что изменилось для компаний, базирующихся вне Евросоюза?

Google, Twitter, Facebook и некоторые другие крупные компании расположены в Кремниевой Долине (США), однако в Европе у них есть миллионы пользователей, и поэтому соблюдать новые требования им придется тоже. За нарушение регламента полагается штраф в размере до 2 миллионов евро (24 миллиона долларов США) или 4% от годового дохода компании. Предполагается, что огромные штрафы станут стимулом для юридических лиц серьезно относиться к нововведениям.

Что изменилось для пользователей, проживающих вне Евросоюза?

Компании, размещенные на территории Евросоюза, должны заботиться о конфиденциальности всех своих пользователей, а не только граждан ЕС. Однако в правилах просто говорится, что регламент применяется к «субъектам данных, входящих в ЕС». Формулировка звучит расплывчато, она не объясняет, как правила повлияют на гостей Евросоюза. Эйлид Калландер из лондонской группы Privacy International говорит, что многие вопросы будут уточняться в процессе судебных разбирательств.

Ясно одно: если ранее в отсутствие четкого регулирования компании принимали молчание пользователя за согласие на сбор данных, такое поведение в новых условиях будет считаться неприемлемым.

Глобальные двойные стандарты?

Среди ведущих технологических компаний Microsoft - одна из немногих, кто делает все возможное, чтобы соблюдать права пользователей во всем мире. Однако, согласно новым правилам, компании, находящиеся за пределами ЕС, не будут подвергаться наказанию за несоблюдение прав пользователей, также проживающих вне ЕС. Простыми словами, если США и другие страны не будут соблюдать на своих территориях новый регламент о конфиденциальности, им ничего за это не будет. Вполне вероятно, что многие фирмы (особенно мелкие) будут придерживаться двойных стандартов конфиденциальности – один для пользователей из ЕС, другой для своих местных.

Генеральный директор Facebook Марк Цукерберг упомянул о введении «глобальных настроек и контроля» в социальной сети, однако весьма расплывчато ответил на вопрос о том, смогут ли американские пользователи также категорично запрещать использование их личных данных, как европейцы: «Я не уверен, что мы сможем в ближайшее время реализовать нужны изменения».