GDPR: защита прав граждан или борьба за контроль информации
С каждым годом границы нашей приватности всё больше стираются, а свободу выбора в том виде, в каком мы её понимаем ожидают трудные коррективы. В мире, где многие государства уже планируют переложить оценку надёжности граждан на алгоритмы и социальные рейтинги, данные о каждом из нас приобретают особую ценность, а их защита неизбежно сопровождается занятными примерами регулирования.
Одной из таких попыток, о которой за последние недели стало известно практически каждому активному пользователю сети, стал европейский регламент по защите персональных данных GDPR. Наверняка уже заметили, как на почту начали сыпаться сообщения об обработке ваших данных, а на многих сайтах появились предупреждения по обновлению политик безопасности. Да, Европа наконец ушла от прежней директивы защиты данных, которую ввиду её «мягкости и беззубости» игнорировали практически все.
В отличие от российского закона о персональных данных, европейский регламент так или иначе задевает любую информацию, позволяющую даже косвенно установить личность. Это не только привычные ФИО, номер телефона и пр., но и полюбившиеся корпорациям cookie-файлы (данные которые отправляются нашими устройствами при открытии сайтов), собранные сведения статистики, рекламы и т.д.
Конечно, в свете появления информации о том, какие данные о пользователях собирает тот же Facebook (покупки на сторонних сайтах, метаданные фотографий, имена и типы файлов на устройстве, ближайшие точки доступа к сети, частоту взаимодействия с друзьями), можно понять власти. Они реагируют на вызовы времени и пытаются обеспечить защиту прав своих граждан. Но только ли это их цель?
Практически все структуры, с которыми мы взаимодействуем каждый день уже собирают и анализируют наши личные данные. Тогда как прозрачность и приватность вполне уместно отнести к основам демократии, сегодня здесь прослеживается очевидный перекос. Прозрачность, позволяющая вести контроль за госорганами часто оказывается фикцией, однако приватность в защите нас и нашей свободы от государства тает прямо на глазах.
Несмотря на то что правила GDPR, в отличие от прежнего регулирования содержат приличное количество оценочных категорий, неких принципов-подходов, всё как обычно будет упираться в последующую детализацию правоприменительной практики. При этом действовать регламент будет иначе, чем до боли знакомый пакет поправок Яровой-Озерова. В ЕС разумных ограничений на хранение данных для бизнеса более чем достаточно.
Предназначение GDPR в определённом смысле попытка обуздать американские корпорации, которые с завидным постоянством проявляют сомнительную практику работы с данными пользователей своих сервисов. Ведь правовые нормы стран ЕС и без принятия унифицированного регламента обеспечивали защиту данных, а значит «нормы-принципы» GDPR очень кстати (в конкурентной борьбе, оказании давления, постепенному выдавливанию с рынка).
Персональные данные — «нефть нашего времени», и в случае невозможности иметь рычаги давления на корпорации сегодня, завтра доминирование может быть потеряно. Правила регламента обсуждались около 5 лет, времени для подготовки инфраструктуры и обновления политик безопасности было предостаточно. Жаль лишь то, что нормы General Data Protection Regulation во многом неоднозначны, а их реализация на практике (как это для нас привычно) — будет обуславливаться последующими шагами регулирующих органов.
Для бизнеса, действовавшего по принципу получения максимума сведений о пользователях, GDPR станет значительной проблемой, да и возможные миллионные оборотные штрафы послужат той ещё «мотивацией». В ближайшие годы новые правила игры будут в стадии «притирки», так как большая часть регуляторов Евросоюза, по данным Reuters, не готовы к новому закону (не имеют финансирования и реальных полномочий по контролю).
Занятно и то, что принципы регулирования защиты персональных данных в нашем законодательстве во многом опирались на теперь уже устаревшую директиву Евросоюза, а значит весьма вероятно дожидаться новшеств и у нас. Когда и забот заметно прибавится, и уровень защиты данных при этом практически не повысится...