Под угрозой все. Вообще все
Бытует мнение, что сочинение законов, которые нарушают практически все – это изобретение нашей Родины. Но, как и со слонами, всё не так однозначно: при изучении General Data Protection Regulation (GDPR) я понял, что в этом мы безнадёжно отстали от Европы. Шутка ли – завиноватить одним махом весь мир! Думаете, вашей компании не предстоит прогибаться под GDPR? Я развею это опасное заблуждение.
В этой статье я не буду описывать все закорючки GDPR, знакомство с которыми первым делом порождает вопрос «А нельзя ли просто забанить всех европейцев?» (и это не шутка, так и спрашивают), но сосредоточусь на запугивании тех, кто до сих пор не исследовал вопрос влияния GDPR на свою работу, априори полагая, что находятся вне зоны поражения.
Я технарь (program manager), поэтому пересказываю положения GDPR в применении к техническим аспектам, а не бумажному оформлению. И хотя я не юрист со специализацией на европейском праве, но потратил прорву времени на изучение GDPR и вполне разбираюсь в том, что пишу:
- читал сам закон;
- участвовал в семинаре по нему;
- читал официальные разъяснения к нему;
- читал частные мнения по поводу;
- читал судебную практику, из которой выросли некоторые новые положения этого закона;
- обсуждал всё это с нашим юристом-швейцарцем;
- и т.д.
В целом на погружение в тему ушло больше двух месяцев.
И такое «непрофильное» использование технического специалиста в данной ситуации неизбежно – многие опасные места в продуктах или инфраструктуре не обнаружит никакой юрист, только технарь, одновременно хорошо ориентирующийся в технических решениях и понимающий GDPR.
Итак, почему я утверждаю, что GDPR накрывает практически всех?
Три аспекта:
- Расширенная география действия.
- Расширенное толкование понятия персональных данных.
- Под ударом и «контроллер», и «процессор». (Кто это?!)
Рассмотрим подробнее:
Расширенная география действия
GDPR применяется к обработке, осуществляемой организациями, действующими в ЕС.
Кто расположен в Европе – те давно в курсе. Но формулировки GDPR распространяют влияние намного шире:
Это также относится к организациям за пределами ЕС, которые предлагают товары или услуги частным лицам в ЕС / гражданам ЕС (независимо от того, требуется ли оплата).
У вашего бесплатного сервиса существует английская версия и регистрация пользователей (хотя бы только e-mail)? Поздравляю – вы влипли. Те, кто активно продаёт свои продукты и сервисы на европейском рынке – те уже знают про GDPR, а вот для бесплатных проектов это может быть сюрпризом. Так же сюрприз подстерегает тех, кто на европейском рынке как таковом не действует активно, но по факту часто обслуживает граждан Евросоюза (граждан, где бы они ни находились!). А так же тех, кто может быть обвинён в направленности на европейцев по формальным признакам – достаточно перевести сайт на один из языков Евросоюза (английский, например) и принимать оплату в Евро (например, через какую-нибудь мультивалютную платёжную систему).
Это также относится к организациям за пределами ЕС, которые отслеживают поведение, происходящее в границах ЕС.
А это вишенка на торте – её подлость я раскрою чуть позже.
Расширенное толкование понятия персональных данных
Но даже если никакой регистрации пользователей нет – знаете ли вы, что именно GDPR теперь определяет как персональные данные?
Физические лица могут быть связаны с онлайн-идентификаторами, предоставляемыми их устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола, идентификаторы файлов cookie или другие идентификаторы, такие как теги радиочастотной идентификации. Это может оставить следы, которые, в частности, в сочетании с уникальными идентификаторами и другой информацией, полученной серверами, могут использоваться для создания профилей физических лиц и их идентификации.
Опаньки! Особенно интересно становится, когда понимаешь, что адреса интернет-протокола (internet protocol addresses) в GDPR – это привычные нам IP адреса (IP addresses). Многие толкователи сего священного манускрипта, не мудрствуя лукаво, просто заносят IP адреса в список персональных данных, чем вызывают страшные пожары у технарей – такая трактовка не совсем верна, но довольно часто совпадает с правильным ответом.
Итак, в GDPR персональными данными объявляется не только информация, прямо идентифицирующая или позволяющая идентифицировать физическое лицо, но и та информация, которая, в совокупности с другой имеющейся или доступной информацией, с разумной вероятностью может быть использована для идентификации физического лица. Не удивлюсь, если в этом месте вы сломались – со мной уже пытались спорить, что в законе не могут использоваться какие-то «вероятности», тем более «разумные»… По сути, в GDPR говорится следующее: «если имеющийся у вас набор данных в совокупности с доступными вам из других источников данными позволяют вам с разумными затратами ресурсов идентифицировать физическое лицо, то это персональные данные». Google имеет достаточно данных, чтобы идентифицировать почти всех – значит он работает с персональными данными.
Под ударом и «контроллер», и «процессор»
Переходим к самой сложной комбинации: регистрации нет, да и сайт только на русском, т.е. на оказание услуг гражданам Евросоюза не нацелен. Свободны? А вот и нет!
GDPR применяется как к «контроллерам», так и к «процессорам» – контроллер указывает, как и почему обрабатываются персональные данные, и процессор действует от имени контроллера.
Ничего не поняли или вроде бы поняли, но не нашли где засада?
Объясняю:
Если «выключатель» какой-то функциональности у вас в руках (в виде явной настройки или просто власти добавить функционал или нет), то вы «контроллер». А «процессор» – тот кто получает персональные данные через вас или мимо вас, но по вашему решению.
Читаем выше про «персональные данные в совокупности» и про Google, а потом вспоминаем – Google Analytics (или Яндекс.Метрика, или ещё что подобное) на сайте есть? Ну вот, Google «процессор», а вы «контроллер» и вы попали. Недавно Google явно задокументировал это:
Если ваше соглашение с Google включает эту политику или иным образом использует продукт Google, который включает эту политику, вы обязаны предоставить определенную информацию и получить согласие конечных пользователей в ЕС.
Теперь делаем следующий шаг – вспоминаем «отслеживают поведение, происходящее в границах ЕС» и задумываемся ещё глубже: «А не бродят ли по моему исключительно посконному сайту русскоязычные туристы с территории Евросоюза?»
Спасение утопающих — дело рук самих утопающих
А для тех, кто уже надумался сам на сам и желает переобсудить надуманное в кругу других страдальцев, мы организуем митап. На тему GDPR не продаём никаких продуктов или сервисов, мы такие же пострадавшие, так что будет предельно честный разговор. Анонс о митапе появится в ближайшее время на meetup.com в Plesk-events, в «заблокированном» Telegram в чате NSK IT events, в пока еще работающем Facebook в группе NSK IT events. Для иногородних планируется трансляция.
P.S.: И не верьте тем, кто обещает «Купите наш Х – и станете соответствовать GDPR!» Равно как и тем, кто предлагает шпаргалки вида «пять простых шагов для соответствия GDPR». Достижение соответствия GDPR – задача комплексная, а решения в каждом случае индивидуальны. И мы это обсудим.
Автор: S0krat
