- PVSM.RU - https://www.pvsm.ru -

«GDPR 2.0»: чего ждать от ePrivacy Regulation

В нашем блоге мы уже рассказывали об обработке персональных данных в Беларуси [1], регулировании в США [2] и Европе [3]. Обсудим еще один европейский законопроект, который будет своеобразным дополнением к GDPR и ужесточит правила работы с cookies и ПД.

«GDPR 2.0»: чего ждать от ePrivacy Regulation - 1 [4]
/ Flickr / robmadeo [5] / CC BY [6]

Происхождение и цели ePrivacy Regulation

Сейчас в Европе (помимо GDPR) за описание механизмов работы с персональными данными пользователей «отвечает» директива ePrivacy Directive (PDF [7]), которую приняли в 2002 году. Именно из-за неё владельцы сайтов начали запрашивать у посетителей согласие на использование cookie-файлов. Однако эта директива представляет собой [8] лишь набор базовых правил, которые государства-члены ЕС могут модифицировать на свое усмотрение. Так сделали [9], к примеру, в Италии, изменив штрафы за утаивание утечек данных (национальный декрет Legislative Decree no. 69/2012, PDF [10]).

Однако в Европарламенте решили внести корректировки в текущее положение вещей и сделать требования ePrivacy Directive едиными и непреложными для стран ЕС. По этой причине и появился проект ePrivacy Regulation [11].

Новый законопроект призван [12] дополнить и укрепить требования, сформированные GDPR. При этом главная цель ePrivacy Regulation, по словам парламентариев, — защитить пользователей ИТ-сервисов от спама и навязчивой рекламы и укрепить их контроль над персональными данными (это прописано в главе второй, статьях №6–11 [11]).

Ранее ePrivacy Directive регулировал работу только телекоммуникационных операторов. Закон запрещал им выполнять какие-либо действия (запись, хранение, мониторинг) с телефонными разговорами и SMS-сообщениями без ведома и согласия клиентов. То теперь действие нового регламента решили распространить на приложения для коммуникации в интернете: мессенджеры, видеосвязь, электронную почту, IP-телефонию, IoT-гаджеты и др. (полный список указан в статье №4 законопроекта [11]).

ePrivacy Regulation планировали [13] «запустить» одновременно с GDPR — 25 мая 2018. Однако из-за разногласий внутри парламента и отрицательной реакции ИТ-сообщества (об этом подробнее расскажем дальше) голосование отложили до 2019 года.

Что гласит регламент

Регламент в очередной раз поднимает вопрос регулирования сookies и формирует требования к получению согласия на их обработку. По тексту документа, сookies могут быть обработаны и без ведома пользователя, но только если этот процесс обусловлен технической необходимостью для предоставления того или иного сервиса. Согласие пользователь должен будет давать для конкретных целей, а его отсутствие не должно влиять на качество или возможность предоставления услуги. То есть владелец ресурса обязан предоставить альтернативный вариант использования сервиса без cookies. При этом всю собираемую с помощью cookies информацию разрешено хранить лишь до тех пор, пока она нужна для работы сервиса.

Несмотря на то что работа с cookies является одной из главных тем законопроекта, в нем затрагиваются и другие аспекты, имеющие отношение к обработке персональных данных пользователей в сети. В частности, изменения коснулись IoT-индустрии. Согласно новому закону, передача данных от одного умного устройства к другому потребует пользовательского согласия. Это означает [14], что и поставщикам решений для умного дома, осуществляющих их постоянную поддержку на уровне экосистемы тематических устройств и приложений, придется получать согласие на передачу и обработку персональных данных.

При этом ePrivacy описывает ограничения для проведения прямых маркетинговых кампаний. Регламент обяжет рекламодателей раскрывать свои номера телефонов и использовать специальные префиксы, позволяющие идентифицировать рекламный звонок. В настоящее время эта информация почти всегда остается скрытой. При этом накладывается строгий запрет на спам — если пользователь не желает получать маркетинговые звонки или письма, то он должен быть внесен компанией в отдельный список (do-not-call list).

«GDPR 2.0»: чего ждать от ePrivacy Regulation - 2
/ Flickr / Carsten Schertzer [15] / CC BY [6]

ePrivacy Regulation, как и GDPR, охватывает все организации, которые работают с данными резидентов стран ЕС, независимо от местоположения самой компании (статья №3 законопроекта [11]). Максимальный штраф за нарушение норм ePrivacy Regulation составит от двух до четырех процентов годового дохода провинившейся компании или десять миллионов евро (статья №23 законопроекта [11]).

Как «встретили» ePrivacy Regulation

В целом новый законопроект встретили довольно негативно. Связано это с опасениями тех компаний, на деятельность которых закон повлияет в первую очередь. Пока такое влияние оценивают исключительно на уровне прогнозов и исследований.

«Новый регламент «ударит» по рекламному, маркетинговому и медиабизнесу, — делится мнением начальник отдела развития сервиса аренды инфраструктуры в облаке 1cloud.ru [16] Сергей Белкин. — Многим компаниям также придется переосмыслить ряд основных бизнес-процессов — так как, по сути, работа с cookies будет зарегулирована еще в большей степени по сравнению с ситуацией после ввода GDPR».

Исследование Developers Alliance, в который входит [17] 70 тысяч программистов и представителей software-компаний, говорит [18], что ePrivacy повлияет не только на ИТ-сектор, но сократит доходы всего европейского бизнеса на 30%. По предварительным оценкам, предприятия потеряют 500 миллиардов евро. Группа энтузиастов даже записала видео [19], в котором показала негативную сторону ИТ-мира без cookies и рекламы.

В ответ на подобные аргументы депутаты Европарламента напоминают, что новый закон создают для защиты прав граждан, а не развития интернет-бизнесов. Биргит Зиппель (Birgit Sippel), депутат Европарламента от Германии, отметила [20], что цель ePrivacy — вернуть людям контроль над персональными данными. Задача законопроекта — показать, что конфиденциальность данных в цифровую эпоху нужна и возможна.

Отметим, что не все парламентарии согласны с Зиппель. Дэниэл Далтон (Daniel Dalton), выступающий в Европарламенте от Британии, заявил [21], что ePrivacy превратит Европу в «цифровое болото». Разобраться в которые все еще адаптируются к GDPR. Все представители компаний, с которыми говорил Далтон (от Microsoft и Google до небольших стартапов), выступают против ePrivacy.

Пока неизвестно, какая судьба ждет новый регламент (будут ли в него внесены какие-либо серьёзные изменения). Развязка наступит в 2019 году. Однако можно предположить, что «борьба» за принятие ePrivacy Regulation будет серьезной, возможно, сравнимой с той, которая развернулась вокруг GDPR.

P.S. Свежие материалы по теме из нашего корпоративного блога:

Автор: 1cloud

Источник [25]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/cookies/301617

Ссылки в тексте:

[1] в Беларуси: https://habr.com/company/1cloud/blog/417647/

[2] США: https://habr.com/company/1cloud/blog/414045/

[3] Европе: https://habr.com/company/1cloud/blog/414737/

[4] Image: https://habr.com/company/1cloud/blog/432452/

[5] robmadeo: https://www.flickr.com/photos/robmadeo/7293921772/

[6] CC BY: https://creativecommons.org/licenses/by/2.0/

[7] PDF: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32002L0058&from=EN

[8] представляет собой: https://ru.wikipedia.org/wiki/%D0%94%D0%B8%D1%80%D0%B5%D0%BA%D1%82%D0%B8%D0%B2%D0%B0_(%D0%95%D0%B2%D1%80%D0%BE%D0%BF%D0%B5%D0%B9%D1%81%D0%BA%D0%B8%D0%B9_%D1%81%D0%BE%D1%8E%D0%B7)

[9] сделали: http://www.portolano.it/en/2012/05/legislative-decree-692012-implements-in-italy-the-e-privacy-directive-2009136ec-2/

[10] PDF: http://www.portolano.it/wp-content/uploads/2012/06/Legislative-Decree1.pdf

[11] ePrivacy Regulation: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[12] призван: https://techcrunch.com/2018/10/07/eprivacy-an-overview-of-europes-other-big-privacy-rule-change/

[13] планировали: https://www.i-scoop.eu/gdpr/eu-eprivacy-regulation/#Next_steps_and_WHEN_the_ePrivacy_Regulation_might_be_applied_which_is_not_the_same_as_entering_into_force

[14] означает: https://www.insidetechmedia.com/2018/09/27/iot-update-the-e-privacy-regulation-impact-on-the-iot-market/

[15] Carsten Schertzer: https://www.flickr.com/photos/jonathanschertzer/6769789381/

[16] 1cloud.ru: https://1cloud.ru/?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[17] входит: https://www.developersalliance.org/about/about-the-alliance/

[18] говорит: https://www.developersalliance.org/press-releases/2018/5/7/proposed-eprivacy-regulation-to-affect-all-european-industries-and-cost-more-than-500-billion-in-reduced-annual-turnover

[19] видео: https://www.youtube.com/watch?v=ifYcub9CN7k

[20] отметила: https://www.youtube.com/watch?v=8nq6GMKQyvM

[21] заявил: https://www.nytimes.com/2018/05/27/technology/europe-eprivacy-regulation-battle.html

[22] «О персональных данных»: в чём суть ФЗ-152?: https://1cloud.ru/blog/personalnye-dannye-chast-1?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[23] Персональные данные: как их защитить: https://1cloud.ru/blog/personalnye-dannye-chast-2?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[24] Минимизация рисков: как не потерять ваши данные: https://1cloud.ru/blog/minimizazia-it-riskov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=cookies&utm_content=blog

[25] Источник: https://habr.com/post/432452/?utm_source=habrahabr&utm_medium=rss&utm_campaign=432452