Регулирование / Статьи
за рубежом информбезопасность персональные данные
21.12.2016

Право на privacy

Новый регламент ЕС защитит частную жизнь европейцев

Весной 2016 года Еврокомиссия приняла документ Global Data Protection Regulation (GDPR – Глобальное регулирование защиты данных). С его помощью в 28 странах Европейского союза будут координировать отношения, связанные с обработкой персональных данных граждан госструктурами и компаниями. Регламент вступит в силу в мае 2018 года.

Тяга к гармонии

Цифровой рынок с облачными технологиями, Big Data и Интернетом вещей сделали положения Страсбургской Конвенции [1], принятой в 1981 году, неактуальными. Увеличение объемов производимых данных, огромное число социальных медиа и интернет-сервисов уже не позволяют человеку самостоятельно контролировать обработку своей личной информации. Такое мнение высказал помощник президента РФ Игорь Щёголев на профильной международной конференции [2], прошедшей 8 ноября в Москве.

В 1995 году ЕС принял Директиву о защите данных. На ее основе страны Европы могли создавать собственное законодательство в этой области. Из-за глобализации экономики несколько лет назад сформировался новый тренд на гармонизацию подходов государств в сфере регулирования конфиденциальности частной жизни, констатировал заместитель Европейского инспектора по защите данных Войчех Вевьюровски.

Весной 2016 года Европарламент ратифицировал «Общие положения о защите данных» – GDPR, вступающие в силу 4 мая 2018 года. Как следует из документа, граждане ЕС смогут давать отдельное согласие в отношении каждой цели обработки своей личной информации, а также получат возможность отзывать его. Регламент вводит серьезное наказание для компаний за несвоевременное разглашение (в течение 72 часов) инцидентов, связанных с утечками данных. Нарушителям придется платить штрафы до 20 млн евро.

Бизнес должен будет активно использовать шифрование данных и псевдоанонимизацию (замена идентификаторами), уточнил директор РАЭК Сергей Плуготаренко. Введение нового регламента ЕС позволит сэкономить порядка 2,3 млрд евро в год, считает эксперт.

GDPR предусматривает сертификацию технических средств, с помощью которых осуществляется, например, «умное» видеонаблюдение. Оно позволяет маркетинговым службам среди сотен людей в торговых сетях распознать потребителя и предложить ему таргетированную рекламу, рассказал заместитель комиссара по вопросам информации Республики Словения Андрей Томшич. Сертификацией, которая будет добровольной, но даст компаниям преимущество на рынке, занимается проект CRISP [3]. Он определит и классифицирует продукты и услуги европейского рынка безопасности, разработает дорожную карту и стандарты в технической и этической плоскостях.

Особое внимание не только к правовой, а к технологической защите данных – на повестке дня многих государств.

Создание информационных систем (ИС) и их обслуживание в Азербайджане с марта 2016 года может осуществляться только на основании специальной лицензии. Оператором госреестра ИС выступает регулятор, отметил главный консультант юридического отдела министерства связи и высоких технологий Азербайджанской Республики Бахтияр Мамедов.

Опасные связи

В GDPR включены особые правила для получения согласия детей на обработку их персональных данных. Несовершеннолетние разбираются в структуре интернет-ресурсов лучше, чем взрослые, но они часто не замечают рисков, которые существуют в Сети, отметила главный специалист отдела социального образования и международного сотрудничества Бюро Генерального инспектора по защите персональных данных Польши Анна Завила-Неджвецка.

Гостья представила написанное простым языком и находящееся в свободном доступе учебное пособие для педагогов в сфере информационной безопасности (ИБ). Методические материалы создали в рамках проекта ARCADES, который объединил 3 тыс. учителей и 30 тыс. студентов в Венгрии, Словении и Польше.

Порой в утечке данных виноваты родители. Согласно исследованиям, в год они могут выкладывать в соцсетях до 200 фотографий своих детей, сообщила глава международного отдела национального органа по защите данных и свободе информации Венгрии Юлия Сиклаи. В Австрии девочка подала в суд на мать за размещение в интернете приватных снимков.

Ю. Сиклаи рассказала об эксперименте, который провел регулятор, по внедрению в одну из онлайн-сетей знакомств, где школьники регистрируются с 13 лет. Фальшивой участнице в течение часа пришло много неприятных комментариев и сомнительных приглашений о встречах. Напрямую такой бизнес запретить нельзя, сложно найти инициаторов создания подобных интернет-ресурсов, констатировала спикер. Необходимо повышать информированность детей и педагогов об опасности активной публичной жизни в Сети. В 2015 году Университет Брюсселя выпустил справочник для преподавателей в сфере ИБ. В 2014-м на венгерском ТВ был запущен клип о защите данных с участием популярного певца Vastag Tamas.

«Щит» вместо «Гавани»

Заместитель генерального секретаря, комиссар по информации общественной значимости и защите персональных данных в Республике Сербии Златко Петрович рассказал о нашумевшей истории с участием национального агентства по приватизации. На сайте этой организации в течение 10 месяцев был доступен текстовый файл, содержащий профили с номерами паспортов 5,2 млн жителей Сербии, которые в 2007-м приобрели акции крупных компаний. Расследование показало, что скачать личную информацию о любом гражданине не стоило труда, документ был проиндексирован и поисковыми системами. В агентстве, которое сегодня уже не существует, утверждали, что столкнулись с хакерской атакой. Уголовное дело о нарушении прав 70% населения страны пока не закрыто.

Знания и активная позиция всегда помогали защитить права. Ю. Сиклаи напомнила участникам конференции о юристе из Австрии Максе Шремсе, который уличил Facebook в нарушении европейских законов о неприкосновенности частной жизни и добился упрощения процедуры получения пользователями личных данных из архива соцсети.

Как известно, в рамках этого длинного и еще не завершенного судебного разбирательства, где М. Шремс представляет интересы более 25 тыс. пользователей, было аннулировано многолетнее соглашение по обмену данными между США и Европой под названием «Безопасная гавань» (Safe Harbour). В июле 2016 года ему на смену пришел документ под названием Privacy Shield («Щит конфиденциальности»).

По мнению граждан Европы, в наибольшей защите нуждается личная финансовая информация и медицинские данные, алгоритмы обработки которых не всегда прозрачны, сообщил результаты исследования, проведенного в странах ЕС, С. Плуготаренко. Зато люди готовы делиться предпочтениями в сфере покупок в интересах маркетинга. Респонденты признают, что сами зачастую не читают пользовательские соглашения о защите данных.

На своей территории

Помимо совместимости подходов в защите информации, необходимо решить проблему независимости надзорных органов в выражении своей позиции, а также добиться единообразия в обеспечении локализации данных на территориях государств, заявил В. Вевьюровски.

Равномерное распределение интернет-ресурсов в мире и стабильное хранение информации увеличит число безопасных услуг в Сети и снизит возможности внедрения вирусного ПО. Такое мнение высказал директор IXcellerate Гай Виллнер. Лучше, если большие интернет-компании будут иметь представительства в каждой стране, считает он.

По словам эксперта, Германия, хотя и входит в ЕС, имеет собственный закон о персональных данных, который требует хранить операторский трафик в стране (такое же положение есть и в российской нормативной базе). Облачные провайдеры при участии в госпроектах должны заключать договоры о неразглашении.

По итогам голосования в Сенате Франции 3 мая 2016 года был принят закон (Digital Bill – «Цифровой билль»), который включает в себя положения, регламентирующие локализацию данных.

Правительство Канады уже объявило Microsoft, что ЦОДы корпорации должны быть размещены внутри страны. Этот опыт будет тиражироваться и вскоре станет обычной практикой, подчеркнул Г. Виллнер. Он отметил, что в течение этого года 15 крупных компаний смогли найти возможность разместить данные на территории России, значит, это под силу и другим участникам рынка.

Спикер назвал правильной политику Роскомнадзора в обеспечении международного диалога и посоветовал бизнесу не терять время и консультироваться по вопросам хранения данных непосредственно с представителями ведомства, а не с консалтинговыми структурами.

Заместитель Европейского инспектора в свою очередь напомнил, что не все данные сегодня являются цифровыми. Таким образом, существующего законодательства по их защите недостаточно. Уполномоченным органам пора разрабатывать решения по ограничению доступа к конфиденциальной информации во всех сферах жизни людей.


[1] Конвенция о защите физических лиц при автоматизированной обработке персональных данных была заключена в Страсбурге 28.01.1981.

[2] VII Международная конференция «Защита персональных данных». Организатор – АНО «Радиочастотный спектр» при поддержке Роскомнадзора.

[3] CRISP (Evaluation and Certification Schemes for Security Products) – международная программа по оценке и сертификации продуктов для защиты данных.

Еще по теме

Минцифры рассылает во все военкоматы правительственные телеграммы о порядке действий в отношении IT-специалистов

Реален ли баланс между требованиями по обработке персональных данных и интересами бизнеса

Как оператору связи соблюдать требования по установке технических средств противодействия угрозам

Как внедрение стандартов ИИ и Big Data помогут защите персональных данных

Кто ответит за усиление киберзащиты в российских организациях

Когда утвердят операторов рекламных данных и в каком виде передавать информацию в госреестр

Какое наказание нужно противопоставить преступлениям с персональными данными

Законопроект о принудительном лицензировании контента попал под критику

Почему назрел вопрос регулирования персональных генетических данных

Эксперимент по мониторингу здоровья поможет расширить рынок устройств для наблюдения за пациентами

Общество требует внедрять прозрачные механизмы проверки возраста пользователей платформ

Как Центробанк собирается бороться с хищениями средств с банковских карт

Как регуляторы разных стран добиваются прозрачности алгоритмов интернет-площадок

Отрасль и регулятор предлагают меры по противодействию хищениям средств со счетов граждан

Роскомнадзор озвучил новые подходы к защите личной информации