AIN: Не GDPR единым: какие законы ЕС придется соблюдать украинскому бизнесу

4 мая 2018

AIN: Не GDPR единым: какие законы ЕС придется соблюдать украинскому бизнесу

Сегодня все говорят о нашумевшем GDPR (General Data Protection Regulation). Общий регламент по защите персональных данных вот-вот вступит в силу на просторах ЕС. Это не на шутку взволновало украинских предпринимателей: оказалось, что его нормы придется соблюдать. При условии ведения бизнеса с европейскими гражданами. О GDPR можно сказать многое, но это не единственные правила, о которых должен помнить украинский предприниматель. О других важных правилах рассказывает Кристина Немчинова, партнер Brightman FinTech Law Firm.

Предположим, вы – владелец интернет-магазина. При этом доступ на сайт вашего магазина не ограничен для европейцев. А еще ваш сайт собирает файлы cookies. Cookies – это небольшой фрагмент данных, который отправляется веб-сервером и хранится на компьютере пользователя. Он используется, чтобы аутентифицировать пользователя, определить его персональные предпочтения и вести общую статистику. 

Как часто вы рассматривали в интернете новые кроссовки, а потом встречали в Facebook-ленту рекламными предложениями их купить? Даже сенатор США Билл Нельсон недоумевал и спрашивал Цукерберга, почему на его странице то и дело появляется реклама любимого сорта шоколада, который он обсуждал в личной переписке с друзьями. Все это – признак того, что кто-то собрал ваши cookies. Следом интернет-магазины «бомбят» предложениями купить пылесос, духи, коврик для машины – все, что вы недавно присмотрели или гуглили.


Марк Цукерберг на слушаниях в Сенате

Но что делать, если вы сами – владелец онлайн-площадки и не прочь узнать, о чем мечтает ваш потенциальный покупатель? Изучить закон ЕС о cookies. В отличие от GDPR, он вступил в силу еще в 2012 году. Возможно, многие из нас уже шестой год подряд являются злостными нарушителями.

Закон пришел на смену Директиве 2002/58/ЕС, которая вышла в ЕС еще в 2002 году. Отдельного внимания в ней заслуживала статья 5(3). Пользователь имел право получить информацию о том, что его персональные данные будут использоваться, а также имел возможность отказаться от сбора его данных. В 2009 году вышла Директива 2009/136/ЕС. Она внесла новые коррективы и обязала владельцев сайтов получать предварительное согласие пользователей на сбор информации. Также владельцы сайтов должны были сообщить о том, каким способом их информация будет собираться.

Регламент о конфиденциальности и электронных средствах связи (он же e-Privacy, он же закон о cookies) уницифирует существующие нормы для всех стран ЕС. Помимо этого, он создает независимые надзорные органы, которые будут контролировать соблюдение этих норм. Теперь владельцы сайтов обязаны спрашивать разрешения пользователей каждый раз, когда их cookies могут быть собраны. Как и с GDPR, общего согласия, которое содержится в Политике конфиденциальности или Пользовательском соглашении сайта, недостаточно.

Задачу можно облегчить следующим образом. Во-первых, начать с простого – подумать, а нужны ли вам cookies? Если обойтись без их сбора нельзя, определите для себя, какие именно данные вы собираете, и насколько чувствительными они являются. Обязательно проинформируйте пользователей о сборе их данных. А еще внедрите на сайте функцию письменного согласия пользователей на такой сбор. Это та самая «галочка» о том, что пользователь соглашается со сбором данных для определенной цели.

Опасности смартфонов: какие тайны хранят приложения
К сожалению, проблема незаконного сбора данных поджидает нас повсюду. Недавний инцидент с приложением GetContact показал уязвимость владельцев смартфонов. Приложение позволяло пользователям определить владельца скрытого номера во входящих, а еще – узнать, как вы подписаны в контактах своих знакомых. Цена любопытства оказалась слишком высокой – персональные данные собирались незаконно.

Похожая неловкость поджидает пользователей приложений в соцсетях. Таких полно в Facebook – от игр до тестов. Именно так многие граждане США прошли тест You Are What You Like и стали жертвами Cambridge Analytica. Компания собрала их данные, провела анализ, сделала выводы и поспособствовала президентской кампании Трампа. Все это привело к появлению Honest Bills Act — законопроекта США, призванного защищать неприкосновенность данных пользователей. Он обязал владельцев приложений отчитываться о том, какую аудиторию они таргетировали, для чего, а главное – кто за это заплатил.

Если ваш бизнес сотрудничает с какой-либо соцсетью и хочет запустить приложение, которое позволит вам привлечь клиентов и продать товар, помните о новых нормах ЕС и США. Европейские и американские законы, к сожалению или к счастью, имеют экстерриториальный характер. То есть, распространяются на любой бизнес, который имеет дело с гражданами Евросоюза и Соединенных Штатов.

Пересмотрите и адаптируйте под новые законы свою Политику Конфиденциальности и Условия Пользования. Не забудьте сообщать пользователям о том, что их персональные данные могут быть собраны. Расскажите о целях и способах такого сбора. Возьмите их письменное согласие. Предупредите о том, что отказ от сбора обязует посетителей немедленно прекратить использование вашей платформы. Также помните о праве пользователя отозвать согласие на сбор данных в любой момент. Такие данные должны быть незамедлительно удалены. И самое главное – каким бы суровым ни был закон, его соблюдение всегда гарантирует ваш коммерческий успех.