Нужно ли защищать данные?
Сведениями о себе мы делимся довольно часто, порой каждый день. Мы отправляем банковские данные работодателю, предъявляем паспорт на границе, показываем водительские права инспектору — и так далее. Любая информация о нас — это наши персональные данные.
А злоумышленники не дремлют. Они умеют использовать наши данные в своих целях. Взять кредит по информации из чужого паспорта? Легко! Указать чужую электронную почту при регистрации на нелегальном сайте? Да как два пальца.
Поэтому персональные данные нуждаются в защите. Поэтому нам приходится придумывать сложные пароли для защиты электронной почты, стараться не выкладывать в социальные сети фотографии документов — и так далее.
Но бывает так, что, несмотря на все меры предосторожности, данные «утекают». Их теряет кто-нибудь другой. Например, банк, которому мы их предоставили на совершенно легальной основе.
И что же делать?
Вот тут-то и вступают в действие законы, определяющие правила обращения с персональными данными.
Любые компании, которые в принципе используют наши данные с нашего же согласия, должны этим законам следовать. И в случае утечек данных, потерь, разглашения их без нашего ведома их ждёт как минимум солидный штраф. Это тот случай, когда государство становится на нашу защиту.
Локальные законы
Современные законы по защите данных сформировались не сразу. Первой европейской страной, принявшей национальный закон о защите персональных данных, стала Германия — ещё в 1978 году вступил в действие акт Bundesdatenschutzgesetz (BDSG). Он был создан в ответ на развитие компьютерных технологий и связанные с этим риски.
Аналогичные законы стали появляться и в других государствах, а в 1981 году был принят первый международный договор — Конвенция о защите физических лиц при автоматизированной обработке персональных данных. К 2019 году к ней присоединилось более 50 стран.
Проблема обострилась с активным развитием интернета. Европейский Союз принял новый закон — Директиву по защите данных 1995 года. Её целью была не только адаптация к новым угрозам, но и создание единого законодательства о персональных данных стран-членов ЕС.
GDPR на замену всему
Но директива 1995 года не справлялась.
Во-первых, цифровой мир стремительно менялся, и она постепенно устаревала, поскольку не в ней учитывались новые технологии и методы работы.
А во-вторых, она не имела статус закона. Государство могло присоединиться к Директиве — а могло не присоединяться. Могло выполнять её — а могло игнорировать. Локальные законы каждого государства могли соответствовать Директиве — а могли отличаться коренным образом. Поэтому решение накопившейся проблемы должно было стать кардинальным изменением.
Так появился GDPR, который стал не рекомендацией, а законодательным инструментом. И главное: он должен был защищать данные на территории всего Европейского Союза.
Обсуждения GDPR начались в 2012 году, а в 2016-м текст регламента был официально опубликован. В течение двух лет все организации, расположенные на территории ЕС, а также просто работающие на его рынке, должны были внести изменения в свою деятельность согласно новому регламенту.
25 мая 2018 года GDPR вступил в силу.
Так что же такое GDPR?
GDPR (General Data Protection Regulation) — общий регламент по защите данных. Он защищает персональные данные (ПД) всех физических лиц на территории Евросоюза, а также данные его граждан в любой точке мира. GDPR должны соблюдать все страны-члены ЕС и ЕЭЗ (Европейской экономической зоны) без исключений.
При этом регламент существенно ужесточил требования к обработке и хранению персональных данных относительно всех ранее действовавших законов. Иначе говоря, к нему нужно относиться серьёзно.
Зачем нужен GDPR
GDPR решает две важные проблемы.
Во-первых, отсутствие контроля позволяет компаниям-операторам беспечно относиться к персональным данным клиентов. Как результат, это приводит к утечкам, разглашению и росту преступности — в мире современных технологий данные легко и украсть, и использовать в корыстных целях.
GDPR обязывает корпорации обращаться с персональными данными по жёстко заданным правилам и определяет санкции и наказания за их нарушение.
Во-вторых, GDPR значительно упростил работу с персональными данными на международном уровне. Гораздо проще пользоваться единым документом для всего ЕС, чем набором разных законов, которые нужно «подгонять» друг к другу при любой международной активности.
А нужен ли GDPR лично вам?
Может показаться, что GDPR регулирует только деятельность корпораций и международные отношения, а вам лично он не нужен и не интересен. Это неверный подход.
-
Во-первых, вы можете оперировать персональными данными других людей. Например, если вы работаете администратором медицинского центра, вам приходится вносить информацию в медицинскую карту, оформлять страховку — в таком случае вы обязаны знать GDPR по работе.
-
А во-вторых, он направлен на то, чтобы ваши персональные данные находились под вашим контролем, не использовались компаниями против вашей воли и обрабатывались безопасно. Ваши персональные данные должны быть только в вашей власти, и больше ни в чьей. Так что GDPR написан именно для вас.
Приведём характерный пример, потребовавший применения GDPR.
British Airways: GDPR в действии
В сентябре 2018 года киберпреступники внедрили вредоносный код на платёжной странице сайта British Airways — одной из крупнейших авиакомпаний в Европе. Скрипт собрал имена, адреса электронной почты и информацию о кредитных картах более 500 тысяч клиентов компании.
Когда ситуация вскрылась, на British Airways был наложен рекордный штраф в размере 183 млн фунтов стерлингов (€205000000) — около 1,4% от годового дохода компании. При том, что, согласно GDPR, регулирующие органы могли оштрафовать авиакомпанию на сумму, доходящую до 4% от годового оборота, если несоблюдение мер безопасности приведёт к потере личной информации клиентов.
Иначе говоря, GDPR — на страже ваших данных.