Собираетесь в отпуск в Европу? Вот как GDPR повлияет на вас

Эллин Толстов
Эллин Толстов

Cооснователь и технический директор сервиса Level.Travel

Расскажите друзьям
Полина Константинова

Эллин Толстов, сооснователь и технический директор сервиса онлайн-бронирования туров Level.Travel, рассказывает, как регламент по защите информации GDPR может повлиять на вас, если вы просто собираетесь отдохнуть в Европе, и почему индустрия оказалась не готова к новым правилам.

Никто не готов к GDPR

Нам придется стать европейцами во что бы то ни стало, даже если кому-то очень этого не хочется. На территории Европы вступает в силу новый регламент по защите информации GDPR, который задает новые стандарты в первую очередь для интернет-компаний, но коснется и обычных пользователей – в том числе и тех, кто не является резидентом ЕС.

GDPR (General Data Protection Regulation) – это общий регламент по защите данных, согласно которому отныне любую личную информацию можно собирать только с согласия пользователя, объясняя ему, для каких целей эти данные будут использованы. И теперь все компании, которые обрабатывают персональные данные граждан европейских стран или людей, находящихся на территории ЕС, обязаны соблюдать требования этого документа. Иначе им грозит крупный штраф – до 4% от оборота компании за предыдущий финансовый год.

Успокаивать себя мыслью о том, что у России собственный путь, больше не выйдет, ведь в интернете нет границ, и случайно навестивший ваш сайт европеец обязывает вас соответствовать новым нормам безопасности персональных данных.

Кроме того, ежегодно в Европу ездят отдыхать почти 6 миллионов россиян и для каждого из них будет работать этот закон, пока они в отпуске. Все туристические компании занимаются обработкой персональных данных. Даже если туроператор российский, он все равно передает информацию принимающей стороне, и тут его поджидает GDPR. Собственно, на основании документа придется объяснить путешественнику, для чего у него берут личную информацию, кому ее отдадут и как будут использовать. Ни одна компания теперь не сможет отмолчаться.

Более того, потребуется предоставить путешественнику исчерпывающую информацию о том, зачем запрашивается, например, номер его паспорта при бронировании тура. В частности, если нужен именно этот документ, то придется подробно объяснить, что его номер передадут представителям гостиницы и авиакомпании для бронирования места в отеле и покупки билетов, а дата рождения необходима, чтобы проверить возраст покупателя. Турист в любой момент должен иметь возможность увидеть  свои данные, изменить их или даже удалить.

Сложности могут возникнуть у фотографов и блогеров. Ведь они снимают улицы, показывают лица людей, и при этом деятельность является или напоминает коммерческую.

Обычных людей на экскурсии вряд ли кто-то будет проверять. Человек, случайно снявший толпу на фоне Колизея, не станет спрашивать у каждого, кто попал в кадр, разрешения опубликовать фото в личном блоге. Однако практика показывает, что рассудительные европейцы не склонны доводить исполнение своих законов до абсурда.

Самая большая сложность этого регламента – обтекаемые формулировки. Например, вы пишите в письме «толстый лысый мужчина, который живет на улице Ленина» и имеете в виду определенного толстяка – будьте добры, прислать ему копию с пояснением, что пользуетесь его образом. Поэтому само толкование закона и его применение – это важнейший и насущный вопрос.

В темной комнате

Документ разрабатывали четыре года и потом два года готовились к его вступлению в силу. Однако опрос более тысячи компаний, проведенный McDermott Will & Emery и Ponemon Institute  в апреле этого года, показал, что более 60% технологических компаний не смогут соответствовать требованиям закона к дате начала его действия.

Проблема в том, что закон имеет широкий охват и довольно сложен. Для большинства компаний, которые должны его соблюдать, трудно даже осознать многие его аспекты.

Также не совсем понимают свою роль и государственные регуляторы. Допустим, пользователь в рамках регламента обращается в компанию с запросом списка собранных о нем данных, но поскольку бизнес был не готов к внедрению GDPR, то ответить ему он не может чисто технически. По букве закона, следующий шаг – жалоба местному регулятору. Чиновники в таком случае не имеют права промолчать, но при этом внятной инструкции к возможным действиям, кроме жесточайшего штрафа, у них нет.

Госструктуре выделить ресурсы на организацию аудита безопасности каждой такой компании едва ли представится возможным. По опросу Reuters, 17 из 24 ответственных европейских регуляторов сообщили, что не готовы к введению закона.

Обычному человеку будет выгоден GDPR

Хотя новый регламент и несет с собой ряд проблем и правовых коллизий для индустрии, однако рядовой пользователь от него выигрывает. Помнить о безопасности своих данных надо каждому. Ведь человек не рассказывает всем на улице, сколько у него денег на счету и где лежат ключи от квартиры, а в интернете почему-то забывает об осторожности. Например, практически каждый день мы слышим об утечках медицинских данных из учреждений, где информация о пациентах содержалась в общедоступных облачных хранилищах или на жестком диске общего компьютера без шифрования. Кому могут быть интересны чужие диагнозы? Допустим, мошенникам, продавцам БАДов, страховщикам или просто шарлатанам.

Ситуация такова, что мы, как индустрия, просто не успеваем подготовить необходимое количество людей, грамотных в сфере информационной безопасности.

Бизнесу приходится вечно разрываться между необходимостью предоставить услугу быстро и удобно и созданием барьеров на пути злоумышленников. Никто не будет заказывать пиццу через приложение, если это потребует подтверждения личности визитом в офис или использования хитроумных средств информационной защиты. Сама организация своей главной задачей видит доставку еды, а не безопасность информации клиентов. В результате ее взламывают, и все стороны несут убытки.

Изменения придут не с законами и регуляторами, а с пониманием людей, что безопасность важна не только на темной улице, но и при передаче личных данных. Бизнесы часто не могут спасти пользователей от их собственной неосторожности. Интернет все еще похож на неосвоенную территорию Дикого Запада. Тут много опасностей для потерявшего бдительность странника. Однако именно эта свобода, как ни странно, позволяет стремительно развиваться технологиям и бизнесам на пространстве сети.

GDPR должен обратить внимание пользователей, бизнесов, туристов, блогеров, фотографов на важность соблюдения правил безопасности. Пока о практике применения закона можно лишь строить предположения. Но, как и всегда, время покажет, чем обернется новая страница в истории интернета.


Материалы по теме:

Триггерные рассылки: семь способов повысить лояльность клиентов к вашему бренду

«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте

Привыкаем к новым правилам. Как отправить рассылку клиентам, которые живут в Европе

«Жить в мире digital-продвижения станет сложнее»: тренды performance-маркетинга в этом году


Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
Finopolis
17 октября 2018
Ещё события


Telegram канал @rusbase