Реформа закона ЕС о личных данных обострит существующие проблемы

Предлагаемые Европейской Комиссией изменения в закон ЕС о безопасности персональных данных (так называемая ePrivacy Directive), в частности, ту его часть, которая касается использования файлов cookie, может обострить уже существующие проблемы, считает эксперт юридической компании Pinsent Masons доктор Куан Хон (Kuan Hon).

По его мнению, новые правила, представленные Еврокомиссией в январе нынешнего года, не избавят компании от проблем, связанных с поиском механизмов получения согласия пользователей на сбор информации с помощью файлов cookie, которые не налагали бы негативный отпечаток на опыт взаимодействия. Более того, новые правила могут создать риски для производителей программного обеспечения.

Ранее Еврокомиссия уже признала недостатки существующего «закона о cookie-файлах», отметив, что он «не достиг своих целей», поскольку «пользователи сталкиваются с запросами на размещение cookie-файлов без понимания их значения и, в некоторых случаях с ситуациями, когда cookie-файлы устанавливаются без согласия». Кроме того, следование требованиям законодательства может привести к значительным финансовым затратам для компаний, признали в Еврокомиссии.

Новый законопроект предусматривает запрет на использование возможностей обработки и хранения клиентского оборудования и сбор информации с таких устройств, включая данные о программном и аппаратном обеспечении, если нет указанных исключений. Как поясняет Хон, данные исключения позволят компаниям размещать cookie-файлы в тех случаях, когда они необходимы для: передачи электронных коммуникаций по сетям электронной связи; если необходимо предоставить информацию социальному сервису (online-ресурсу, запрашиваемому пользователем), если они нужны провайдеру социального сервиса для аналитических целей (например, анализа посещаемости сайта).

Под термином «клиентское оборудование» закон понимает телефоны, компьютеры, планшеты, смартфоны, подключенные к интернету автомобили, «умные» носимые устройства и другие устройства из сферы «Интернета вещей».

Кроме того, новые правила налагают запрет на сбор информации (IP-адрес и MAC-адрес, IMEI и IMSI), передаваемой при установке соединения между устройствами или сетевым оборудованием.

Как отмечает эксперт, основная проблема заключается в том, что некоторые законодательные нормы изложены не совсем четко, а другие - технологически нейтральны. Получить информированное согласие пользователя станет сложнее, а ежедневное взаимодействие со смартфонами и другими устройствами может быть расценено как нарушение законодательства. К примеру, говорит Хон, исходя из формулировки правил, если кто-то сделает несколько фотографий при помощи смартфона своего друга или знакомого без его ведома, такое действие может рассматриваться как нарушение закона, поскольку оно предполагает использование «возможностей обработки и хранения» телефона. В отличие от закона ЕС в области общей защиты данных (General data protection regulation, GDPR), новые правила не предусматривают исключения, в частности, пункт «для личного и домашнего использования», зато устанавливают штраф в размере до €10 млн (или 2% от годового оборота для организаций) за обработку «электронных данных» без согласия.

Ожидается, что новые правила вступят в силу 25 мая 2018 года.

Источник