Google, Facebook, Twitter і іншыя інтэрнэт-кампаніі нядаўна зьмянілі правілы карыстаньня — у Эўразьвязе 25 траўня набудзе сілу Агульны рэглямэнт абароны пэрсанальных зьвестак (GDPR). Беларускі праваабаронца, сузаснавальнік арганізацыі Human Constanta Аляксей Казьлюк расказаў Свабодзе, што GDPR значыць для эўрапейцаў і беларусаў.
Што такое GDPR
Рэглямэнт стварае новыя правілы наконт таго, як кампаніі краін Эўразьвязу мусяць абыходзіцца з асабістымі зьвесткамі карыстальнікаў і як кампаніі з усяго сьвету (у тым ліку зь Беларусі) мусяць абыходзіцца са зьвесткамі грамадзян краін Эўразьвязу. За невыкананьне нормаў кампанію могуць аштрафаваць на дзясяткі мільёнаў эўра.
Заканадаўства аб пэрсанальных зьвестках тычыцца зьвестак, якія адносяцца да канкрэтнай асобы, або па якіх гэтую асобу можна ідэнтыфікаваць. Гэта можа быць у розных камбінацыях імя і адрас, фота чалавека, сямейны статус, працаўладкаваньне, IP-адрас, гісторыя наведваньняў ці геалякацыі, кажа Свабодзе Аляксей Казьлюк. Папярэдняя дырэктыва дзейнічала ў Эўропе з 1995 году, а з 2012 году пачалі спрабаваць дамовіцца, якім будзе абноўлены рэглямэнт. У 2016 годзе зацьвердзілі дакумэнт і далі кампаніям два гады на падрыхтоўку.
Што зьменіцца цяпер
На думку Аляксея Казьлюка, GDPR стане «ўсясьветным стандартам»: правілы больш строгія за амэрыканскія, шмат якія кампаніі зьменяць сваю палітыку адносна ўсіх карыстальнікаў (ня толькі эўрапейцаў), дый іншыя краіны могуць абнавіць свае рэгуляваньні на ўзор Эўразьвязу. Унутры кампаній, якія працуюць з Эўразьвязам, ідзе вельмі грунтоўная перабудова працэсаў, зьвязаных з апрацоўкай пэрсанальных зьвестак, да гэтага пытаньня ставяцца вельмі сур’ёзна, дадае ён.
Радыкальных зьменаў карыстальнікі не адчуюць, бо за апошнія гады буйныя міжнародныя сэрвісы ўжо рэалізавалі шмат якія з патрабаваньняў. Але варта пералічыць тыя зьмены, якія прапануе рэглямэнт:
- Умовы карыстаньня прадуктам кампаніі (напрыклад, сацсеткай) цяпер павінны быць напісаныя простай мовай, зразумелай ня толькі юрысту. Карыстальнік павінен мець лёгкі доступ да інфармацыі пра тое, якія пэрсанальныя зьвесткі мае кампанія і як імі карыстаецца.
- Карыстальніку гарантуюць «права на забыцьцё» — выдаленьне неактуальнай або непраўдзівай інфармацыі пра яго з вынікаў пошуку.
- Права на ня проста адключэньне, а поўнае выдаленьне акаўнтаў, не патрэбных карыстальніку, а таксама права забараняць кампаніі выкарыстоўваць свае пэрсанальныя зьвесткі.
- Права лёгка пераносіць пэрсанальныя зьвесткі з сэрвіса на сэрвіс: напрыклад, калі карыстальнік хоча сысьці з Facebook на Twitter, ня страціўшы ўсе пэрсанальныя зьвесткі (як гэта будзе рэалізавана тэхнічна, яшчэ не зразумела).
- Кампаніям забараняецца ўтойваць працёкі і крадзеж пэрсанальных зьвестак карыстальнікаў.
- Карыстальнікі будуць ведаць, калі рашэньні адносна іх прымаюцца аўтаматычнымі альгарытмамі на аснове іх пэрсанальных зьвестак (распаўсюджаная практыка ў банкаўскай і страхавой сфэрах), і будуць мець права патрабаваць перагляду з удзелам чалавека.
- Забараняецца ці значна ўскладняецца збор генэтычных і біямэтрычных зьвестак карыстальнікаў, апрацоўка масіваў інфармацыі пра стан здароўя, расу, палітычныя погляды, сэксуальную арыентацыю карыстальнікаў і іншыя аспэкты, па якіх могуць незаконна дыскрымінаваць групы людзей.
Як гэта тычыцца беларусаў
Эўрапейскія кампаніі цяпер мусяць выконваць названыя вышэй патрабаваньні, у тым ліку адносна зьвестак беларусаў. Але ці будуць выконваць гэтыя стандарты адносна беларусаў неэўрапейскія кампаніі (напрыклад, амэрыканскія) — невядома. Казьлюк тлумачыць: магчыма і такое, што кампаніі будуць мець адны правілы для эўрапейцаў, іншыя — для астатняга сьвету. Але шмат якія кампаніі абяцаюць аднолькава ставіцца да правоў усіх карыстальнікаў — пра такое ўжо заявіў Facebook.
«Зразумела, што некаторыя кампаніі — напрыклад, расейскія ці кітайскія — будуць рабіць асобныя сэрвісы, падзяляць асабістыя зьвесткі сваіх грамадзянаў і зьвесткі замежнікаў не з Эўразьвязу, будуць прытрымлівацца правілаў GDPR толькі для грамадзян Эўразьвязу», — разважае Казьлюк.
У Беларусі, дадае ён, пакуль няма закону, які бароніць пэрсанальныя зьвесткі беларусаў, хіба некалькі артыкулаў, якія «не даюць ніякага разуменьня» таго, як кампаніі павінны абыходзіцца з асабістымі зьвесткамі. Законапраект адносна пэрсанальных зьвестак у Беларусі чакаецца гэтай восеньню, а набыць сілу можа хіба ў наступным годзе. Таму пакуль «Нас больш абараняе GDPR, чым уласнае заканадаўства, прынамсі ў інтэрнэце». Таксама відавочна, што бяз добрага закону аб абароне пэрсанальных зьвестак немагчымая ніякая «IT-краіна», — кажа праваабаронца.
Мае зьвесткі цяпер ня выдадуць спэцслужбам?
Па-ранейшаму праваахоўнікі і спэцслужбы могуць зьвяртацца да інтэрнэт-кампаній з патрабаваньнем выдаць ім пэрсанальныя зьвесткі злачынцаў — але што ў ЗША, што ў Эўразьвязе для такога патрабаваньня павінна быць сур’ёзная законная падстава (кшталту судовага рашэньня), а ня проста просьба асобнага сьледчага. Буйныя заходнія кампаніі (але не расейскія ці беларускія) публікуюць «справаздачы аб празрыстасьці» — далёка ня ўсе запыты задавальняюцца, а запыты з «сумнеўных» краінаў збольшага ігнаруюцца.
Адносна расейскіх і беларускіх кампаній (ніводная зь якіх не публікуе адпаведнай статыстыкі) «ёсьць падазрэньні», што яны рэдка адмаўляюць праваахоўным ці спэцыяльным службам у інфармацыі пра карыстальнікаў, расказвае Казьлюк. У ліку такіх кампаній — папулярныя ў Беларусі сацсеткі «ЎКантакце» і «Аднаклясьнікі», сэрвісы «Яндэкс» і Mail.ru, якія часта фігуруюць у крымінальных справах у якасьці крыніц інфармацыі. Праблема, дадае ён, ня толькі ў патрабаваньнях сумнеўнай законнасьці, а і ў тым, што законы Расеі і Беларусі даюць праваахоўнікам вельмі шырокія паўнамоцтвы — фактычна, права на доступ ці не да любой пэрсанальнай інфармацыі карыстальнікаў. Таму ён рэкамэндуе пакуль карыстацца сэрвісамі (у тым ліку мэсэнджэрамі і сацсеткамі), зарэгістраванымі ў «прадказальнай юрысдыкцыі», якая абараняе правы карыстальнікаў.
