25 мая в Евросоюзе вступил в силу регламент о персональных данных GDPR. СМИ тут же напугали нас, что по новому закону можно получить штраф до 20 млн евро за одно лишь фото с иностранцем. Разбираемся в том, насколько это правда.
 |
|
Быркова Екатерина Экономист, data-журналист |
Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года или GDPR — General Data Protection Regulation) есть в публичном доступе. С его положениями на английском языке можно ознакомиться здесь.
Для кого закон?
Прежде всего, стоит сказать, что новый закон направлен не на физических лиц, он направлен на компании.
В первую очередь он коснется те фирмы, которые имеют представительства в странах Евросоюза или оказывают услуги физическим лицам – гражданам ЕС. То есть, если российские компании оказывают услуги европейцам (например, интернет-магазин), то под Регламент они тоже могут попасть.
Можно сказать с уверенностью на 100%, что GDPR распространяется на интернет-магазины, онлайн-игры, интернет-медиа, гостиницы, транспортные компании, банки, различного рода агрегаторы.
Закон действует в тех случаях, когда собирают и обрабатывают большие объемы персональных данных, используют средства интернет-маркетинга, ведут онлайновую регистрацию пользователей на веб-сайте или в мобильном приложении. Основные требования, которые требуют теперь выполнять следующие: компании будут обязаны предоставлять физическим лицам данные в структурированном формате, они должны будут настроить IT-системы, чтобы безвозвратно данные удалять. Компании будут обязаны четко указывать все цели применения данных, а также раскрывать информацию о третьих лицах, которым данные будут передаваться. Вводятся и другие требования, которые фактически, усложняют работу с персональными данными и добавляют очень много новой бюрократической работы.
Однако новый закон инновацией не является, он лишь унифицирует те законы, которые уже и так действуют в разных странах ЕС.
Правда, сильно ужесточаются штрафы. За нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании.
Лицо человека – персональные данные
Самое важное в документе то, что теперь по закону считается персональными данными:
Любая информация, относящаяся к идентифицируемой особе, то есть особе, которая может быть идентифицирована напрямую или косвенно, например, по ее имени, местонахождению, онлайн-идентификатору, либо по одному или более признакам из области физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентификации.
Формулировка достаточно размытая и всё же не совсем понятная.
Однако в интернете тут же разлетелась информация о том, что на территории Евросоюза станет фактически запрещена видео и фотосъемка любых прохожих и просто людей, случайно попавших в кадр.
«Один из разделов GDPR запрещает публикацию изображений третьих лиц без их осведомленного согласия, — пишут в Сети. Закон говорит: всякий человек, вольно или невольно оказавшийся в кадре вашего снимающего устройства, должен быть проинформирован, что вы будете его снимать, и дать на это осознанное письменное (!) разрешение»
Говорилось, что новый закон, якобы, напрочь убивает сюжетную фотографию и делает невозможной работу корреспондентов телеканалов, блогеров, и даже ставит палки в колеса простым людям, которые хотят выложить фото с отдыха в Instagramm или Facebook.
У любителей селфи проблем не будет
Тем не менее, закон не устанавливает никакой ответственности к физическим лицам и той информации, которую они публикуют, к примеру, в социальных сетях. Всё что изменится для пользователей – уведомления об изменениях в пользовательских соглашениях и политике обработки персональных данных в популярных сервисах. Проще говоря, галочек поставить нужно будет больше.
Кроме того, у жителей ЕС, как обладателей персональной информации, появится больше прав:
1 право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления
2 право на забвение (right to erasure, right to be forgotten), которое дает европейцам возможность удалять свои личные данные по запросу во избежание их распространения или передачи третьим лицам.
3 право на переносимость данных (right to data portability) является новацией в правилах обработки данных ЕС, введенное GDPR. Данное право заключается в том, что компании обязаны предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных.
Как изменится работа журналистов и профессиональных фотографов?
А вот здесь всё немного сложнее. В том случае, если эти фото необходимы для редакции местной газеты, для администрации сайта или других коммерческих целей. Основной риск здесь заключается в том, что какой-нибудь европеец, увидев себя на такой фотографии может обратиться в суд, ссылаясь на новый Регламент.
Однако бить тревогу надо было ещё давным давно. Запрет публиковать фотографии частных лиц без их согласия в Европе начал действовать ещё в 1995 году в рамках “Data Protection Directive”. Плюс к этому в европейских странах добавились и другие ужесточающие съемку документы, но уже на национальном уровне. Поэтому фотографы и видеооператоры давно заранее подписывают договоры с моделями и лицами, у которых берут интервью. Так что новый закон ничего нового здесь не устанавливает.
И даже более того, в GDPR есть раздел, где защищаются права фотографов. Снимая массовые мероприятия (свадьбы, спортивные события и пр.) и публичные места, вы должны спросить себя: есть ли у присутствующих там объективные причины ожидать, что их сфотографируют? Если ваш ответ — «да, есть», то волноваться не о чем: ваши кадры защищены. Там даже специальный мини-тест есть для такого самообследования. Так что многие СМИ подняли панику на пустом месте.
