Эксперты отмечают пятилетнюю веху GDPR
26 мая 2023 г.По сути, направленность Общего регламента по защите данных на право на неприкосновенность частной жизни — предоставление людям информации о происхождении их данных — позволяет людям диктовать, как компании, включая брокеров данных, используют их личную информацию.
GDPR — набор правил конфиденциальности данных на всей территории Европейского Союза — имеет экстерриториальную сферу действия, что означает, что платформы и веб-сайты за пределами ЕС, трафик PII тех, кто находится внутри ЕС, также должны соответствовать его директивам.
Самым крупным последствием этого положения на сегодняшний день в денежном выражении стал штраф на этой неделе в размере 1,3 миллиарда долларов для Meta и приказ о прекращении обработки данных пользователей из Европейского Союза в США.
Как объясняет платформа управления согласием Cookiebot, законы GDPR предусматривают, что веб-сайт, взаимодействующий с посетителями из ЕС и перед обработкой личной информации, должен:
- Получить четкое и недвусмысленное согласие от своих пользователей.
Укажите файлы cookie и другие технологии отслеживания, присутствующие и работающие на его страницах, простыми для понимания способами, которые позволяют пользователям давать согласие и отзывать согласие на каждую конкретную категорию файлов cookie.
Иметь возможность безопасно и конфиденциально документировать согласие каждого пользователя и иметь возможность регулярно запрашивать новое согласие.
Эксперты хвалят GDPR, но говорят, что нужно больше
Несколько экспертов оценили достоинства GDPR на мероприятии WithSecure’s Sphere23 в Хельсинки, Финляндия.
«Европейскую комиссию критикуют за многие вещи, но GDPR — это единственное, за что она может высоко поднять голову и сказать: «Мы лидируем в мире в этом». По мере того, как проходят нормативные вехи, это эквивалентно восхождению на Эверест. И, похоже, это работает, поскольку другие юрисдикции следуют этому примеру», — сказал Пол Бруччиани, советник по кибербезопасности в WithSecure.
Он отметил, что фрагментация Интернета, вызванная стремлением к цифровой власти, создала сложности, которые ЕС решил с помощью GDPR, и которые он также применяет к новым технологиям. «Например, ИИ — это следующая большая область, которая потребует регулирования, и ЕС снова сделал фору в этом, предложив свой закон об ИИ, правовую основу, которая предназначена для инноваций, ориентирована на будущее и устойчива к нарушения», — сказал он.
Сильвен Кортес, вице-президент Hackuity по стратегии, сказал, что это хорошее начало, но этого недостаточно.
«Соответствие требованиям имеет важное значение, но мы призываем организации воспользоваться возможностью выйти за рамки базовых требований, чтобы развить культуру постоянного кибер-совершенствования», — сказал он. «Важно помнить, что достижение соответствия не должно рассматриваться как «зубрежка на экзамене» с последними усилиями для достижения ежегодных или ежеквартальных аудитов. Цель состоит в том, чтобы достичь большего, чем минимальные требования, и отойти от шаблонного мышления. Соблюдение GDPR необходимо, но далеко не достаточно для современных организаций», — добавил он.
Волны влияния за пределами Европы (в США)
В то время как в США отсутствуют национальные законы о конфиденциальности данных, восемь штатов к настоящему времени приняли либо всеобъемлющее законодательство о конфиденциальности, либо более ограниченное или адаптированное законодательство, дающее потребителям возможность контролировать, как передаются их личные данные. Среди них:
- Калифорнийский закон о конфиденциальности потребителей, вступивший в силу в январе 2020 года, дает гражданам право прекратить продажу своих PII сторонним сайтам и знать (и удалять) отобранные данные.
Закон штата Невада о безопасности и конфиденциальности личной информации, вступивший в силу в 2019 году, позволяет жителям Невады предотвращать продажу своих данных сторонним брокерам данных.
Закон Вирджинии о защите данных потребителей, вступивший в силу в этом году, содержит несколько обязательных условий, дающих потребителям право доступа к своим личным данным, чтобы запросить их удаление.
Закон штата Теннесси о защите информации, вступивший в силу 11 мая 2023 года, дает гражданам право отказаться от продажи их PII третьим лицам.
Мэн, Колорадо, Юта, Айова, Индиана и Коннектикут также входят в растущий список штатов с всеобъемлющими или адаптированными законами о конфиденциальности. Монтана, Техас и Флорида также имеют аналогичные законопроекты, ожидающие подписи губернаторов.
Джефф Райх, исполнительный директор Identity Defined Security Alliance, сказал, что эти и другие законы обязаны своим происхождением GDPR.
«Камень в пруду, которым является GDPR, продолжает вызывать рябь, которая влияет на все вокруг», — сказал он. «Спустя семь лет после принятия GDPR, через пять лет после начала его применения на сегодняшний день трудно не увидеть результатов регулирования. Торговцы и продавцы знают, что им нужно делать, даже если они еще не знают, как это сделать. Лучшее изменение поведения происходит с потребителями».
Он сказал, что самым большим долгосрочным преимуществом может быть способность потребителей увидеть ценность своей личности и безопасности, которая защищает их личные данные.
Оригинал