Что такое конфиденциальность данных? Глобальные нормативные акты (GDPR, CCPA)

Определение и основы защиты данных

В мире глобальной информации выражения «конфиденциальность данных» (data privacy) и «безопасность данных» (data security) часто используются как синонимы, что сродни путанице между замком и секретным дневником. На самом деле они выражают совершенно разные юридические и технические концепции. Безопасность данных касается защиты информации от внешних атак, утечек данных (data breach) и несанкционированного доступа — проще говоря, это вышибала в цифровом клубе. Конфиденциальность данных, напротив, касается законного использования, хранения и управления личной информацией. Она сосредоточена на контроле, который человек имеет над своими данными: кто может их собирать, для каких целей, как они могут храниться и с кем могут быть переданы. В эпоху цифровых технологий конфиденциальность данных считается правом человека, защищенным строгими нормативными актами. Да, потому что никому не нравится, когда сосед сует нос в ваши онлайн-покупки.

1. Основные глобальные нормативные акты о конфиденциальности

Для противодействия злоупотреблениям со стороны крупных технологических компаний (тех, которые знают, что вы ели на завтрак, еще до того, как вы это вспомнили), правительства по всему миру ввели строгие законы для регулирования обработки персональных данных граждан:

• GDPR (Общий регламент по защите данных - Европейский Союз): Считается самым строгим законом о конфиденциальности в мире. Он вводит такие принципы, как «право на забвение», переносимость данных, обязательство получения явного согласия и огромные административные штрафы в случае нарушения. По сути, это строгий родитель, который говорит: «Не трогай чужие данные, или я лишу тебя карманных денег».
• CCPA (Закон о конфиденциальности потребителей Калифорнии - США): Аналогично GDPR, гарантирует жителям Калифорнии право знать, какие персональные данные собираются компаниями, и право отказаться от продажи своей информации третьим лицам (opt-out). Это как сказать: «Нет, спасибо, я не хочу, чтобы моя история покупок оказалась в рассылке ортопедических подушек».
• DPDPA (Закон о защите цифровых персональных данных - Индия): Один из новейших нормативных актов, вводящий строгие обязательства для компаний, работающих на индийском рынке, и предусматривающий серьезные штрафы за незаконную обработку данных потребителей. Вроде новичка в классе, который сразу заставляет себя уважать.

2. Основные права потребителя

Эти нормативные акты признают за пользователями ряд неотъемлемых прав для восстановления контроля над своей информацией. Среди них выделяются право на доступ (знать, какими данными о вас владеет компания — вроде вопроса: «Эй, у тебя есть моя фотография, где я ем пиццу?»), право на исправление (исправление неверных данных, например, когда система считает, что вам 120 лет), право на удаление (требование полного удаления из баз данных, знаменитое «удали всё, пожалуйста») и право на возражение против обработки в целях рекламного профилирования (потому что нет, я не хочу рекламу подгузников только потому, что искал подарок для друга).

Влияние на бизнес и стандарты соответствия

Для компаний, работающих в интернете, соблюдение законов о конфиденциальности — это не только этический долг, но и операционное требование. Внедрение адекватных мер безопасности, картирование потоков данных и назначение ответственного за защиту данных (DPO) — необходимые шаги для избежания штрафов, которые могут достигать 4% от годового глобального оборота компании. Проще говоря, лучше нанять DPO, чем платить штраф, от которого захочется плакать в углу.

Сравнение прав: GDPR против CCPA

Сводная таблица прав, предоставляемых конечным пользователям двумя наиболее известными законами о конфиденциальности.