До Дня захисту персональних даних Катерина Міщенко написала статтю для блогу Avitar на Medium. У статті – обмін знаннями експертів з різних країн (в основному, з Британії): глобальні тенденції та очікування в галузі приватності на 2022 рік.
“Основним джерелом інформації, крім матеріалів IAPP та самих законів, були knowledge-share meetups (від того ж IAPP): різні країни, міста все відбувається не під запис . Одна з основних цінностей будь-якого заходу – це люди. І добре, коли ці люди хочуть ділитися своїм баченням і своїми знаннями. Сама послухала і розповім вам.
Цей огляд поділено на п'ять частин і поєднує як думку моїх британських колег, так і мої висновки.
У Європі все передбачувано стабільно, GDPR набирає обертів. Попередньо на 22-й рік на нас чекає:
Розмір та частота штрафів за відповідність GDPR підвищуються з 2021 року. Очікується, що у 2022 році темпи зростання зростатимуть, оскільки органи регулювання розширюють свою увагу до приватності.
За заявою CNIL їм достатньо одного (!) французького користувача, щоб втрутитися та розпочати своє розслідування.
Як приватна особа, я в захваті, а ось як ДПВ – трохи напружена. Все ж таки CNIL зараз один з найактивніших регулюючих органів.
Продовжить розвиватися держ. регулювання питань захисту даних. Особисто я, окрім низки законодавчих актів ЄС (Брюссель) чекаю на секторальні зміни: банки, нерухомість. З відомих нововведень ми чекаємо:
На думку моїх британських колег, Закон про ІІ та Закон про дані вплинуть на загальну картину. Я ж чекаю на роз'яснення щодо металісових і нових вступних у сфері IoT.
У січні 2022 року CNIL опублікував перший штраф за використання файлів cookie проти Google та Facebook.
З практичних нотаток: cookie-банер це перше, що бачить користувач (ну, або регулятор). Куди раніше ніж наявність та якість Повідомлення на сайті. Тому на користь бізнесу поставити собі банер, який відповідає вимогам. Досить цікаво, що у цьому питанні виникає більшість труднощів: конверсія, ліди, конкуренти та інші 105 чинників як аргументів проти.
Тим часом бізнес все ще працює над тим, як буде виглядати майбутнє без файлів cookie. Від останньої версії інтернету без файлів cookie відмовилися, оскільки цього не переживе структура Інтернету та бізнесу в ньому, тому шукають альтернативи.
2021 рік був роком під девізом «сиди та оцінюй». Сьогодні вже можна побачити, як перші скарги Schrems II приймаються до розгляду.
Те, що настав 22-й рік, не означає, що оцінок стане менше. Думаю, що фокус зміщуватиметься з формальної оцінки на предметний її прояв: рекомендації, прописані додаткові контролі, оцінка аналогів вендорів.
Ось уже з ким все дуже цікаво, але нічого не зрозуміло. Частково це обґрунтовано тим, що переважна більшість законів опубліковані арабською або однією з мов східної групи.
Гравець номер 1: ОАЕ відкриває Data Office для підтримки нових законів/
На честь ювілею в ОАЕ була масштабна законодавча реформа, яку можна почитати тут.
Якщо ж коротко про головне: видано нові федеральні закони ОАЕ про захист даних, відкривається офіс, секторальні закони також прописали вимоги до захисту персональних даних.
Найголовніше: попередня дата набуття чинності законом – середина березня. На імплементацію бізнесу було відведено шість місяців. Офіційного перекладу на англійську немає, чіткої дати немає, терміни не можна пробачити. Бажаю міцних нервів тим, хто працює на цьому ринку.
Вільні зони в ОАЕ та Катарі (DIFC, ADGM, QFC) також оновлюють закони про захист даних, щоб вони відповідали міжнародним стандартам захисту даних. Основний упор йде на GDPR та основні сертифікації ISO та SOC2.
Саудівська Аравія: новий закон KSA про захист персональних даних/
Ось тут починається найцікавіше. Новий Закон Королівства Саудівської Аравії про захист персональних даних було введено в дію Королівським указом та набуде чинності у березні 2022 року.
Особиста думка: запровадження кримінальної відповідальності для спеціалістів приватності не покращить становище, а призведе до того, що знайти людину, яка погодиться консультувати або зайняти посаду стрімко падатиме. Хоча багато залежить від контексту.
Малоймовірно, що закон США про приватність буде ухвалено 2022 року. Занадто складна процедура і поки що немає усталеної практики.
При цьому ми спостерігаємо за тим, як нові закони штатів, ймовірно, набудуть чинності разом із Каліфорнією, Вірджинією та Колорадо.
Судячи з аналітики, основна тема США щодо медичних даних це неправильне використання HIPPA. В основному це питання публікації даних, передачі та розкриття за запитами. Поки що не ясно, до чого це призведе з огляду на таку проактивну позицію населення.
Канада оновлює поточний закон PIPEDA. Новий СРРА – Consumer Privacy Protection Act, не лише додає нам нових абревіатур, а й моментів, які нам потрібно враховувати. Канада продовжує тенденцію Сходу на орієнтування на згоду.
Особиста думка: це досить дивно, оскільки більшість країн, навпаки, уникає цього і розвиває інші підстави для обробки, щоб залишити згоду саме такою, якою вона має бути: вільно даною, конкретною, поінформованою і недвозначною.
Перейдемо до тихоокеанського регіону. У цьому розділі, в основному, я перекажу думку інших фахівців, оскільки сама не працюю із цим регіоном.
Спостерігаємо закономірності, що регулюють обробку пд: особлива увага до оцінки транскордонної передачі
Кажуть, що докладні правила доступні на стадії розробки і будуть опубліковані найближчим часом. Зацікавлена як сторонній користувач з огляду на ситуацію контролю над персональними даними в Китаї.
Індійське законодавство теж не залишилося осторонь змін.
Виняток із мого професійного невігластва в контексті цього регіону – це Сінгапур. З урахуванням технологічного бусту, який стався там під час практично безперервних локдаунів, Сінгапур дуже цікавий саме в розрізі хмарних технологій, health tech, аналітики та величезних, просто неймовірних за розмірами баз даних. Тому сюди сміливо можна додавати регуляції або, як мінімум, рекомендації по роботі з BigData.
Офіційні заяви про майбутнє звучать так: PDPC у 2022 році буде зосереджено на цифрових послугах, хмарних технологіях та штучному інтелекті.
Продовжується реалізація Закону Сінгапуру про захист даних із поправками від 21 року. Короткий огляд для тих, хто призабув (все звичайно в курсі):
Передісторія: підприємства завжди були змушені брати згоду на будь-яку обробку даних. Правками ввели дві категорії умовної згоди: для контрактної необхідності і, якщо компанія проводить оцінку і розуміє, що обробка даних не зашкодить людині.
Тут передбачувана згода виникає, коли організація надсилає повідомлення і дає людині розумний час для відповіді та відхилення, у чому я дуже сумніваюся, що це відбувається. Цікаво, правда?
Якщо ви некоректно обходитися з персональними даними, то вам випишуть штраф у розмірі 5000 сінгапурських доларів або засудять до тюремного ув'язнення на строк до двох років.
Ні. Якщо ви випадково розкрили, використали та влаштували повторну ідентифікацію анонімних даних, це теж може призвести до кримінального покарання.
А якщо це повториться?Нічого доброго).
У сінгапурському Законі про боротьбу зі спамом буде переглянуто момент, щоб охоплювати популярні платформи обміну повідомленнями, такі як WhatsApp, щоб зупинити небажані повідомлення. Як це діятиме на даний момент мені незрозуміло. Але, судячи із загального враження, Сінгапур дедалі ближче підходить до Китаю.
І, нарешті, Латинська Америка. Найдивовижніший для мене регіон, який за два тижні збору інформації порадував мене найбільше.
Секретик: якщо вам корисно чи цікаво дізнатися про ринок Латам, ми можемо організувати вебінар з нашими партнерами з Бразилії.
Новиною, гідною повторення стало те, що Бразилія ухвалила власний закон про захист персональних даних – LGPD – майже нічим не поступається нашому коханому GDPR.
Більше того, люди досить обізнані про свої права. ЗМІ повідомляють про кілька випадків витоку даних після набуття чинності LGPD.
На що вплине висвітлення у ЗМІ таких кейсів? Громадська поінформованість увіличаться, а новий регулюючий орган буде налаштований на правозастосування.
Особиста думка: Загалом правозастосування у цій сфері йде дуже непогано. За відкритими даними в інтернеті, бразильська система захисту прав споживачів отримує позови, що підвищує рівень та кількість судових розглядів. У 2021 було 6000 позовів щодо приватності. Але багато позовів пов'язані з трудовими відносинами, де вимога щодо приватності вдруге. Багато позовів йдуть у small cases Court, де позивач не платитиме за витрати відповідача, навіть якщо він програє. Тому компанії завалюються позовами через дрібниці типу невідповідного запиту.
В ідеалі, далі на нас чекають судові процеси, пов'язані з приватністю, та групові ризики. Sounds like fun, isn’t it?
Загалом картина така, що з розвитком цифрових технологій захист даних у Латинській Америці тяжіє до стандартів GDPR.
Не знаю що у них там відбувається, але їхній регулятор судячи з усього явно сприяє інноваціям. У мережі досить велика кількість приємних новин, наприклад про позитивний досвід роботи з біткойнами в Ель-Сальвадорі, Барбадос, який відкрив перше посольство в Метавсесвіті.
Особиста думка: Бразилія випускає багато стартапів в останні кілька років, і з урахуванням LGPD мені здається, що регулювання ІІ – не за горами.
Ось кілька фактів:
На цьому все. На будь-які запитання чи коментарі я відповім у наступній статті.А поки що в наступній серії стислий огляд всього, що є в українському законодавстві в контексті персональних даних.
Повний текст статті: Medium