Управление комиссара по защите данных в Ирландии оштрафовало компанию Meta* Platforms (владеет Facebook*, Instagram* и WhatsApp) на €17 млн за нарушение общего регламента по защите данных (GDPR), который действует на территории Евросоюза. Такое решение было принято по результатам расследования на основе 12 уведомлений, поступивших в ведомство в период с июня по декабрь 2018 года.

Источник изображения: Capri23auto / pixabay.com

В ходе расследования регулятор установил, что Meta* нарушила несколько статей GDPR, в том числе «не приняла соответствующих технических и организационных мер, позволяющих продемонстрировать меры безопасности, применяемые на практике для защиты данных пользователей ЕС». Решение о взыскании штрафа вызвало возражение некоторых других европейских надзорных органов, но в конечном счёте все нюансы удалось уладить. Отметим, что в настоящее время европейские надзорные органы проводят ещё несколько расследований, которые связаны с обработкой пользовательских данных сервисами, принадлежащими американской компании.

Представитель Meta*, комментируя данный вопрос, отметил, что штраф касается практики, которая применялась компанией в 2018 году и с тех пор была существенно изменена. Речь не идёт о неспособности Meta* обеспечить должный уровень защиты данных пользователей. Также было отмечено, что компания серьёзно относится к GDPR и прикладывает необходимые усилия для соответствия действующему в регионе законодательству.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Бельгийское Управление по защите данных (APD) постановило (PDF), что все данные, собранные посредством принятого в Европе механизма Transparency & Consent Framework (TCF), были получены незаконно и подлежат уничтожению. Решение затронет интересы более тысячи специализирующихся на онлайн-рекламе компаний, которые состоят в ассоциации IAB Europe, в том числе Google, Amazon и Microsoft.

Источник изображения: Capri23auto / pixabay.com

Большей частью рекламы в Европе управляет отраслевая ассоциация IAB Europe — она была создана с тем, чтобы рекламодатели и рекламные площадки действовали единообразно и подчинялись требованиям местного законодательства. Для этого был разработан единый механизм Transparency and Consent Framework (TCF): при заходе на сайты пользователи видели всплывающие окна, запрашивающие их согласие на обработку данных.

Данные каждого пользователя собирались на различных ресурсах и включали довольно подробную информацию, которая представлялась в формате TC String. Эти данные, по сути, транслировались онлайн неограниченному кругу лиц без какого-либо надзора и обрабатывались системой RTB (Real-Time Bidding) — аукционом с автоматическими ставками в реальном времени, определяющим, какая реклама демонстрируется пользователям на площадке.

Источник изображения: Gerd Altmann / pixabay.com

По версии бельгийского регулятора, сам характер дачи согласия пользователем при клике на всплывающем окне, а также собранные платформой RTB данные нарушают требования европейского Общего регламента защиты данных (GDPR), который определяет принципы соблюдения конфиденциальности при обработке информации в регионе. В частности, согласие на обработку данных не «запрашивалось надлежащим образом»; отсутствовала «прозрачность в отношении того, что происходит с данными»; обработка данных не соответствовала GDPR; а IAB Europe не обеспечила требований по защите информации.

В этой связи APD постановило, что все собранные системой RTB данные подлежат уничтожению. Это может затронуть интересы крупных игроков рекламной отрасли, в том числе Google и Facebook*, а также компаний, специализирующихся на больших данных. Ассоциация IAB Europe будет подвергнута штрафу в размере $250 тыс., кроме того, ей предписано перестроить существующую структуру рекламных технологий, для чего организации необходимо назначить ответственное лицо и, если это возможно, привести систему в соответствие GDPR. Ассоциация с данным решением не согласна: она называет себя разработчиком стандартов и отказывается от роли самостоятельного субъекта обработки данных.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

За последний год объём штрафов за нарушение Общего регламента по защите данных (GDPR) в Евросоюзе вырос почти в семь раз, показало исследование юридической фирмы DLA Piper. В период с 28 января 2021 года в регионе было принято несколько решений о вынесении штрафов за нарушение GDPR на общую сумму в $1,25 млрд, тогда как годом ранее этот показатель был равен примерно $180 млн.

Истоник изображения: BirgitKorber / iStock / Getty Images

В сообщении сказано, что количество уведомлений регулирующих органов об утечках информации за отчётный период выросло на 8 % и в среднем составило 356 обращений в день. Напомним, GDPR действует в Евросоюзе с 2018 года. Регламент предназначен в том числе для того, чтобы дать жителям региона больше контроля над своими данными. В соответствии с действующим законодательством компании и организации обязаны продемонстрировать чёткую правовую основу для сбора и обработки персональных данных пользователей. Кроме того, компании обязаны уведомлять регуляторов о любых утечках данных в течение 72 часов с момента обнаружения инцидента. Несоблюдение требований GDPR может привести к крупным штрафам в размере до 4 % годового дохода компании в регионе или €20 млн.

«GDPR, безусловно, эффективно заставил всех прислушаться к закону о защите данных и обеспечению соблюдения требований по защите информации», — считает сотрудник DLA Piper Росс Маккин (Ross McKean). Он также отметил, что в прошлом крупнейшие IT-компании могли отделаться небольшим штрафом за нарушение правил обработки и хранения данных пользователей. Теперь же, когда размер штрафа может приблизиться к миллиарду евро, компании вынуждены считаться с европейским законодательством.

Отметим, что в прошлом году некоторые штрафы европейских регуляторов за нарушение GDPR достигли рекордных значений. Служба защиты конфиденциальности Люксембурга оштрафовала Amazon на €746 млн, а власти Ирландии оштрафовали Meta* Platforms на €225 млн. В настоящее время обе компании пытаются обжаловать штрафные санкции регуляторов в суде.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Amazon была оштрафована на рекордную сумму в €746 млн по решению люксембургского регулятора за нарушение закона о персональных данных. Об этом компания сообщила американской Комиссии по ценным бумагам и биржам, назвав решение безосновательным и объявив о намерении «решительно защищаться в этом деле».

Источник: reuters.com

Как стало известно, штраф был наложен ещё 16 июля, а причиной стало нарушение Общего регламента защиты персональных данных (GDPR), который был принят в Евросоюзе ещё в 2018 году. В разговоре с журналистами агентства Bloomberg представитель Amazon подчеркнул, что не было никаких взломов, и данные клиентов не передавались никаким третьим лицам. Компания выразила категорическое несогласие с данным решением, поэтому она будет добиваться его отмены.

Штраф был наложен после рассмотрения жалобы, которую в 2018 году подала французская правозащитная организация La Quadrature du Net. Эта же организация вскоре после принятия GDPR от лица 12 тысяч человек подала множество исков против крупных технологических компаний. Так, в январе 2019 года Google была оштрафована французским регулятором CNIL на $57 млн за то, что нарушила Регламент, не получив от пользователей Android согласия на обработку данных, которые использовались для таргетированной рекламы.

Известие о рекордном штрафе поступило на фоне повышенного внимания к европейскому бизнесу Amazon. В отношении компании сейчас проводится антимонопольное расследование, которое также коснулось вопроса обработки данных. В ноябре прошлого года было опубликовано предварительное решение Еврокомиссии, которая постановила, что Amazon нарушила правила конкуренции, использовав данные сторонних продавцов для продвижения собственных продуктов. Компанию также обвинили в продвижении на своём сайте собственных продуктов вопреки интересам партнёров, и в отношении данного факта было открыто ещё одно расследование.

Комиссия по защите данных Ирландии объявила о присуждении штрафа компании Twitter в размере €450 тыс. (примерно $546 тыс. или более 40 млн рублей) из-за утечки данных пользователей. Примечательно, что с момента вступления в силу общего регламента по защите данных (GDPR) на территории Евросоюза в середине 2018 году штрафом впервые была наказана крупная американская технологическая компания.

Изображение: Getty Images

Информация об инциденте, связанном с утечкой данных пользователей Twitter, была раскрыта в январе 2019 года. В соответствии с GDPR, компания должна была задокументировать и должным образом уведомить регулятора об инциденте в течение 72 часов, но этого сделано не было. В результате этой утечки опубликованные в закрытых аккаунтах твиты стали общедоступными.

«Мы берём на себя ответственность за эту ошибку и остаёмся приверженными защите конфиденциальности данных наших пользователей», — сказал представитель Twitter, добавив, что несвоевременное уведомление регулятора об инциденте стало «непредвиденным последствием укомплектования персонала», который работал в период рождественских каникул в конце 2018 года.

Расследование данного инцидента фактически было завершено ещё в мае этого года, но регуляторам стран ЕС после этого потребовалось несколько месяцев, чтобы определиться с размером штрафа. Согласно GDPR, из-за утечки данных компанию могли оштрафовать на сумму до 2 % от выручки, а её объём у Twitter в 2018 году составил $60 млн. Ирландский регулятор решил не выносить максимальный штраф, поскольку утечка данных была признана не преднамеренной и не систематической. После долгих обсуждений было принято решение о вынесении штрафа в размере €450 тыс.

Компания Google планирует вывести учётные записи своих британских пользователей из-под контроля регуляторов конфиденциальности Евросоюза, поместив их под юрисдикцию США. Об этом сообщает информационное агентство Reuters со ссылкой на собственные источники.

В сообщении говорится, что Google хочет заставить пользователей принять новые условия из-за выхода Великобритании из Евросоюза. Это сделает конфиденциальные пользовательские данные десятков миллионов человек менее защищёнными и доступными правоохранительным органам. Однако пока остаётся неясным, продолжит или нет Великобритания следовать Общему регламенту по защите данных (GDPR) после выхода из ЕС.

Ирландия, где располагаются штаб-квартиры американских технологических компаний, таких как Google, входит в состав Евросоюза, где действуют одни из самых агрессивных в мире правил по защите конфиденциальных данных. Если Google решит вывести данные британских пользователей из-под ирландской юрисдикции, то они будут регулироваться в соответствии с законами США. Такой подход позволит британским властям и правоохранительным органам получать доступ к пользовательским данным, поскольку американские законы о конфиденциальности значительно более мягкие по сравнению с европейскими.

В распоряжении Google находится одна из крупнейших баз пользовательских данных, которая используется компанией для адаптации услуг и заработка на рекламе. Представители Google пока отказываются от официальных комментариев касательно данного вопроса. В ближайшие месяцы другие американские технологические компании должны будут сделать аналогичный выбор касательно дальнейшего регулировании конфиденциальных пользовательских данных.

В мае прошлого года Европейский Союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Они крайне строго относятся к вопросу обработки пользовательских данных. Конфиденциальность в индустрии высоких технологий в последние годы оказалась под большим вопросом. Даже некоторые ведущие компании вроде Facebook* и Google, зарабатывающие преимущественно на рекламе, время от времени попадают в скандалы. При этом все участники рынка уверяют, что относятся к приватности очень серьёзно, но споры возникают уже вокруг базового вопроса: какие именно данные считать конфиденциальными?

Чтобы разрешить проблему, ряд компаний, включая Cisco и Apple, выступили с призывом к правительству США разработать общенациональный закон о конфиденциальности данных (вместо разрозненных законов штатов) и указали в качестве ориентира на действующий в Европейском Союзе GDPR. Стоит отметить, что оба упомянутых производителя получают основные свои доходы не за счёт рекламы или монетизации информации о пользователях, так что их GDPR коснулся меньше, а вот конкурентам подобные законы могут заметно усложнить жизнь.

GDPR требует от компаний среди прочего не только информировать пользователей о любом сборе данных, который может произойти (от самого простого и мелкого файла cookie на сайте до крупных интернет-сервисов), но и предоставлять все собранные данные о гражданине ЕС по его запросу (выполнять закон должны все компании, предоставляющие услуги в странах Евросоюза).

В то время как в целом закон хвалили за защиту личных данных пользователей на самом высоком уровне, GDPR не обошёлся без критики и недостатков. Одни пункты закона выглядят крайне трудно выполнимыми, а другие сформулированы очень расплывчато и могут быть широко интерпретированы. Однако наибольшую обеспокоенность вызвали расходы на полноценное внедрение правил GDPR: не все компании технически способны обработать запросы пользователей на отправку им данных или на удаление о них информации с серверов.

Кстати, главный юрисконсульт Cisco Марк Чендлер (Mark Chandler) отметил, что у граждан США сейчас нет права на удаление своих данных из поисковых систем. Сторонники конфиденциальности в США предлагают использовать законодательство ЕС как ориентир, сделав при этом будущий федеральный закон более подходящим для Америки. Впрочем, когда подобное будет принято, пока не ясно.

Кстати, Apple в последнее время взяла курс на отказ от использования личных данных конкретных пользователей и старается проводить все персонализированные операции локально на устройстве, без применения облака. Более того, компания даже шутит над проблемами конфиденциальности Google Android и Amazon Alexa.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Сервис отложенного чтения Instapaper после двухмесячного перерыва снова стал доступен жителям стран Евросоюза. Разработчики заявили, что теперь продукт соответствует требованиям Общего регламента по защите данных ЕС 2016/679 от 27 апреля 2016 года (GDPR).

Компания заблокировала пользователям из ЕС доступ к Instapaper в мае, всего за несколько дней до вступления закона в силу. GDPR установил более жёсткие правила касательно сбора пользовательских данных, и многим компаниям пришлось сильно постараться, чтобы начать соответствовать новому регламенту.

«За прошедшие два месяца мы предприняли ряд мер касательно Общего регламента по защите данных, и теперь рады сообщить о возвращении в Европейский Союз», — написали в блоге Брайан Донохью (Brian Donohue) и Родион Гусев, которые отвечают за Instapaper с тех пор, как в июле сервис отделился от Pinterest.

Разработчики обновили политику конфиденциальности платформы, но до сих пор не ясно, почему на это потребовалось так много времени. Тем не менее, политика доступна на GitHub, где можно просмотреть все вносившиеся в неё изменения.

Также Instapaper перезапустила премиум-подписку, чтобы остаться на плаву после отделения от Pinterest. За $3 в месяц или $30 в год вас ждут такие преимущества, как полноценный поиск по тексту, неограниченное число заметок, функция отправки контента на Kindle и отсутствие рекламы. Всем жителям ЕС, которых затронуло отключение сервиса, дадут шесть месяцев подписки бесплатно.

На днях настойчивый австрийский разработчик по имени Питер Штейнбергер (Peter Steinberger) сумел получить весь архив своих данных от компании Spotify. Выяснилось, что компания проводит максимально детализированное отслеживание всех взаимодействий пользователя с клиентом службы, вплоть до изменения размеров окна приложения.

«Попробовал осуществить экспорт данных GDPR из Spotify. По умолчанию пользователь получает 6 файлов JSON, которые почти ничего не содержат. Но после многих писем и жалоб, а также месяца ожидания мне предоставили архив в 250 Мбайт, который содержал данные буквально о каждом моём взаимодействии с любыми клиентами Spotify, всю историю моего поиска. Всё.

Они даже хранят марку наушников, которыми я пользуюсь. Как они это выяснили? Копались глубоко в CoreBluetooth?» — написал он.

Поскольку GDPR был принят в мае, теперь технические компании обязаны отвечать на запросы пользователей из числа граждан ЕС об их личных данных. Отслеживание данных — обычное дело. Как правило, компании собирают информацию с целью изучения своей пользовательской базы и улучшения окружения, разработки новых продуктов, целевой рекламы и так далее.

Вполне логично, что Spotify отслеживает, например, как долго пользователь слушает песню, сколько песен пропускает и тому подобные действия. Но компания, видимо, придерживается принципа: чем больше знаешь о пользователе, тем лучше, а потому собирала все возможные данные вплоть до того, в каком месте музыкальной композиции человек решил повысить громкость.

Как отметил господин Штайнбергер, собранные Spotify данные ничем особенным не примечательны, разве что обширностью интересов компании. Хотя законодательство GDPR предназначено для противодействия подобным практикам широкого сбора данных, оно вполне может сильно усложнить IT-компаниям жизнь, ведь порой в обмен на бесплатность служб монетизируются именно собранные о пользователях данные.

25 мая Европейский союз официально перешёл на новые правила обработки персональных данных GDPR (Общий регламент по защите данных ЕС 2016/679 от 27 апреля 2016 года). Важной особенностью GDPR является экстерриториальный принцип действия, так что он затрагивает американские и российские компании, обслуживающие потребителей в ЕС. Штрафы могут достигать €20 млн или 4 % дохода компании на мировом рынке за год. Для обычных пользователей внешне мало что изменится: как правило, придётся снова принять различные соглашения об обработке своих персональных данных, зато защита последних предусмотрена на гораздо более серьёзном уровне.

Под персональными данным в GDPR подразумевается любая информация, относящаяся к физическому лицу, по которой можно прямо или косвенно его идентифицировать. То есть речь может идти об имени, данных о местоположении, онлайн-идентификаторе и прочих факторах вроде IP-адреса, помогающих установить личность. Есть и особые конфиденциальные персональные данные: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, генетическая и биометрическая информация, сведения о состоянии здоровья, сексуальной жизни.

В качестве основных принципов обработки персональных данных по GDPR выступают:

• персональные данные должны обрабатываться законно, справедливо и прозрачно, причём любую информацию о целях, методах и объёмах обработки персональных данных компании обязаны излагать максимально доступно и просто;
• данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией или службой;
• нельзя собирать личные данные в большем объёме, чем необходимо для целей обработки;
• неточные личные данные должны быть удалены или исправлены по требованию пользователя;
• личные данные должны храниться только в той форме и на тот срок, который позволяет идентифицировать человека в заявленных целях обработки;
• при обработке персональных данных компании обязаны обеспечить их защиту от несанкционированного или незаконного доступа, уничтожения и повреждения.

GDPR требует, чтобы согласие пользователя на обработку его персональных данных было выражено в форме утверждения или в форме чётких активных действий. Кроме того, согласие может считаться недействительным, если у пользователя не было возможности отозвать его без ущерба для себя. Согласие на обработку данных ребёнка (в зависимости от государств ЕС — до 13–16 лет) должно быть авторизовано родителями или законными представителями.

О любых нарушениях, связанных с персональными данными, компании должны сообщать в течение 72 часов после обнаружения проблемы регулирующим органам. В случае дополнительных задержек или попыток скрыть факт утечек штрафа компаниям не избежать.

Граждане и резиденты ЕС в рамках GDPR получают расширенные права, касающиеся их персональных данных. Они имеют возможность запрашивать подтверждение факта обработки их данных, период, место и цель обработки, категории информации, название третьих сторон, которым раскрываются персональные данные, уточнять источник получения организацией данных и требовать внесения поправок. Также пользователь имеет право требовать прекращения обработки своих данных.

Любопытное новшество GDPR — право на перенос личных данных (right to data portability), которое обязывает компании по запросу пользователя передавать бесплатно личные данные последнего другой компании. То есть пользователь может попросить, например, передать всю историю своих запросов от одной поисковой системы другой или предпочтения покупок из одного магазина в другой.

Многие пользователи готовились к 25 мая всерьёз, так что как только правила GDPR вступили в силу, на ряд крупнейших компаний вроде Facebook*, Google и Instagram* посыпались судебные иски на миллионы евро. Истцы среди прочего обвинили компании в принудительном согласии: то есть им было предложено подтвердить согласие с GDPR без ясного объяснения сути всех новшеств или же новое пользовательское соглашение компания назвала изменением внутреннего регламента якобы с целью запутать людей.

Правила GDPR обсуждались четыре года, регулирующие органы дали компаниям два года на приведение своей политики и инфраструктуры в соответствие с GDPR. Многие сделали это заранее, но большинство оказалось не готово к новшествам.

По мнению адвоката и главного сотрудника по конфиденциальности в United Lex Джейсона Стрэйта (Jason Straight), немного компаний, особенно американских, полностью соответствуют требованиям GDPR. В опросе более 1000 предприятий, проведённом Институтом Понемона в апреле, половина компаний заявила, что они не смогут соответствовать к сроку. Если говорить о технологическом секторе, таковых оказалось 60 %.

«На протяжении многих лет компании работали по принципу: „Сколько персональных данных мы можем заполучить от пользователей? А уж как использовать этот массив информации, мы выясним позже!“ Это не будет приемлемым способом работы при GDRP, — сказал господин Стрэйт. — Есть некоторые компании, с которыми мы разговаривали, которые возмущаются: „Вы шутите? Если бы мы рассказали людям, как используем их данные, они никогда бы не дали их нам!“. А я говорю в ответ что-то такое: „Да, отчасти, в этом и цель новых правил“».

Для компаний, которые действовали по принципу извлечения максимума информации о пользователях для последующего возможного анализа, реорганизация в рамках GDPR во многом может оказаться пыткой: ведь нужно удалить лишнюю информацию, оставив лишь самую необходимую для текущих задач.

Но, возможно, самым серьёзным требованием GDPR, которое приводит в ужас компании, является право на запросы доступа к персональным данным. Пользователи из ЕС могут запрашивать удаление информации, исправлять её, если она неверна, и даже получать её в удобном для переноса виде. Но эти данные могут быть на пяти разных серверах в массе различных форматов. Другими словами, переход на стандарты GDPR требует создание внутренней инфраструктуры, позволяющей эффективно обрабатывать запросы пользователей.

Кроме того, персональные данные — размытая категория. Имена, адрес электронной почты, номера телефонов, данные о местоположении — это очевидно. Но есть более двусмысленные данные вроде непрямых отсылок: «Высокий лысый парень, который живёт на правой стороне улицы Ленина». По словам Джейсона Стрэйта, если кто-то написал подобное в письме, формально в рамках GDPR компания должна предоставить эту информацию по запросу.

Переход на GDPR — болезненная процедура. Например, год назад 61 % мировых компаний даже не начинали работу по адаптации новых правил. Понятно, что европейские предприятия, особенно в странах вроде Германии и Великобритании, где и ранее существовали довольно жёсткие законы о неприкосновенности частной жизни, лучше подготовлены. Тем не менее, опрос в январе 2018 года показал, что четверть лондонских компаний даже не знает, что такое GDPR.

Профессор антропологии и информатики Университета Колорадо в городе Боулдере Элисон Кул (Alison Cool) написала в The New York Times, что закон ошеломляюще сложен и непонятен для людей, которые пытаются его соблюдать. Учёные и менеджеры данных, с которыми она говорила, сомневаются в том, что полное соответствие правилам вообще возможно. Это тревожный звонок, учитывая тот факт, что штрафы могут достигать 4 % мировых доходов (то есть могут легко лишить всей прибыли).

Принятие правил GDPR заставило американского бизнесмена Питера Тиля (Peter Thiel), сооснователя PayPal и президента хедж-фонда Clarium Capital, во время беседы на Экономическом клубе Нью-Йорка в марте обвинить ЕС в злодейском протекционизме: «В Европе нет успешных технологических компаний, и они ревностно относятся к США, поэтому они и наказывают нас».

Поскольку во многом правила GDPR неоднозначны, их реализация на практике будет зависеть от действий регулирующих органов. В конечном итоге появятся нормы: кого будут преследовать власти, какие штрафы взимать с нарушителей и за какое поведение. Предполагается, что поначалу регуляторы не будут лютовать — дадут компаниям время привыкнуть к новой реальности. Но точно предсказать будущее сложно, ведь частично реализация GDPR зависит от активности пользователей.

Если резидент ЕС подаёт запрос на получение своих персональных данных, у компании есть 30 дней для ответа. Например, компания получает один из этих запросов, но всё ещё не полностью готова к GDPR и буквально неспособна реагировать. Если она не отвечает, субъект данных может подать жалобу местным органам. GDPR требует от регулятора действий для претворения закона в жизнь. Штраф может и не достигать 4 %, но чиновники не могут просто отправить жалобы в корзину. А если запросов будут тысячи, начнутся проблемы. 17 из 24 регуляторов ЕС, опрошенных Reuters в этом месяце, сказали, что не готовы к новому закону, потому что не имеют финансирования или законных полномочий выполнять свои обязанности.

Другая ситуация связана с информированием об утечках: компании обязаны сообщать органам о проблемах в течение 72 часов, но какова должна быть реакция последних — не вполне ясно. Регуляторы могут быть не готовы к аудиту безопасности компании или иным мерам по защите частной жизни резидентов ЕС. Правила GDPR должны применяться только к жителям Евросоюза, но ведь большинство интернет-компаний занимаются бизнесом в ЕС, так что им нужно быть готовым реагировать на требования GDPR. Постепенно принятие такого законодательства может стать нормой и в других странах. Тем временем появляются новости о том, что новый регламент ЕС по защите персональных данных вынуждает компании отказываться от европейского трафика.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

С начала 2017 года киберпреступники похитили криптовалют на сумму, эквивалентную порядка $1,2 млрд, сообщается в отчёте антифишинговой рабочей группы (Anti-Phishing Working Group, APWG). В исследование были включены как зарегистрированные, так и незарегистрированные кражи. «Кроме оборота наркотиков и отмывания денег с помощью криптовалют мы видим ещё одну проблему — воровство токенов», — заявил в интервью Reuters генеральный директор компании CipherTrace и председатель APWG Дэйв Джеванс (Dave Jevans).

По оценкам Джеванса, из украденных $1,2 млрд возвращены были лишь около 20 %. При этом эксперт считает, что в будущем ситуация не только не улучшится, но даже осложнится. В этом он винит постановление Европейской комиссии о защите данных (GDPR), которое вступает в силу 25 мая 2018 года. «GDPR негативно отразится на безопасности в Интернете и непреднамеренно сыграет на руку киберпреступникам. Ограничивая доступ к важной информации, новый закон значительно затруднит расследование киберпреступлений — кражи криптовалют, фишинга, вымогательства, распространения вредоносных программ, взломов», — уверен Джеванс.

Дело в том, что GDPR запрещает компаниям публиковать информацию, с помощью которой можно было бы идентифицировать пользователей Интернета. Согласно постановлению, использование протокола WHOIS является незаконным, так как он позволяет установить имя, адрес электронной почты и номер телефона того, на чьё имя зарегистрирован тот или иной домен во Всемирной паутине. Но именно WHOIS был одним из важнейших инструментов правоохранительных органов в борьбе с преступлениями в киберпространстве.

Условно-бесплатная MOBA Super Monday Night Combat прекратит своё существование в следующем месяце из-за новых законов о конфиденциальности ЕС. Игра уже исчезла из магазина Steam, а у обладающих ею пользователей она перестанет запускаться 24 мая.

Общий регламент по защите данных (GDPR) направлен на то, чтобы гарантировать безопасность пользователей и заставить компании соблюдать требования по обработке и хранению данных. Тех, кто к 25 мая не изменит инфраструктуру в соответствии с законом, ждут огромные штрафы.

Как сообщили в беседе с Polygon разработчики из Uber Entertainment, в нынешнем виде мультиплеерная составляющая не соответствует требованиям GDPR. А на её переделывание уйдёт значительно больше денег, чем было потрачено на создание проекта. В качестве компенсации всем активным пользователям раздадут 10000 единиц игровой валюты.

Серверы Super Monday Night Combat уже давно не набивались битком, поэтому вряд ли кто-то сильно расстроится из-за их закрытия. В то же время будет интересно посмотреть, скольких разработчиков и издателей коснётся эта проблема. На днях, к примеру, компания WarpPortal сообщила об отключении европейских серверов своих игр (в том числе Ragnarok Online) по той же причине. Россию и страны СНГ это не затронуло.