- Katılım
- 1 Haz 2014
- Mesajlar
- 284
- Tepkime puanı
- 263
- Puanları
- 63
Are you planning a vacation to Europe? This is how GDPR will affect you.
Ellin Tolstov , co-founder and technical director of the Level.Travel online travel booking service, explains how the GDPR protection policy can affect you if you are just planning to relax in Europe and why the industry was not ready for the new rules.
No one is ready for GDPR
We will have to become Europeans at all costs, even if someone really does not want this. On the territory of Europe, a new GDPR information protection regulation comes into force, which sets new standards primarily for Internet companies, but also affects ordinary users - including those who are not EU residents.
GDPR (General Data Protection Regulation) is a general regulation on data protection, according to which from now on any personal information can be collected only with the consent of the user, explaining to him for what purposes this data will be used. And now all companies that process personal data of citizens of European countries or people located in the EU are obliged to comply with the requirements of this document. Otherwise, they face a large fine - up to 4% of the company's turnover for the previous financial year.
In addition, almost 6 million Russians go to Europe every year to relax and this law will work for each of them while they are on vacation. All travel companies process personal data. Even if the tour operator is Russian, he still transmits the information to the receiving party, and then the GDPR is waiting for him. Actually, on the basis of the document, you will have to explain to the traveler why they take personal information from him, to whom they will give it and how they will use it. No company can now remain silent.
Moreover, you will need to provide the traveler with exhaustive information about why he is requested, for example, his passport number when booking a tour. In particular, if this document is needed, then it will be necessary to explain in detail that his number will be given to hotel and airline representatives for booking a hotel room and buying tickets, and the date of birth is necessary to check the age of the buyer. A tourist should at any time be able to see his data, change it or even delete it.
It is unlikely that anyone will check ordinary people on excursions. A person who accidentally shot a crowd against the backdrop of the Colosseum will not ask anyone who is in the frame for permission to publish a photo on a personal blog. However, practice shows that sensible Europeans are not inclined to bring the implementation of their laws to absurdity.
The biggest difficulty of this regulation is streamlined wording. For example, you write in the letter “a fat bald man who lives on Lenin Street” and you mean a certain fat man - please, send him a copy explaining that you are using his image. Therefore, the interpretation of the law and its application is the most important and urgent issue.
In the dark room
The document was developed for four years and then two years were prepared for its entry into force. However, a survey of more than a thousand companies, conducted by McDermott Will & Emery and the Ponemon Institute in April this year, showed that more than 60% of technology companies will not be able to meet the requirements of the law by the date of its inception.
Also, state regulators do not quite understand their role. Suppose a user, within the framework of a regulation, contacts a company with a request for a list of data collected about him, but since the business was not ready to implement GDPR, he cannot answer him purely technically. Following the letter of the law, the next step is to complain to the local regulator. The officials in this case do not have the right to remain silent, but they do not have a clear instruction on possible actions, except for the most severe penalty.
The government will not be able to allocate resources for the organization of a security audit of each such company. According to a Reuters poll, 17 out of 24 responsible European regulators said they were not ready to introduce the law.
The average person will benefit from GDPR
Although the new regulation brings with it a number of problems and legal conflicts for the industry, an ordinary user benefits from it. Everyone needs to remember the security of their data. After all, a person does not tell everyone on the street how much money he has in his account and where the keys to the apartment are, and on the Internet for some reason he forgets about caution. For example, almost every day we hear about leaks of medical data from institutions where patient information was stored in public cloud storages or on the hard drive of a shared computer without encryption. Who may be interested in other people's diagnoses? Suppose scammers, sellers of dietary supplements, insurers or just charlatans.
Businesses have to always be torn between the need to provide a service quickly and conveniently and the creation of barriers to attackers. No one will order pizza through the application if it requires an identity confirmation by a visit to the office or the use of sophisticated means of information protection. The organization itself sees food delivery as its main task, and not the security of customer information. As a result, it is hacked, and all parties suffer losses.
Changes will come not with laws and regulators, but with people's understanding that security is important not only on a dark street, but also in the transfer of personal data. Businesses often cannot save users from their own negligence. The Internet is still like the undeveloped territory of the Wild West. There are many dangers for a wanderer who has lost his vigilance. However, it is this freedom, oddly enough, that allows technology and businesses to rapidly develop in the network space.
The GDPR should draw the attention of users, businesses, tourists, bloggers, and photographers to the importance of complying with safety rules. So far, one can only speculate about the practice of applying the law. But, as always, time will tell what a new page in the history of the Internet will turn into.
Source
Ellin Tolstov , co-founder and technical director of the Level.Travel online travel booking service, explains how the GDPR protection policy can affect you if you are just planning to relax in Europe and why the industry was not ready for the new rules.
No one is ready for GDPR
We will have to become Europeans at all costs, even if someone really does not want this. On the territory of Europe, a new GDPR information protection regulation comes into force, which sets new standards primarily for Internet companies, but also affects ordinary users - including those who are not EU residents.
GDPR (General Data Protection Regulation) is a general regulation on data protection, according to which from now on any personal information can be collected only with the consent of the user, explaining to him for what purposes this data will be used. And now all companies that process personal data of citizens of European countries or people located in the EU are obliged to comply with the requirements of this document. Otherwise, they face a large fine - up to 4% of the company's turnover for the previous financial year.
To reassure yourself with the thought that Russia has its own path will no longer be possible, because there are no borders on the Internet, and a European accidentally visiting your site obliges you to comply with the new security standards for personal data.
In addition, almost 6 million Russians go to Europe every year to relax and this law will work for each of them while they are on vacation. All travel companies process personal data. Even if the tour operator is Russian, he still transmits the information to the receiving party, and then the GDPR is waiting for him. Actually, on the basis of the document, you will have to explain to the traveler why they take personal information from him, to whom they will give it and how they will use it. No company can now remain silent.
Moreover, you will need to provide the traveler with exhaustive information about why he is requested, for example, his passport number when booking a tour. In particular, if this document is needed, then it will be necessary to explain in detail that his number will be given to hotel and airline representatives for booking a hotel room and buying tickets, and the date of birth is necessary to check the age of the buyer. A tourist should at any time be able to see his data, change it or even delete it.
Difficulties can arise with photographers and bloggers. After all, they take streets, show the faces of people, and at the same time, the activity is or resembles a commercial one.
It is unlikely that anyone will check ordinary people on excursions. A person who accidentally shot a crowd against the backdrop of the Colosseum will not ask anyone who is in the frame for permission to publish a photo on a personal blog. However, practice shows that sensible Europeans are not inclined to bring the implementation of their laws to absurdity.
The biggest difficulty of this regulation is streamlined wording. For example, you write in the letter “a fat bald man who lives on Lenin Street” and you mean a certain fat man - please, send him a copy explaining that you are using his image. Therefore, the interpretation of the law and its application is the most important and urgent issue.
In the dark room
The document was developed for four years and then two years were prepared for its entry into force. However, a survey of more than a thousand companies, conducted by McDermott Will & Emery and the Ponemon Institute in April this year, showed that more than 60% of technology companies will not be able to meet the requirements of the law by the date of its inception.
The problem is that the law has a wide scope and is rather complicated. For most companies that must comply with it, it is difficult to even realize many of its aspects.
Also, state regulators do not quite understand their role. Suppose a user, within the framework of a regulation, contacts a company with a request for a list of data collected about him, but since the business was not ready to implement GDPR, he cannot answer him purely technically. Following the letter of the law, the next step is to complain to the local regulator. The officials in this case do not have the right to remain silent, but they do not have a clear instruction on possible actions, except for the most severe penalty.
The government will not be able to allocate resources for the organization of a security audit of each such company. According to a Reuters poll, 17 out of 24 responsible European regulators said they were not ready to introduce the law.
The average person will benefit from GDPR
Although the new regulation brings with it a number of problems and legal conflicts for the industry, an ordinary user benefits from it. Everyone needs to remember the security of their data. After all, a person does not tell everyone on the street how much money he has in his account and where the keys to the apartment are, and on the Internet for some reason he forgets about caution. For example, almost every day we hear about leaks of medical data from institutions where patient information was stored in public cloud storages or on the hard drive of a shared computer without encryption. Who may be interested in other people's diagnoses? Suppose scammers, sellers of dietary supplements, insurers or just charlatans.
The situation is such that we, as an industry, simply do not have time to prepare the necessary number of people who are knowledgeable in the field of information security.
Businesses have to always be torn between the need to provide a service quickly and conveniently and the creation of barriers to attackers. No one will order pizza through the application if it requires an identity confirmation by a visit to the office or the use of sophisticated means of information protection. The organization itself sees food delivery as its main task, and not the security of customer information. As a result, it is hacked, and all parties suffer losses.
Changes will come not with laws and regulators, but with people's understanding that security is important not only on a dark street, but also in the transfer of personal data. Businesses often cannot save users from their own negligence. The Internet is still like the undeveloped territory of the Wild West. There are many dangers for a wanderer who has lost his vigilance. However, it is this freedom, oddly enough, that allows technology and businesses to rapidly develop in the network space.
The GDPR should draw the attention of users, businesses, tourists, bloggers, and photographers to the importance of complying with safety rules. So far, one can only speculate about the practice of applying the law. But, as always, time will tell what a new page in the history of the Internet will turn into.
Source
Original message
Собираетесь в отпуск в Европу? Вот как GDPR повлияет на вас.
Эллин Толстов, сооснователь и технический директор сервиса онлайн-бронирования туров Level.Travel, рассказывает, как регламент по защите информации GDPR может повлиять на вас, если вы просто собираетесь отдохнуть в Европе, и почему индустрия оказалась не готова к новым правилам.
Никто не готов к GDPR
Нам придется стать европейцами во что бы то ни стало, даже если кому-то очень этого не хочется. На территории Европы вступает в силу новый регламент по защите информации GDPR, который задает новые стандарты в первую очередь для интернет-компаний, но коснется и обычных пользователей – в том числе и тех, кто не является резидентом ЕС.
GDPR (General Data Protection Regulation) – это общий регламент по защите данных, согласно которому отныне любую личную информацию можно собирать только с согласия пользователя, объясняя ему, для каких целей эти данные будут использованы. И теперь все компании, которые обрабатывают персональные данные граждан европейских стран или людей, находящихся на территории ЕС, обязаны соблюдать требования этого документа. Иначе им грозит крупный штраф – до 4% от оборота компании за предыдущий финансовый год.
Кроме того, ежегодно в Европу ездят отдыхать почти 6 миллионов россиян и для каждого из них будет работать этот закон, пока они в отпуске. Все туристические компании занимаются обработкой персональных данных. Даже если туроператор российский, он все равно передает информацию принимающей стороне, и тут его поджидает GDPR. Собственно, на основании документа придется объяснить путешественнику, для чего у него берут личную информацию, кому ее отдадут и как будут использовать. Ни одна компания теперь не сможет отмолчаться.
Более того, потребуется предоставить путешественнику исчерпывающую информацию о том, зачем запрашивается, например, номер его паспорта при бронировании тура. В частности, если нужен именно этот документ, то придется подробно объяснить, что его номер передадут представителям гостиницы и авиакомпании для бронирования места в отеле и покупки билетов, а дата рождения необходима, чтобы проверить возраст покупателя. Турист в любой момент должен иметь возможность увидеть свои данные, изменить их или даже удалить.
Обычных людей на экскурсии вряд ли кто-то будет проверять. Человек, случайно снявший толпу на фоне Колизея, не станет спрашивать у каждого, кто попал в кадр, разрешения опубликовать фото в личном блоге. Однако практика показывает, что рассудительные европейцы не склонны доводить исполнение своих законов до абсурда.
Самая большая сложность этого регламента – обтекаемые формулировки. Например, вы пишите в письме «толстый лысый мужчина, который живет на улице Ленина» и имеете в виду определенного толстяка – будьте добры, прислать ему копию с пояснением, что пользуетесь его образом. Поэтому само толкование закона и его применение – это важнейший и насущный вопрос.
В темной комнате
Документ разрабатывали четыре года и потом два года готовились к его вступлению в силу. Однако опрос более тысячи компаний, проведенный McDermott Will & Emery и Ponemon Institute в апреле этого года, показал, что более 60% технологических компаний не смогут соответствовать требованиям закона к дате начала его действия.
Также не совсем понимают свою роль и государственные регуляторы. Допустим, пользователь в рамках регламента обращается в компанию с запросом списка собранных о нем данных, но поскольку бизнес был не готов к внедрению GDPR, то ответить ему он не может чисто технически. По букве закона, следующий шаг – жалоба местному регулятору. Чиновники в таком случае не имеют права промолчать, но при этом внятной инструкции к возможным действиям, кроме жесточайшего штрафа, у них нет.
Госструктуре выделить ресурсы на организацию аудита безопасности каждой такой компании едва ли представится возможным. По опросу Reuters, 17 из 24 ответственных европейских регуляторов сообщили, что не готовы к введению закона.
Обычному человеку будет выгоден GDPR
Хотя новый регламент и несет с собой ряд проблем и правовых коллизий для индустрии, однако рядовой пользователь от него выигрывает. Помнить о безопасности своих данных надо каждому. Ведь человек не рассказывает всем на улице, сколько у него денег на счету и где лежат ключи от квартиры, а в интернете почему-то забывает об осторожности. Например, практически каждый день мы слышим об утечках медицинских данных из учреждений, где информация о пациентах содержалась в общедоступных облачных хранилищах или на жестком диске общего компьютера без шифрования. Кому могут быть интересны чужие диагнозы? Допустим, мошенникам, продавцам БАДов, страховщикам или просто шарлатанам.
Бизнесу приходится вечно разрываться между необходимостью предоставить услугу быстро и удобно и созданием барьеров на пути злоумышленников. Никто не будет заказывать пиццу через приложение, если это потребует подтверждения личности визитом в офис или использования хитроумных средств информационной защиты. Сама организация своей главной задачей видит доставку еды, а не безопасность информации клиентов. В результате ее взламывают, и все стороны несут убытки.
Изменения придут не с законами и регуляторами, а с пониманием людей, что безопасность важна не только на темной улице, но и при передаче личных данных. Бизнесы часто не могут спасти пользователей от их собственной неосторожности. Интернет все еще похож на неосвоенную территорию Дикого Запада. Тут много опасностей для потерявшего бдительность странника. Однако именно эта свобода, как ни странно, позволяет стремительно развиваться технологиям и бизнесам на пространстве сети.
GDPR должен обратить внимание пользователей, бизнесов, туристов, блогеров, фотографов на важность соблюдения правил безопасности. Пока о практике применения закона можно лишь строить предположения. Но, как и всегда, время покажет, чем обернется новая страница в истории интернета.
Источник
Эллин Толстов, сооснователь и технический директор сервиса онлайн-бронирования туров Level.Travel, рассказывает, как регламент по защите информации GDPR может повлиять на вас, если вы просто собираетесь отдохнуть в Европе, и почему индустрия оказалась не готова к новым правилам.
Никто не готов к GDPR
Нам придется стать европейцами во что бы то ни стало, даже если кому-то очень этого не хочется. На территории Европы вступает в силу новый регламент по защите информации GDPR, который задает новые стандарты в первую очередь для интернет-компаний, но коснется и обычных пользователей – в том числе и тех, кто не является резидентом ЕС.
GDPR (General Data Protection Regulation) – это общий регламент по защите данных, согласно которому отныне любую личную информацию можно собирать только с согласия пользователя, объясняя ему, для каких целей эти данные будут использованы. И теперь все компании, которые обрабатывают персональные данные граждан европейских стран или людей, находящихся на территории ЕС, обязаны соблюдать требования этого документа. Иначе им грозит крупный штраф – до 4% от оборота компании за предыдущий финансовый год.
Успокаивать себя мыслью о том, что у России собственный путь, больше не выйдет, ведь в интернете нет границ, и случайно навестивший ваш сайт европеец обязывает вас соответствовать новым нормам безопасности персональных данных.
Кроме того, ежегодно в Европу ездят отдыхать почти 6 миллионов россиян и для каждого из них будет работать этот закон, пока они в отпуске. Все туристические компании занимаются обработкой персональных данных. Даже если туроператор российский, он все равно передает информацию принимающей стороне, и тут его поджидает GDPR. Собственно, на основании документа придется объяснить путешественнику, для чего у него берут личную информацию, кому ее отдадут и как будут использовать. Ни одна компания теперь не сможет отмолчаться.
Более того, потребуется предоставить путешественнику исчерпывающую информацию о том, зачем запрашивается, например, номер его паспорта при бронировании тура. В частности, если нужен именно этот документ, то придется подробно объяснить, что его номер передадут представителям гостиницы и авиакомпании для бронирования места в отеле и покупки билетов, а дата рождения необходима, чтобы проверить возраст покупателя. Турист в любой момент должен иметь возможность увидеть свои данные, изменить их или даже удалить.
Сложности могут возникнуть у фотографов и блогеров. Ведь они снимают улицы, показывают лица людей, и при этом деятельность является или напоминает коммерческую.
Обычных людей на экскурсии вряд ли кто-то будет проверять. Человек, случайно снявший толпу на фоне Колизея, не станет спрашивать у каждого, кто попал в кадр, разрешения опубликовать фото в личном блоге. Однако практика показывает, что рассудительные европейцы не склонны доводить исполнение своих законов до абсурда.
Самая большая сложность этого регламента – обтекаемые формулировки. Например, вы пишите в письме «толстый лысый мужчина, который живет на улице Ленина» и имеете в виду определенного толстяка – будьте добры, прислать ему копию с пояснением, что пользуетесь его образом. Поэтому само толкование закона и его применение – это важнейший и насущный вопрос.
В темной комнате
Документ разрабатывали четыре года и потом два года готовились к его вступлению в силу. Однако опрос более тысячи компаний, проведенный McDermott Will & Emery и Ponemon Institute в апреле этого года, показал, что более 60% технологических компаний не смогут соответствовать требованиям закона к дате начала его действия.
Проблема в том, что закон имеет широкий охват и довольно сложен. Для большинства компаний, которые должны его соблюдать, трудно даже осознать многие его аспекты.
Также не совсем понимают свою роль и государственные регуляторы. Допустим, пользователь в рамках регламента обращается в компанию с запросом списка собранных о нем данных, но поскольку бизнес был не готов к внедрению GDPR, то ответить ему он не может чисто технически. По букве закона, следующий шаг – жалоба местному регулятору. Чиновники в таком случае не имеют права промолчать, но при этом внятной инструкции к возможным действиям, кроме жесточайшего штрафа, у них нет.
Госструктуре выделить ресурсы на организацию аудита безопасности каждой такой компании едва ли представится возможным. По опросу Reuters, 17 из 24 ответственных европейских регуляторов сообщили, что не готовы к введению закона.
Обычному человеку будет выгоден GDPR
Хотя новый регламент и несет с собой ряд проблем и правовых коллизий для индустрии, однако рядовой пользователь от него выигрывает. Помнить о безопасности своих данных надо каждому. Ведь человек не рассказывает всем на улице, сколько у него денег на счету и где лежат ключи от квартиры, а в интернете почему-то забывает об осторожности. Например, практически каждый день мы слышим об утечках медицинских данных из учреждений, где информация о пациентах содержалась в общедоступных облачных хранилищах или на жестком диске общего компьютера без шифрования. Кому могут быть интересны чужие диагнозы? Допустим, мошенникам, продавцам БАДов, страховщикам или просто шарлатанам.
Ситуация такова, что мы, как индустрия, просто не успеваем подготовить необходимое количество людей, грамотных в сфере информационной безопасности.
Бизнесу приходится вечно разрываться между необходимостью предоставить услугу быстро и удобно и созданием барьеров на пути злоумышленников. Никто не будет заказывать пиццу через приложение, если это потребует подтверждения личности визитом в офис или использования хитроумных средств информационной защиты. Сама организация своей главной задачей видит доставку еды, а не безопасность информации клиентов. В результате ее взламывают, и все стороны несут убытки.
Изменения придут не с законами и регуляторами, а с пониманием людей, что безопасность важна не только на темной улице, но и при передаче личных данных. Бизнесы часто не могут спасти пользователей от их собственной неосторожности. Интернет все еще похож на неосвоенную территорию Дикого Запада. Тут много опасностей для потерявшего бдительность странника. Однако именно эта свобода, как ни странно, позволяет стремительно развиваться технологиям и бизнесам на пространстве сети.
GDPR должен обратить внимание пользователей, бизнесов, туристов, блогеров, фотографов на важность соблюдения правил безопасности. Пока о практике применения закона можно лишь строить предположения. Но, как и всегда, время покажет, чем обернется новая страница в истории интернета.
Источник