Лента новостей
Как в России выращивают быков элитной породы блэк ангус 03:24, РБК и Мираторг Американский телехолдинг Comcast купит британский Sky за $38 млрд 02:44, Бизнес Times узнала о подготовке команды Мэй к досрочным выборам 02:41, Политика Энтони Джошуа нокаутом выиграл у Александра Поветкина чемпионский бой 01:48, Спорт Краснодар официально признали городом-миллионником 01:35, Общество В России стартовали вторые туры выборов глав регионов 01:00, Политика Иран вызвал послов европейских стран после теракта на военном параде 00:42, Политика Япония запустила ежегодный космический грузовик к МКС 00:23, Технологии и медиа «Maserati — это как балет»: секреты и философия кроссовера Levante 00:20, РБК и Maserati Помпео ответил на сообщение об обсуждении в Минюсте отстранения Трампа 22 сен, 23:20, Политика ПВО Саудовской Аравии перехватили ракету йеменских хуситов 22 сен, 23:13, Политика В водах Нигерии пираты похитили 12 моряков со швейцарского судна 22 сен, 22:25, Общество Новак рассказал об исполнении соглашения ОПЕК + на 129% 22 сен, 22:11, Экономика Бокс. Александр Поветкин — Энтони Джошуа. Онлайн 22 сен, 22:00, Спорт Кремль заявил о способности России самой построить «Северный поток-2» 22 сен, 21:55, Политика ЦБ заявил о способности банков выполнять обязательства в любой валюте 22 сен, 21:24, Финансы Погранслужба сообщила о появлении кораблей ВМС Украины у берегов Крыма 22 сен, 20:47, Политика СМИ узнали о готовности России построить «Северный поток-2» за свой счет 22 сен, 20:41, Политика Спикер премьера Италии пообещал «мега-вендетту» правительства к Минфину 22 сен, 20:31, Политика Умер вокалист основавшего стиль рокни дуэта Chas & Dave Чес Ходжес 22 сен, 19:41, Общество В УПЦ рассказали об описи имущества Московского патриархата на Украине 22 сен, 19:29, Политика МЧС предупредило москвичей о грозе с порывами ветра до 19 м/с 22 сен, 19:20, Общество Китай отменил участие в совместных мероприятиях с США из-за санкций 22 сен, 19:04, Политика Рогозин назвал дату посадки марсохода ЕКА с российским модулем на Марс 22 сен, 18:59, Технологии и медиа «ВКонтакте» заблокирует группу движения против рабства «Альтернатива» 22 сен, 18:43, Общество Число жертв теракта во время парада в Иране возросло до 29 человек 22 сен, 18:32, Общество Спасатели нашли выжившего через два дня после крушения парома в Танзании 22 сен, 18:15, Общество В рейтинг самых опасных городов мира вошел Новосибирск 22 сен, 17:57, Общество
Защита данных по-новому: как регламент ЕС повлияет на российский бизнес
Газета № 037 (2761) (0103) Технологии и медиа, 01 мар, 00:01
0
Европа встает на защиту данных
Четыре вопроса о влиянии на российский бизнес нового регламента ЕС
В ЕС вступают в силу новые правила защиты персональных данных, полученных с территории союза, и все работающие с ними компании должны будут пересмотреть свои регламенты. Как к этому готовится российский бизнес — разбирался РБК
Фото: Octav Ganea / Mediafax / AP

С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation; GDPR). Документ был одобрен Европейским парламентом в апреле 2016 года, его цель — повысить уровень защиты персональных данных внутри стран союза. При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России.

РБК разобрался, что в результате изменится для российских компаний в сфере защиты персональных данных.

1. Кто будет обязан выполнять положения регламента?

Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. «Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.)», — пояснил РБК эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков.

GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, отмечает эксперт. GDPR защищает права не только граждан Евросоюза, но и резидентов других стран, находящихся на его территории. «В то же время данные гражданина Евросоюза, который приехал в Россию и получает услуги здесь, не должны защищаться в соответствии с европейским законом», — отмечает Бирюков.

Как уточняет старший юрист фирмы АЛРУД Марина Юфа, нормы регламента придется выполнять российским «дочкам» европейских компаний. «В рамках группы компании, как правило, обмениваются персональными данными (например, в контексте кадровых вопросов) и заключают внутрикорпоративные договоры об обработке персональных данных. В рамках таких договоров европейские штаб-квартиры налагают на российские дочерние структуры обязанности по защите данных в соответствии с регламентом», — говорит Марина Юфа.

2. Что придется делать компаниям в рамках регламента?

Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки «Согласен»: подтверждение должно быть «четким утвердительным актом в письменной или устной форме». Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее.

Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом. Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак. Компании, обрабатывающие персональные данные систематически и в больших масштабах, должны иметь сотрудника, ответственного за безопасность данных (data protection officer).

Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется.

3. Как российские компании готовятся к новым правилам?

В ряде опрошенных РБК российских компаний, которые по экспертным прогнозам попадают под действие GDPR, подтвердили начало процесса подготовки к новым требованиям ЕС.

Как сообщил РБК представитель Сбербанка, сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран. «Сбербанк не нарушает законодательство, поэтому мы серьезно готовимся к вступлению GDPR в силу», — сообщил он. Еще в конце 2017 года на сайте госзакупок появилась информация о том, что банк планирует потратить 67,4 млн руб. на подготовку к вступлению GDPR: проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.

Представитель РЖД сообщил РБК, что в ближайшее время компания обновит правила продажи электронных билетов и оферты на корпоративном сайте (какие именно изменения будут внесены, перевозчик не уточнил). Кроме того, РЖД дорабатывают программное обеспечение.

Представитель пресс-службы ВТБ сообщил, что в банке также готовятся к вступлению в силу регламента, но детали не уточнил. В какие суммы может обойтись подготовка для РЖД и ВТБ, их представители не раскрывают.

По словам представителя «Аэрофлота», компания проводит «тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров».

Анализируют положения GDPR также в ЛУКОЙЛе и Альфа-банке, сообщили их представители.

Еще несколько компаний заняли выжидательную позицию. В отчете МТС за четвертый квартал в разделе рисков указано, что на текущий момент компании неясно, каким образом вступающие в силу новые требования Европейского союза могут повлиять на деятельность компаний, попадающих под действие акта.

Представитель пресс-службы интернет-магазина Ozon сообщил, что они также пока «наблюдают за подготовкой других компаний». «Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы», — сказал он.

Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR не распространяются на них. «Россия не является государством — участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами», — пояснил представитель Роскомнадзора. Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента. Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.

4. Какое наказание предусмотрено за нарушение новых правил?

Несоблюдение GDPR ведет к административным штрафам в размере до €20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил Дмитрий Бирюков. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). Бирюков затруднился оценить, будет ли стоимость приведения работы в соответствие с требованиями регламента дороже выплаты штрафа.

По мнению юристов, тот факт, что многие российские компании пока не спешат готовиться к вступлению в силу регламента, связан с тем, что не до конца ясно, как он будет применяться и как будут взыскиваться штрафы в случае, если какую-то российскую компанию признают нарушителем.​