Лента новостей
Парламент Косово утвердил создание армии 15:18, Политика «Газпром» сообщил о первой за 10 лет поставке импортного СПГ в Россию 15:14, Экономика Mazda отзовет в России более 2,8 тыс. автомобилей 15:09, Бизнес Как четвертая промышленная революция повлияет на транспорт в России 15:05, РБК и ГТЛК Сбербанк запустит SberX для развития своей экосистемы 15:01, Финансы Медведев утвердил новую ТОР в Ивановской области 14:59, Бизнес Лавров заявил о применении «своеобразных пыток» к Бутиной в США 14:57, Политика Возможность острова: как устроен курс выживания на Мальдивах 14:46, Стиль Смартфон Huawei P20 Pro: как сделать хит, опередивший время 14:43, РБК и Huawei Михалков, Путин и Загитова: кого россияне считают людьми года 14:42, Фотогалерея  Что мешает прорывному развитию «Интернета вещей» в России 14:40, PRO Кремль объяснил необходимость переговоров Путина и Трампа 14:40, Политика Точный прогноз на Ethereum, на XRP — нет: как работают сигналы экспертов 14:38, Крипто Как стереотипы руководителей угрожают промышленной безопасности 14:35, РБК и «Лаборатория Касперского» Церемония вручения Премии РБК 2018. Как это было 14:34, Бизнес  Социологи определили главное событие и человека 2018 года 14:33, Общество Правозащитники заявили о взыскании с МВД 30 тыс. руб. за пытки в полиции 14:23, Общество Зачем художник Олафур Элиассон установил в Лондоне многотонные глыбы льда 14:21, Стиль Дэвид Шварц из Ripple назвал условие для массового внедрения криптовалют 14:15, Крипто Бизнес-сериал: как сплотить команду за два дня 14:13, РБК и Volkswagen МВД решило закупить 800 автозаков на 2,4 млрд руб. 14:13, Общество В США предъявили обвинения бывшему замглавы «Военторга» 14:08, Политика Рубль отыграл часть потерь на фоне решения ЦБ о повышении ставки 14:00, Финансы «Яндекс» объяснил ошибку с появлением даты смерти Порошенко в поиске 13:54, Политика ЦБ повысил ключевую ставку: что будет с ипотекой в 2019 году 13:54, Недвижимость ФСБ задержала вице-премьера Чувашии по делу о злоупотреблении полномочиям 13:48, Общество Куда пойдет цена бензина: экономический тест для бизнесменов 13:41, РБК и Thomson Reuters Cisco назвала дату исчезновения в России кнопочных сотовых телефонов 13:38, Технологии и медиа
Газета
В Старый Свет по новым правилам
Газета № 041 (2765) (0703) Технологии и медиа, 07 мар, 00:00
0
В Старый Свет по новым правилам
Эксперты оценили сферу применения регламента ЕС о защите данных
Все российские банки и сотовые операторы будут обязаны соблюдать требования нового регламента ЕС о защите данных, вступающего в силу в мае 2018 года, заявил представитель Baker McKenzie. Иначе им грозит штраф на сумму до €20 млн
Фото: Luke MacGregor / Reuters

Все банки, выпускающие карты, которыми можно пользоваться на территории Евросоюза, формально подпадают под требования Общего регламента о защите данных (General Data Protection Regulation; GDPR), который вступает в силу в ЕС 25 мая. Об этом заявил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен на прошедшем в Москве мероприятии «GDPR в России: 100 дней до вступления в силу». «Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки», — сообщил он.

В аналогичном положении окажутся и сотовые операторы, абоненты которых пользуются услугами, находясь в роуминге на территории ЕС, сказал также Таннен. По его словам, объяснение этому можно найти в ст. 3 (2) GDPR о территориальной применимости регламента, согласно которому документ применим к компаниям, которые предлагают товары и услуги любому лицу на территории ЕС или осуществляют мониторинг его действий в странах Евросоюза.

Эмитирование карт международных платежных систем и предоставление услуг роуминга действительно могут привести компании к необходимости выполнять требования регламента ЕС, подтверждает эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков. «Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.», — поясняет он.

Что такое GDPR

GDPR был принят Европейским союзом в апреле 2016 года. Цель нового регламента — повысить уровень защищенности персональных данных граждан внутри стран Евросоюза. Принцип действия у нового регламента экстерриториальный, а значит, ему должны будут подчиниться компании не только из ЕС. Под действие регламента подпадут компании из разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. Они должны будут хранить данные в обезличенном и зашифрованном виде, обеспечить должный уровень их защиты от утечек, не передавать данные третьим лицам и информировать граждан и регулирующие органы о любой утечке информации в течение 72 часов.

Гражданам должны предоставлять информацию о правилах обработки их данных в понятном и доступном виде, брать у них согласие на обработку данных в виде «четкого утвердительного акта в письменной или устной форме», а также предоставлять им возможность отказаться от передачи данных без ущерба для совершения действий. Несоблюдение GDPR ведет к административным штрафам для компаний в размере до €20 млн (1,39 млрд руб. по текущему курсу), или 4% годового оборота.

Порядок действий

Меры, которые должны принять российские компании для соответствия GDPR, зависят от сферы деятельности, организации бизнес-процессов, архитектуры ИT-систем и целого ряда других подобных характеристик, говорит Дмитрий Бирюков. По его словам, компаниям необходимо провести аудит, по результатам которого им, вероятно, может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам «права на забвение» и переносимость данных. «Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании», — добавляет эксперт.

Подготовку к исполнению GDPR компаниям стоит начать с оценки конфиденциальности и рисков, а также выявления и создания карты персональных данных, говорится в рекомендациях компании IBM по обеспечению готовности к GDPR. Затем стоит разработать стандарты управления и обработки, а также стандарты конфиденциальности и управления безопасностью. При этом сотрудников следует обучить принципам GDPR. В конечном итоге компаниям необходимо вести постоянный мониторинг, оценку, аудит, регистрацию и контроль соблюдения стандартов GDPR, говорится в материалах IBM.

В связи с грядущим вступлением в силу GDPR большой спрос получают услуги по аудиту процессов обработки данных и по внедрению системы их защиты, рассказала РБК старший юрист компании «Алруд» Марина Юфа. Она отмечает, что компании, подпадающие под действие европейского регламента, параллельно оценивают свои процессы по обработке данных и с точки зрения российского законодательства. Закон «О персональных данных», который регулирует деятельность по их обработке, действует в России с 2006 года.

На практике

Представители Тинькофф Банка, Россельхозбанка, банков «Русский стандарт», «Санкт-Петербург», «Открытие», Газпромбанка, «Уралсиба», Абсолют Банка не ответили на запросы РБК. Представитель пресс-службы входящего в топ-35 Почта Банка сообщил, что они ознакомились с новыми стандартами и правилами GDPR и сейчас анализируют их. В банке отметили, что большая часть его клиентов практически не совершают зарубежные поездки и, соответственно, не пользуются картами банка для оплаты услуг в европейских странах. «Почта Банк целенаправленно не привлекает клиентов из стран Западной Европы, — добавил представитель пресс-службы. — Персональные данные иностранцев, как и данные всех остальных клиентов, защищены в соответствии с российскими законами».

Ранее представители Сбербанка, ВТБ и Альфа-банка говорили РБК, что анализируют положения GDPR и готовятся к его вступлению в силу. Сбербанк еще в конце 2017 года объявил закупку услуг по аудиту собственных практик обработки персональных данных и получению рекомендаций о том, каким образом привести их в соответствие с новыми требованиями. На эти цели банк готов был потратить 67,4 млн руб.

Опрошенные РБК операторы связи детали подготовки к вступлению в силу GDPR не раскрывают. Пресс-секретарь «ВымпелКома» (бренд «Билайн») Анна Айбашева сообщила, что компания «изучает потенциальное воздействие положений документа на бизнес». «Мы исполняем требования применимого законодательства, в том числе по защите персональных данных», — заявили в пресс-службе «МегаФона». Представитель МТС не ответил на запрос РБК.

Юрист практики по интеллектуальной собственности московского офиса Baker McKenzie Вадим Перевалов отметил: то, как будет работать GDPR на практике, пока неясно, так как слишком много компаний формально подпадают под его требования. «Строго формально, если вы мониторите покупки и транзакции по карте на территории ЕС, то GDPR должен распространяться на вас согласно букве закона. Как это будет интерпретировано на практике, неясно. Понятно, что слишком много компаний потенциально подходят под эти требования. Будет интересно посмотреть, какие потом дадут разъяснения и рекомендации», — говорит Вадим Перевалов.

По данным статистики погранслужбы ФСБ, в 2017 году страны ЕС с целью туризма посетили 5,7 млн российских граждан — на 15,8% больше, чем в предыдущем году. При этом нет данных о том, сколько из них, находясь в поездке, оплачивали товары банковскими картами и пользовались услугами сотовой связи.