Лента новостей
Власти Москвы рассказали о прививочных пунктах в торговых центрах 13:42, Общество Криптовалюты дешевеют: выгодно ли сейчас заниматься майнингом 13:35, Крипто Запуск «Протона» с зарубежными спутниками пройдет следующей весной 13:29, Технологии и медиа В Крыму заявили о планах открыть паромное сообщение с Турцией 13:27, Экономика Киев отчитался о продвижении украинских войск в Донбассе 13:09, Политика Как стать инвестором, не имея значительного капитала, знаний и времени 13:09, РБК и Сбербанк Адвокаты Януковича устроили потасовку с полицейскими в здании суда 13:03, Политика Россия потратит на восстановление купола Капитолия в Гаване ₽642 млн 13:00, Бизнес Украина включила Прилепина в список угрожающих безопасности страны 12:59, Политика Новый бомбардировщик-ракетоносец Ту-22М3М представили в Казани 12:57, Технологии и медиа Совет директоров En+ Group одобрил переезд в российский офшор 12:56, Бизнес Адвокат сообщил о предъявлении Степаненко прав на часы Петросяна 12:54, Общество Умерла двукратная олимпийская чемпионка Елена Шушунова 12:49, Спорт На адрес BitMEX перевели 18 тыс. биткоинов: криптовалюта подорожала 12:46, Крипто На рыбалку с президентом: неформальные мероприятия Путина за границей 12:38, Фотогалерея  Кремль сообщил об обстоятельствах приглашения Путина на свадьбу в Австрии 12:38, Политика Сколько государство даст заработать на обновлении инфраструктуры ЖКХ 12:32, РБК и Сбербанк Песков рассказал об отсутствии у Кремля позиции по плану Белоусова 12:25, Политика Генерал СКР Никандров получил 5,5 года за взятку по делу Шакро Молодого 12:19, Общество Песков напомнил о статье Сенцова при обсуждении его помилования 12:16, Политика Комиссия по ценным бумагам допросит директоров Tesla после твита Маска 12:10, Бизнес Власти опровергли проведение гей-парада в поволжском поселке с 7 жителями 12:10, Общество Редкий вид: сколько стоят квартиры с террасами в Москве 11:57, Недвижимость  Глава BitMEX: Bitcoin подешевеет до $5000, курс Ethereum упадет ниже $100 11:56, Крипто В Москве свидетельства о рождении начали выдавать при выписке из роддомов 11:50, Общество Собянин подсчитал получающих пенсию за счет Москвы россиян 11:41, Политика
Защита данных по-новому: как регламент ЕС повлияет на российский бизнес
Технологии и медиа, 01 мар, 00:01
0
Компании из России подготовятся к передаче ЕС сведений об утечках данных
В ЕС вступают в силу новые правила защиты персональных данных, полученных с территории союза, и все работающие с ними компании должны будут пересмотреть свои регламенты. Как к этому готовится российский бизнес — разбирался РБК
Фото: Octav Ganea / Mediafax / AP

С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation; GDPR). Документ был одобрен Европейским парламентом в апреле 2016 года, его цель — повысить уровень защиты персональных данных внутри стран союза. При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России.

РБК разобрался, что в результате изменится для российских компаний в сфере защиты персональных данных.

1. Кто будет обязан выполнять положения регламента?

Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. «Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.)», — пояснил РБК эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков.

GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, отмечает эксперт. GDPR защищает права не только граждан Евросоюза, но и резидентов других стран, находящихся на его территории. «В то же время данные гражданина Евросоюза, который приехал в Россию и получает услуги здесь, не должны защищаться в соответствии с европейским законом», — отмечает Бирюков.

Как уточняет старший юрист фирмы АЛРУД Марина Юфа, нормы регламента придется выполнять российским «дочкам» европейских компаний. «В рамках группы компании, как правило, обмениваются персональными данными (например, в контексте кадровых вопросов) и заключают внутрикорпоративные договоры об обработке персональных данных. В рамках таких договоров европейские штаб-квартиры налагают на российские дочерние структуры обязанности по защите данных в соответствии с регламентом», — говорит Марина Юфа.

2. Что придется делать компаниям в рамках регламента?

Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки «Согласен»: подтверждение должно быть «четким утвердительным актом в письменной или устной форме». Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее.

Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом. Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак. Компании, обрабатывающие персональные данные систематически и в больших масштабах, должны иметь сотрудника, ответственного за безопасность данных (data protection officer).

Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется.

3. Как российские компании готовятся к новым правилам?

В ряде опрошенных РБК российских компаний, которые по экспертным прогнозам попадают под действие GDPR, подтвердили начало процесса подготовки к новым требованиям ЕС.

Как сообщил РБК представитель Сбербанка, сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран. «Сбербанк не нарушает законодательство, поэтому мы серьезно готовимся к вступлению GDPR в силу», — сообщил он. Еще в конце 2017 года на сайте госзакупок появилась информация о том, что банк планирует потратить 67,4 млн руб. на подготовку к вступлению GDPR: проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.

Представитель РЖД сообщил РБК, что в ближайшее время компания обновит правила продажи электронных билетов и оферты на корпоративном сайте (какие именно изменения будут внесены, перевозчик не уточнил). Кроме того, РЖД дорабатывают программное обеспечение.

Представитель пресс-службы ВТБ сообщил, что в банке также готовятся к вступлению в силу регламента, но детали не уточнил. В какие суммы может обойтись подготовка для РЖД и ВТБ, их представители не раскрывают.

По словам представителя «Аэрофлота», компания проводит «тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров».

Анализируют положения GDPR также в ЛУКОЙЛе и Альфа-банке, сообщили их представители.

Еще несколько компаний заняли выжидательную позицию. В отчете МТС за четвертый квартал в разделе рисков указано, что на текущий момент компании неясно, каким образом вступающие в силу новые требования Европейского союза могут повлиять на деятельность компаний, попадающих под действие акта.

Представитель пресс-службы интернет-магазина Ozon сообщил, что они также пока «наблюдают за подготовкой других компаний». «Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы», — сказал он.

Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR не распространяются на них. «Россия не является государством — участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами», — пояснил представитель Роскомнадзора. Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента. Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.

4. Какое наказание предусмотрено за нарушение новых правил?

Несоблюдение GDPR ведет к административным штрафам в размере до €20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил Дмитрий Бирюков. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). Бирюков затруднился оценить, будет ли стоимость приведения работы в соответствие с требованиями регламента дороже выплаты штрафа.

По мнению юристов, тот факт, что многие российские компании пока не спешат готовиться к вступлению в силу регламента, связан с тем, что не до конца ясно, как он будет применяться и как будут взыскиваться штрафы в случае, если какую-то российскую компанию признают нарушителем.​

Магазин исследований: аналитика по теме "Транспорт", "Банки"