Лента новостей
Парламент Косово утвердил создание армии 15:18, Политика «Газпром» сообщил о первой за 10 лет поставке импортного СПГ в Россию 15:14, Экономика Mazda отзовет в России более 2,8 тыс. автомобилей 15:09, Бизнес Как четвертая промышленная революция повлияет на транспорт в России 15:05, РБК и ГТЛК Сбербанк запустит SberX для развития своей экосистемы 15:01, Финансы Медведев утвердил новую ТОР в Ивановской области 14:59, Бизнес Лавров заявил о применении «своеобразных пыток» к Бутиной в США 14:57, Политика Возможность острова: как устроен курс выживания на Мальдивах 14:46, Стиль Смартфон Huawei P20 Pro: как сделать хит, опередивший время 14:43, РБК и Huawei Михалков, Путин и Загитова: кого россияне считают людьми года 14:42, Фотогалерея  Что мешает прорывному развитию «Интернета вещей» в России 14:40, PRO Кремль объяснил необходимость переговоров Путина и Трампа 14:40, Политика Точный прогноз на Ethereum, на XRP — нет: как работают сигналы экспертов 14:38, Крипто Как стереотипы руководителей угрожают промышленной безопасности 14:35, РБК и «Лаборатория Касперского» Церемония вручения Премии РБК 2018. Как это было 14:34, Бизнес  Социологи определили главное событие и человека 2018 года 14:33, Общество Правозащитники заявили о взыскании с МВД 30 тыс. руб. за пытки в полиции 14:23, Общество Зачем художник Олафур Элиассон установил в Лондоне многотонные глыбы льда 14:21, Стиль Дэвид Шварц из Ripple назвал условие для массового внедрения криптовалют 14:15, Крипто Бизнес-сериал: как сплотить команду за два дня 14:13, РБК и Volkswagen МВД решило закупить 800 автозаков на 2,4 млрд руб. 14:13, Общество В США предъявили обвинения бывшему замглавы «Военторга» 14:08, Политика Рубль отыграл часть потерь на фоне решения ЦБ о повышении ставки 14:00, Финансы «Яндекс» объяснил ошибку с появлением даты смерти Порошенко в поиске 13:54, Политика ЦБ повысил ключевую ставку: что будет с ипотекой в 2019 году 13:54, Недвижимость ФСБ задержала вице-премьера Чувашии по делу о злоупотреблении полномочиям 13:48, Общество Куда пойдет цена бензина: экономический тест для бизнесменов 13:41, РБК и Thomson Reuters Cisco назвала дату исчезновения в России кнопочных сотовых телефонов 13:38, Технологии и медиа
Защита данных по-новому: как регламент ЕС повлияет на российский бизнес
Технологии и медиа, 01 мар, 00:01
0
Компании из России подготовятся к передаче ЕС сведений об утечках данных
В ЕС вступают в силу новые правила защиты персональных данных, полученных с территории союза, и все работающие с ними компании должны будут пересмотреть свои регламенты. Как к этому готовится российский бизнес — разбирался РБК
Фото: Octav Ganea / Mediafax / AP

С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation; GDPR). Документ был одобрен Европейским парламентом в апреле 2016 года, его цель — повысить уровень защиты персональных данных внутри стран союза. При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России.

РБК разобрался, что в результате изменится для российских компаний в сфере защиты персональных данных.

1. Кто будет обязан выполнять положения регламента?

Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. «Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.)», — пояснил РБК эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков.

GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, отмечает эксперт. GDPR защищает права не только граждан Евросоюза, но и резидентов других стран, находящихся на его территории. «В то же время данные гражданина Евросоюза, который приехал в Россию и получает услуги здесь, не должны защищаться в соответствии с европейским законом», — отмечает Бирюков.

Как уточняет старший юрист фирмы АЛРУД Марина Юфа, нормы регламента придется выполнять российским «дочкам» европейских компаний. «В рамках группы компании, как правило, обмениваются персональными данными (например, в контексте кадровых вопросов) и заключают внутрикорпоративные договоры об обработке персональных данных. В рамках таких договоров европейские штаб-квартиры налагают на российские дочерние структуры обязанности по защите данных в соответствии с регламентом», — говорит Марина Юфа.

2. Что придется делать компаниям в рамках регламента?

Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки «Согласен»: подтверждение должно быть «четким утвердительным актом в письменной или устной форме». Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее.

Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом. Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак. Компании, обрабатывающие персональные данные систематически и в больших масштабах, должны иметь сотрудника, ответственного за безопасность данных (data protection officer).

Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется.

3. Как российские компании готовятся к новым правилам?

В ряде опрошенных РБК российских компаний, которые по экспертным прогнозам попадают под действие GDPR, подтвердили начало процесса подготовки к новым требованиям ЕС.

Как сообщил РБК представитель Сбербанка, сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран. «Сбербанк не нарушает законодательство, поэтому мы серьезно готовимся к вступлению GDPR в силу», — сообщил он. Еще в конце 2017 года на сайте госзакупок появилась информация о том, что банк планирует потратить 67,4 млн руб. на подготовку к вступлению GDPR: проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.

Представитель РЖД сообщил РБК, что в ближайшее время компания обновит правила продажи электронных билетов и оферты на корпоративном сайте (какие именно изменения будут внесены, перевозчик не уточнил). Кроме того, РЖД дорабатывают программное обеспечение.

Представитель пресс-службы ВТБ сообщил, что в банке также готовятся к вступлению в силу регламента, но детали не уточнил. В какие суммы может обойтись подготовка для РЖД и ВТБ, их представители не раскрывают.

По словам представителя «Аэрофлота», компания проводит «тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров».

Анализируют положения GDPR также в ЛУКОЙЛе и Альфа-банке, сообщили их представители.

Еще несколько компаний заняли выжидательную позицию. В отчете МТС за четвертый квартал в разделе рисков указано, что на текущий момент компании неясно, каким образом вступающие в силу новые требования Европейского союза могут повлиять на деятельность компаний, попадающих под действие акта.

Представитель пресс-службы интернет-магазина Ozon сообщил, что они также пока «наблюдают за подготовкой других компаний». «Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы», — сказал он.

Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR не распространяются на них. «Россия не является государством — участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами», — пояснил представитель Роскомнадзора. Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента. Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.

4. Какое наказание предусмотрено за нарушение новых правил?

Несоблюдение GDPR ведет к административным штрафам в размере до €20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил Дмитрий Бирюков. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). Бирюков затруднился оценить, будет ли стоимость приведения работы в соответствие с требованиями регламента дороже выплаты штрафа.

По мнению юристов, тот факт, что многие российские компании пока не спешат готовиться к вступлению в силу регламента, связан с тем, что не до конца ясно, как он будет применяться и как будут взыскиваться штрафы в случае, если какую-то российскую компанию признают нарушителем.​

Магазин исследований: аналитика по теме "Транспорт", "Банки"