Лента новостей
Тест: кто придумал знаменитую футбольную кричалку «оле-оле» 13:59, Спецпроект РБК Спорт На подмосковном заводе от отравления аммиаком погибли двое рабочих 13:45, Общество «Африка выиграет золото»: кто оставит ЧМ-2018 без Левандовски и Фалькао 13:35, Спорт В Ленинградской области при падении деревянной фигуры погиб ребенок 13:24, Общество Цифровая революция в России: нейросети, дроны и искусственный интеллект 13:15, Партнерский материал Рейтинг Макрона достиг минимума с момента его избрания президентом 13:05, Политика Глава МИД Турции назвал проходящие выборы самыми важными в истории страны 13:04, Политика В Херсоне подожгли дом депутата фракции Порошенко 12:40, Общество Как сократить расходы на 1 км пробега до 25%: опыт реальных компаний 12:37, РБК и «Шелл» Пока не хэппи-энд: Германии недостаточно просто победить Корею для выхода 12:35, Спорт ФИФА открыла дело против швейцарцев из-за празднования голов 12:28, Спорт Движение поездов на серой ветке московского метро восстановили после сбоя 12:05, Общество Рука Бога, лучшая сборная СССР и осьминог: курьезы ЧМ по футболу 12:00, Спецпроект РБК Спорт В Киеве владелец ресторана открыл стрельбу по посетителям 11:58, Общество Сборная Германии извинилась перед шведами за свое поведение после матча 11:47, Общество Неизвестный Китай: какая культура скрывается за иероглифами 11:20, РБК и Шелковый путь За субботу в Москве выпало около 17% месячной нормы осадков 11:09, Общество СМИ узнали об уходе братьев Березуцких из ЦСКА 11:06, Спорт Как России не пропустить четвертую технологическую революцию 10:33, Партнерский материал Новак оценил влияние роста добычи нефти на бюджет России 10:28, Экономика В жилом доме на западе Германии произошел взрыв 10:18, Общество Минюст США предоставил конгрессу новые документы по «российскому делу» 09:57, Политика Зять Трампа выразил готовность сотрудничать с президентом Палестины 09:32, Политика Сделайте ваш прогноз на исход матчей ЧМ-2018 09:17, Спецпроект РБК Спорт В Греции на базу ВВС въехал частный автомобиль 08:29, Общество Равные права: как выглядит женская автошкола в Саудовской Аравии 08:28, Фотогалерея  Трамп выразил надежду на урегулирование торговых споров с Китаем 08:28, Политика В Мексике убили шесть человек во время просмотра матча сборной на ЧМ-2018 08:06, Общество
Требования ЕС о защите данных коснутся банков и операторов связи России
Технологии и медиа, 07 мар, 00:00
0
Требования ЕС о защите данных коснутся банков и операторов связи России
Все российские банки и сотовые операторы будут обязаны соблюдать требования нового регламента ЕС о защите данных, вступающего в силу в мае 2018 года, заявил представитель Baker McKenzie. Иначе им грозит штраф на сумму до €20 млн
Фото: Luke MacGregor / Reuters

Все банки, выпускающие карты, которыми можно пользоваться на территории Евросоюза, формально подпадают под требования Общего регламента о защите данных (General Data Protection Regulation; GDPR), который вступает в силу в ЕС 25 мая. Об этом заявил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен на прошедшем в Москве мероприятии «GDPR в России: 100 дней до вступления в силу». «Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки», — сообщил он.

В аналогичном положении окажутся и сотовые операторы, абоненты которых пользуются услугами, находясь в роуминге на территории ЕС, сказал также Таннен. По его словам, объяснение этому можно найти в ст. 3 (2) GDPR о территориальной применимости регламента, согласно которому документ применим к компаниям, которые предлагают товары и услуги любому лицу на территории ЕС или осуществляют мониторинг его действий в странах Евросоюза.

Эмитирование карт международных платежных систем и предоставление услуг роуминга действительно могут привести компании к необходимости выполнять требования регламента ЕС, подтверждает эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков. «Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.», — поясняет он.

Что такое GDPR

GDPR был принят Европейским союзом в апреле 2016 года. Цель нового регламента — повысить уровень защищенности персональных данных граждан внутри стран Евросоюза. Принцип действия у нового регламента экстерриториальный, а значит, ему должны будут подчиниться компании не только из ЕС. Под действие регламента подпадут компании из разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. Они должны будут хранить данные в обезличенном и зашифрованном виде, обеспечить должный уровень их защиты от утечек, не передавать данные третьим лицам и информировать граждан и регулирующие органы о любой утечке информации в течение 72 часов.

Гражданам должны предоставлять информацию о правилах обработки их данных в понятном и доступном виде, брать у них согласие на обработку данных в виде «четкого утвердительного акта в письменной или устной форме», а также предоставлять им возможность отказаться от передачи данных без ущерба для совершения действий. Несоблюдение GDPR ведет к административным штрафам для компаний в размере до €20 млн (1,39 млрд руб. по текущему курсу), или 4% годового оборота.

Порядок действий

Меры, которые должны принять российские компании для соответствия GDPR, зависят от сферы деятельности, организации бизнес-процессов, архитектуры ИT-систем и целого ряда других подобных характеристик, говорит Дмитрий Бирюков. По его словам, компаниям необходимо провести аудит, по результатам которого им, вероятно, может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам «права на забвение» и переносимость данных. «Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании», — добавляет эксперт.

Подготовку к исполнению GDPR компаниям стоит начать с оценки конфиденциальности и рисков, а также выявления и создания карты персональных данных, говорится в рекомендациях компании IBM по обеспечению готовности к GDPR. Затем стоит разработать стандарты управления и обработки, а также стандарты конфиденциальности и управления безопасностью. При этом сотрудников следует обучить принципам GDPR. В конечном итоге компаниям необходимо вести постоянный мониторинг, оценку, аудит, регистрацию и контроль соблюдения стандартов GDPR, говорится в материалах IBM.

В связи с грядущим вступлением в силу GDPR большой спрос получают услуги по аудиту процессов обработки данных и по внедрению системы их защиты, рассказала РБК старший юрист компании «Алруд» Марина Юфа. Она отмечает, что компании, подпадающие под действие европейского регламента, параллельно оценивают свои процессы по обработке данных и с точки зрения российского законодательства. Закон «О персональных данных», который регулирует деятельность по их обработке, действует в России с 2006 года.

На практике

Представители Тинькофф Банка, Россельхозбанка, банков «Русский стандарт», «Санкт-Петербург», «Открытие», Газпромбанка, «Уралсиба», Абсолют Банка не ответили на запросы РБК. Представитель пресс-службы входящего в топ-35 Почта Банка сообщил, что они ознакомились с новыми стандартами и правилами GDPR и сейчас анализируют их. В банке отметили, что большая часть его клиентов практически не совершают зарубежные поездки и, соответственно, не пользуются картами банка для оплаты услуг в европейских странах. «Почта Банк целенаправленно не привлекает клиентов из стран Западной Европы, — добавил представитель пресс-службы. — Персональные данные иностранцев, как и данные всех остальных клиентов, защищены в соответствии с российскими законами».

Ранее представители Сбербанка, ВТБ и Альфа-банка говорили РБК, что анализируют положения GDPR и готовятся к его вступлению в силу. Сбербанк еще в конце 2017 года объявил закупку услуг по аудиту собственных практик обработки персональных данных и получению рекомендаций о том, каким образом привести их в соответствие с новыми требованиями. На эти цели банк готов был потратить 67,4 млн руб.

Опрошенные РБК операторы связи детали подготовки к вступлению в силу GDPR не раскрывают. Пресс-секретарь «ВымпелКома» (бренд «Билайн») Анна Айбашева сообщила, что компания «изучает потенциальное воздействие положений документа на бизнес». «Мы исполняем требования применимого законодательства, в том числе по защите персональных данных», — заявили в пресс-службе «МегаФона». Представитель МТС не ответил на запрос РБК.

Юрист практики по интеллектуальной собственности московского офиса Baker McKenzie Вадим Перевалов отметил: то, как будет работать GDPR на практике, пока неясно, так как слишком много компаний формально подпадают под его требования. «Строго формально, если вы мониторите покупки и транзакции по карте на территории ЕС, то GDPR должен распространяться на вас согласно букве закона. Как это будет интерпретировано на практике, неясно. Понятно, что слишком много компаний потенциально подходят под эти требования. Будет интересно посмотреть, какие потом дадут разъяснения и рекомендации», — говорит Вадим Перевалов.

По данным статистики погранслужбы ФСБ, в 2017 году страны ЕС с целью туризма посетили 5,7 млн российских граждан — на 15,8% больше, чем в предыдущем году. При этом нет данных о том, сколько из них, находясь в поездке, оплачивали товары банковскими картами и пользовались услугами сотовой связи.