С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation; GDPR). Документ был одобрен Европейским парламентом в апреле 2016 года, его цель — повысить уровень защиты персональных данных внутри стран союза. При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России.
РБК разобрался, что в результате изменится для российских компаний в сфере защиты персональных данных.
1. Кто будет обязан выполнять положения регламента?
Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. «Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.)», — пояснил РБК эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков.
GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, отмечает эксперт. GDPR защищает права не только граждан Евросоюза, но и резидентов других стран, находящихся на его территории. «В то же время данные гражданина Евросоюза, который приехал в Россию и получает услуги здесь, не должны защищаться в соответствии с европейским законом», — отмечает Бирюков.
Как уточняет старший юрист фирмы АЛРУД Марина Юфа, нормы регламента придется выполнять российским «дочкам» европейских компаний. «В рамках группы компании, как правило, обмениваются персональными данными (например, в контексте кадровых вопросов) и заключают внутрикорпоративные договоры об обработке персональных данных. В рамках таких договоров европейские штаб-квартиры налагают на российские дочерние структуры обязанности по защите данных в соответствии с регламентом», — говорит Марина Юфа.
2. Что придется делать компаниям в рамках регламента?
Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки «Согласен»: подтверждение должно быть «четким утвердительным актом в письменной или устной форме». Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее.
Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом. Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак. Компании, обрабатывающие персональные данные систематически и в больших масштабах, должны иметь сотрудника, ответственного за безопасность данных (data protection officer).
Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется.
3. Как российские компании готовятся к новым правилам?
В ряде опрошенных РБК российских компаний, которые по экспертным прогнозам попадают под действие GDPR, подтвердили начало процесса подготовки к новым требованиям ЕС.
Как сообщил РБК представитель Сбербанка, сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран. «Сбербанк не нарушает законодательство, поэтому мы серьезно готовимся к вступлению GDPR в силу», — сообщил он. Еще в конце 2017 года на сайте госзакупок появилась информация о том, что банк планирует потратить 67,4 млн руб. на подготовку к вступлению GDPR: проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.
Представитель РЖД сообщил РБК, что в ближайшее время компания обновит правила продажи электронных билетов и оферты на корпоративном сайте (какие именно изменения будут внесены, перевозчик не уточнил). Кроме того, РЖД дорабатывают программное обеспечение.
Представитель пресс-службы ВТБ сообщил, что в банке также готовятся к вступлению в силу регламента, но детали не уточнил. В какие суммы может обойтись подготовка для РЖД и ВТБ, их представители не раскрывают.
По словам представителя «Аэрофлота», компания проводит «тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров».
Анализируют положения GDPR также в ЛУКОЙЛе и Альфа-банке, сообщили их представители.
Еще несколько компаний заняли выжидательную позицию. В отчете МТС за четвертый квартал в разделе рисков указано, что на текущий момент компании неясно, каким образом вступающие в силу новые требования Европейского союза могут повлиять на деятельность компаний, попадающих под действие акта.
Представитель пресс-службы интернет-магазина Ozon сообщил, что они также пока «наблюдают за подготовкой других компаний». «Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы», — сказал он.
Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR не распространяются на них. «Россия не является государством — участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами», — пояснил представитель Роскомнадзора. Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента. Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.
4. Какое наказание предусмотрено за нарушение новых правил?
Несоблюдение GDPR ведет к административным штрафам в размере до €20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил Дмитрий Бирюков. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). Бирюков затруднился оценить, будет ли стоимость приведения работы в соответствие с требованиями регламента дороже выплаты штрафа.
По мнению юристов, тот факт, что многие российские компании пока не спешат готовиться к вступлению в силу регламента, связан с тем, что не до конца ясно, как он будет применяться и как будут взыскиваться штрафы в случае, если какую-то российскую компанию признают нарушителем.
Евгения Баленко, Василий Маринин, Людмила Подобедова