Интернет-пользователям добавят личного
Европейский закон о защите персональных данных затронет потребителей и бизнес в РФ
В ЕС сегодня вступил в силу регламент 2016/679 «О защите физических лиц при обработке персональных данных и свободном обращении таких данных» (GDPR). Хотя принимали документ в Евросоюзе, его действие распространится на тысячи российских компаний и пользователей — всех, кто оказывает услуги европейским потребителям или сам пользуется европейскими сервисами. За невыполнение требований GDPR компаниям грозят серьезные штрафы.
Как новый регламент предписывает обращаться с личными данными
В последние дни многие пользователи интернета оказались завалены волной электронных писем. Онлайн-сервисы и сайты сообщали, что изменили политику конфиденциальности. Они клялись: «Защита Ваших персональных данных имеет для нас важное значение»; «Мы очень дорожим Вашим доверием, поэтому хотим открыто говорить с Вами о том, какие Ваши данные мы собираем, как их используем и какие Вы имеете права на управление этими данными». Это не случайно. Сегодня в ЕС вступил в силу регламент «О защите физических лиц при обработке персональных данных и свободном обращении таких данных», преследующий две главные цели. Во-первых, он унифицирует и обновляет европейское законодательство о защите данных: до сих пор единым руководством для ЕС служила директива от 1995 года, но по мере ее устаревания странам-участницам приходилось разрабатывать собственные законодательные акты. «С помощью новых технологий частные компании и органы государственной власти получили возможность использовать личные данные с беспрецедентным размахом»,— напоминали составители документа. Во-вторых, регламент под угрозой серьезных штрафов ужесточает требования к сбору, обработке, хранению и защите персональных данных. Если российский «закон Яровой» (374-ФЗ) обязывает компании такие данные собирать и долго хранить, то регламент ЕС, наоборот, ограничивает бизнес, в том числе и российский, в этом праве.
Руководитель практики «M&A и трансграничные сделки» O2 Consulting Карен Шахназаров так резюмирует содержание документа: компании должны иметь законные основания для сбора, обработки и хранения персональных данных; они должны проинформировать клиентов об основаниях для обработки его данных и о периоде, в течение которого они собираются их хранить; у субъекта персональных данных должна быть возможность отозвать свое согласие или потребовать вовсе удалить его данные.
При этом компании должны тщательно защищать полученные данные, а в случае, например, «взлома» немедленно уведомить об этом уполномоченный госорган в течение 72 часов, а значит, иметь собственную систему мониторинга, а в случае масштабных сборов данных (это касается, например, крупных онлайн-магазинов) — еще и своего «спецпредставителя» в Евросоюзе (Data Protection Officer), который будет следить за соблюдением компанией требований GDPR.
Кто в зоне риска
«Главный вопрос, на который за это время должны были дать себе ответ российские компании: попадает ли наша деятельность в сферу регулирования этого регламента, и если да, то что мы должны сделать, чтобы предусмотренные им штрафные санкции (€20 млн, или 4% годового оборота компании, в зависимости от того, что больше) не стали суровой реальностью нашей жизни. Ответ на этот вопрос для многих оказался утвердительным»,— отмечает Карен Шахназаров. По его словам, если российская компания получает доступ к данным о гражданах ЕС или иных лицах, находящихся на территории Евросоюза (независимо от их гражданства), регламент может коснуться ее напрямую. Для этого может быть достаточно просто наличия сайта на одном из европейских языков или возможности доставки товара в ЕС.
Как отмечает Наталия Беломестнова, советник практики IP/Digital, Bryan Cave Leighton Paisner (Russia) LLP, действие GDPR распространяется и на те компании, которые не находятся в ЕС, но мониторят поведение лиц (россиян в том числе) в Евросоюзе. «Под эти критерии подпадают, например, российские компании, которые имеют в ЕС дочерние общества, интернет-магазины, сайты авиакомпаний, позволяющие осуществлять покупки с территории Евросоюза, сотовые операторы, которые отслеживают перемещения абонентов в роуминге, банки, которым приходит информация о транзакциях клиентов, находящихся в отпуске или командировке в ЕС»,— перечисляет эксперт. Под удар могут попасть также социальные сети, сервисы по распознаванию лиц и агентства контекстной рекламы.
Как реагирует российский бизнес
Мнения по поводу последствий введения GDPR у опрошенных “Ъ” российских компаний разошлись. «Требование распространяется на организации за пределами ЕС, чья деятельность по обработке персональных данных связана с предложением товаров и услуг субъектам данных в ЕС или с мониторингом их поведения на территории ЕС,— отметил зампред правления одного из крупных банков.— Поэтому мы не готовимся никак. И почти уверен, что и другие банки, не имеющие дочерних структур в Европе, тоже».
«Дочки» иностранных компаний или компании, имеющие представительства за рубежом, сообщили “Ъ”, что приняли во внимание требования GDPR. «Все требования были тщательно изучены и имплементированы в системы нашего банка»,— отметили в ОТП-банке (входит в международную финансовую Группу ОТП). В РЖД сообщили, что готовы к вступлению регламента в силу: «На корпоративном сайте обновлены правила продажи электронных билетов, внесены изменения в программное обеспечение системы продаж». «В настоящее время Сбербанк внедряет единый процесс обработки и защиты персональных данных, соответствующий как российскому, так и новому европейскому законодательству, Мы провели целый комплекс мер, включая назначение Data Protection Officer, проведение аудита, внесение изменений во внутренние нормативные документы и процессы, проведение тренингов для сотрудников»,— рассказали “Ъ” в Сбербанке.
В ряде компаний, включая банк ВТБ, “Ъ” заверили: аналогичные требования уже закреплены в законодательстве РФ. Так, региональный директор Accor в России, Грузии и СНГ Алексис Деларофф рассказывает: «Многие нововведения схожи с российским 242-ФЗ об обработке персональных данных, который действует еще с 2014 года, более того, в некоторых случаях местное законодательство даже жестче европейского». Господин Деларофф указывает, что гостиничным сетям пришлось провести незначительные нововведения — например, изменить правила информрассылок. «Согласно GDPR, пользователи могут получать их только после предоставления специального согласия, так что по всем рассылкам Accor будет организована переподписка»,— объясняет он. Гендиректор IFK Hotel Management Марсель Измайлов добавляет: гостиницы также должны будут обновить политику конфиденциальности на собственных сайтах и провести тренинги персонала. «Мы работаем по этим вопросам с европейскими коллегами, до чемпионата мира по футболу все они будут урегулированы»,— объясняет он.
Елена Авакян, советник адвокатского бюро ЕПАМ, уверена: теперь можно ожидать принятия дополнительных (уточняющих) подзаконных актов и начала первых судебных разбирательств. Но, несмотря на потенциальные многомиллионные штрафы, целью принятия документа было не разорить бизнес, а защитить пользователя, говорит госпожа Авакян. Она объясняет: «GDPR может обернуться и раем, и адом: адом — для недобросовестных компаний, а раем — с точки зрения пользователя, за неприкосновенность которого в глобальном цифровом мире этот регламент попытался побороться».
Галина Дудина, Роман Рожков, Юлия Грицай, Наталья Скорлыгина, Александра Мерцалова, Вероника Горячева, Елизавета Кузнецова
Газета "Коммерсантъ", 25.05.2018