Четыре вопроса о влиянии на российский бизнес нового регламента ЕС В ЕС вступают в силу новые правила защиты персональных данных, полученных с территории союза, и все работающие с ними компании должны будут пересмотреть свои регламенты. Как к этому готовится российский бизнес — разбирался РБК 
Фото: Octav Ganea / Mediafax / AP
С 25 мая 2018 года на территории Европейского союза начинает действовать Общий регламент по защите данных (General Data Protection Regulation; GDPR). Документ был одобрен Европейским парламентом в апреле 2016 года, его цель — повысить уровень защиты персональных данных внутри стран союза. При этом он имеет экстерриториальный характер, то есть распространяется и на компании из стран, не входящих в Евросоюз, в том числе из России.
РБК разобрался, что в результате изменится для российских компаний в сфере защиты персональных данных.
1. Кто будет обязан выполнять положения регламента?
Под действие регламента попадают компании из абсолютно разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. «Это могут быть интернет-компании, компании банковской, туристической, транспортной, горнодобывающей отраслей, а также компании металлургической промышленности, игровой индустрии, платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т.п.)», — пояснил РБК эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков.
GDPR обязаны исполнять все те, кто обрабатывает персональные данные, имеет веб-сайт c регистрацией или мобильные приложения, поддерживающие хотя бы один язык любой страны — члена Евросоюза, или позволяет совершать платежи в валютах союза, отмечает эксперт. GDPR защищает права не только граждан Евросоюза, но и резидентов других стран, находящихся на его территории. «В то же время данные гражданина Евросоюза, который приехал в Россию и получает услуги здесь, не должны защищаться в соответствии с европейским законом», — отмечает Бирюков.
Как уточняет старший юрист фирмы АЛРУД Марина Юфа, нормы регламента придется выполнять российским «дочкам» европейских компаний. «В рамках группы компании, как правило, обмениваются персональными данными (например, в контексте кадровых вопросов) и заключают внутрикорпоративные договоры об обработке персональных данных. В рамках таких договоров европейские штаб-квартиры налагают на российские дочерние структуры обязанности по защите данных в соответствии с регламентом», — говорит Марина Юфа.
2. Что придется делать компаниям в рамках регламента?
Согласно GDPR, информация о правилах обработки данных должна быть предоставлена субъекту данных в понятном и доступном виде. Согласие на обработку личной информации не должно быть секундной процедурой нажатия кнопки «Согласен»: подтверждение должно быть «четким утвердительным актом в письменной или устной форме». Кроме того, бездействие пользователя, например, при совершении каких-то действий на сайте не может считаться согласием. При этом у пользователя должна быть возможность отказаться от передачи данных без ущерба для совершения действия. Сам процесс обработки должен стать прозрачным: пользователь должен иметь возможность отследить, что происходит с его личной информацией, иметь возможность удалить ее.
Компания, которая хранит персональные данные, должна обеспечить должный уровень их защиты от утечки. Процедура сбора должна включать в себя обезличивание информации: данные должны быть связаны не с их владельцем, а с псевдонимом. Кроме того, данные должны зашифровываться, а ключом к коду должны обладать только уполномоченные стороны. Передача данных третьим лицам запрещена, компании обязаны информировать граждан о любой утечке информации, в том числе, в случае хакерских атак. Компании, обрабатывающие персональные данные систематически и в больших масштабах, должны иметь сотрудника, ответственного за безопасность данных (data protection officer).
Какие именно действия и решения должны быть внедрены компаниями для выполнения регламента, в большинстве случаев в документе не уточняется.
3. Как российские компании готовятся к новым правилам?
В ряде опрошенных РБК российских компаний, которые по экспертным прогнозам попадают под действие GDPR, подтвердили начало процесса подготовки к новым требованиям ЕС.
Как сообщил РБК представитель Сбербанка, сфера действия GDPR распространяется не только на организации, осуществляющие обработку персональных данных в странах Евросоюза, но и на любые другие организации за пределами союза, предлагающие товары и услуги любым гражданам на территории его стран. «Сбербанк не нарушает законодательство, поэтому мы серьезно готовимся к вступлению GDPR в силу», — сообщил он. Еще в конце 2017 года на сайте госзакупок появилась информация о том, что банк планирует потратить 67,4 млн руб. на подготовку к вступлению GDPR: проведение аудита собственных практик обработки персональных данных и получение рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.
Представитель РЖД сообщил РБК, что в ближайшее время компания обновит правила продажи электронных билетов и оферты на корпоративном сайте (какие именно изменения будут внесены, перевозчик не уточнил). Кроме того, РЖД дорабатывают программное обеспечение.
Представитель пресс-службы ВТБ сообщил, что в банке также готовятся к вступлению в силу регламента, но детали не уточнил. В какие суммы может обойтись подготовка для РЖД и ВТБ, их представители не раскрывают.
По словам представителя «Аэрофлота», компания проводит «тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров».
Анализируют положения GDPR также в ЛУКОЙЛе и Альфа-банке, сообщили их представители.
Еще несколько компаний заняли выжидательную позицию. В отчете МТС за четвертый квартал в разделе рисков указано, что на текущий момент компании неясно, каким образом вступающие в силу новые требования Европейского союза могут повлиять на деятельность компаний, попадающих под действие акта.
Представитель пресс-службы интернет-магазина Ozon сообщил, что они также пока «наблюдают за подготовкой других компаний». «Доля граждан ЕС, совершающих у нас покупки, ничтожно мала, поэтому мы не видим смысла менять существующие подходы и процессы», — сказал он.
Представитель Роскомнадзора отметил, что на территории России операторы персональных данных должны следовать закону «О персональных данных» и требования GDPR не распространяются на них. «Россия не является государством — участником ЕС и участницей международных договоров с союзом, устанавливающих порядок и условия обработки персональных данных российскими операторами», — пояснил представитель Роскомнадзора. Однако российские компании, работающие в странах ЕС, например, при обработке персональных данных при предоставлении товаров и услуг обязаны учитывать требования регламента. Глава Роскомнадзора Александр Жаров в ноябре 2017 года говорил, что применимость GDPR на территории России можно будет обсуждать после вступления законодательства в силу, когда будет накоплен какой-то правоприменительный опыт.
4. Какое наказание предусмотрено за нарушение новых правил?
Несоблюдение GDPR ведет к административным штрафам в размере до €20 млн (1,38 млрд руб. по текущему курсу), или 4% годового оборота. Причем процент может быть посчитан от оборота международной группы компаний, а не отдельного юрлица, отметил Дмитрий Бирюков. Размер штрафа будет определяться индивидуально (дела будут рассматривать Европейский суд и Европейский суд по правам человека). Бирюков затруднился оценить, будет ли стоимость приведения работы в соответствие с требованиями регламента дороже выплаты штрафа.
По мнению юристов, тот факт, что многие российские компании пока не спешат готовиться к вступлению в силу регламента, связан с тем, что не до конца ясно, как он будет применяться и как будут взыскиваться штрафы в случае, если какую-то российскую компанию признают нарушителем.
Содержание
4 способа извлечь выгоду для бизнеса из GDPR
Если оценить все нововведения, становится очевидно, что правила игры стали жестче и соблюдать их теперь сложнее. Однако базовые принципы, к которым мы уже успели привыкнуть, остались практически неизменными. В этом смысле для многих компаний соблюдение требований Генерального регламента по защите данных будет скорее подразумевать изменение нормативно-правовых процедур, чем создание каких-то новых структур. Какие бы последствия ни повлекло принятие GDPR для вашей компании, вы получаете много новых возможностей, которые помогут преуспеть в бизнесе.
Инновационность
Компании, которые увидели в GDPR стимул для развития инноваций, получат весомое конкурентное преимущество в условиях нового рынка, работающего в соответствии с GDPR. Подумайте о разработке новых услуг или продуктов, которые смогут гарантировать клиентам безопасную обработку и хранение персональных данных. Например, хранилища персональных данных. С помощью этих облачных приложений пользователи могут хранить свои персональные данные и самостоятельно управлять разрешениями для доступа.
Подумайте также об инновационных методиках использования данных без нарушения норм законов о конфиденциальности. Интересным примером может послужить компания, предлагающая счетчик посетителей нового поколения, который поможет розничным торговым компаниям оценить свою клиентскую базу без сбора персональных данных. Это решение представляет собой интеллектуальное напольное покрытие, которое сохраняет изображения обуви посетителей и анализирует их шаги. Эти изображения в сочетании с технологиями машинного обучения и искусственного интеллекта позволяют системе автоматически подсчитывать количество посетителей. Что удивительно, система способна самостоятельно определять и распределять по категориям демографические характеристики людей, анализируя их обувь и особенности походки. Она даже умеет распознавать реакцию людей на происходящее на экранах в магазине.
Прозрачность = доверие
Надлежащее обеспечение конфиденциальности дает компании весомое конкурентное преимущество. Мы более склонны доверять поставщику услуг, который искренне уважает нашу конфиденциальность (а не просто соблюдает требования законодательства) и стремится дать нам всю информацию о том, как будут использоваться наши данные. Требования GDPR предусматривают изменение политик компании относительно информирования пользователей о сборе и обработке их данных и повышение открытости компаний. Повышенная прозрачность поможет построить более доверительные отношения с пользователями и повысить их лояльность.
Мы хорошо усвоили, что не надо делать на примере печально известного датского банка. Несколько лет назад банк заявил о запуске проекта на основе больших данных. В рамках этого проекта планировалось использовать данные клиентов для целевой рекламы. Банк надлежащим образом проинформировал клиентов о проекте, но никак не попытался рассказать о том, в чем заключается его важность и ценность. В результате не был учтен один важный негативный фактор: клиенты были лишены возможности самостоятельно решить, хотят они участвовать в этом проекте или нет. Для банка все это обернулось плачевно, и после огромного количества негативных отзывов и большой шумихи в прессе было решено свернуть проект.
Права клиента
Новый регламент по защите данных фактически передает бразды правления потребителям. Если вы поддерживаете клиента на всем пути, то станете для него несомненным лидером в вопросах конфиденциальности.
GDPR подтверждает существующие права клиентов и дает им ряд новых прав. Несмотря на распространенное мнение, согласие пользователя — одно из законных оснований для обработки персональных данных, но далеко не единственное. GDPR действительно наделяет пользователей полномочиями решать, хотят ли они, чтобы их персональные данные обрабатывались каким-либо образом, и выбирать, как именно это будет происходить. Это, конечно, добавляет забот компаниям. Довольно непросто разработать новые или изменить существующие программы обеспечения соблюдения конфиденциальности, чтобы полностью сохранить все права пользователей, предусмотренные GDPR.
Принятие GDPR фактически инициировало значительный сдвиг в корпоративной культуре. Более того, данный вопрос также имеет стратегическое значение. Расширяя полномочия пользователя, вы также даете своему бизнесу преимущества в условиях рынка с высокой конкуренцией.
Стратегия управления, определяющая способы управления и контроля данными
Защиту персональных данных сегодня следует рассматривать как стратегически важный вопрос. Чтобы соответствовать нормативно-правовым требованиям, необходимо внедрить грамотно сформулированные политики управления данными. Генеральный регламент по защите данных дает вам возможность полностью переосмыслить свои политики, действующие в отношениях всех данных компаний, а не только персональных данных. Это ценная возможность, которая позволит компании многократно окупить все вложения в дорогостоящий масштабный проект нормативно-правового обеспечения деятельности компании.
Данные — важнейший актив вашей компании, и их объем постоянно растет. Если уже сегодня внедрить надежные политики, это не просто поможет обеспечить соблюдение требований, но также позволит максимально эффективно использовать имеющиеся данные.
Генеральный регламент по защите данных (GDPR): больше, чем нормативные требования
Конечно, невозможно за пару минут изменить привычную точку зрения и начать рассматривать Генеральный регламент по защите данных как возможность, а не как проблему. Нужно действовать на опережение. Это позволит вам подготовиться к работе в условиях нового законодательства ЕС по защите данных по мере того, как рынок превратится в полностью регулируемое правовое пространство. Евросоюз, как и многие страны, входящие в его состав, в настоящее время разрабатывает собственные политики и законы, регулирующие применение технологий искусственного интеллекта. В процессе этой работы возникают определенные сложности, связанные с прозрачностью используемых алгоритмов. Другие текущие инициативы ЕС по разработке политик ориентированы на регулирование доступа к данным и владение данными, в том числе и в контексте отношений B2B. Сейчас самое время оценить все имеющиеся у компании данные и разработать комплексную стратегию, которая упростит работу в будущем.