Европеизация данных

Как российскому бизнесу выполнить требования GDPR и не получить гигантские штрафы

25 мая в Европе вступает в силу Общий регламент по защите данных (General Data Protection Regulation – GDPR). Новые правила налагают серьезные обязательства на организации, которые взаимодействуют с персональной информацией жителей стран ЕС. GDPR касается не только европейских компаний. Регламент имеет экстерриториальный характер, а значит, соответствовать правилам должны организации по всему миру, в том числе и российские.

Шесть принципов GDPR

Предыдущий документ о защите персональных данных (ПД) в Европе – Директива 95/46/ЕС – был принят 24 октября 1995 года. В цифровую эпоху некоторые его нормы выглядели устаревшими, хотя общий подход к личной информации оставался актуальным. GDPR перенял главные принципы предшествующего документа и серьезно расширил права субъектов персональных данных. Операторы ПД, наоборот, получили новые обязанности, довольно обременительные.

Несоблюдение норм GDPR влечет за собой громадные штрафы для юридических лиц – до 20 млн евро или до 4% от годового оборота компании

Регламент содержит шесть главных принципов, которым надо следовать операторам. Статья 5 GDPR устанавливает, что персональные данные должны:

a) обрабатываться на законных основаниях, справедливо и на основе принципов прозрачности по отношению к гражданам;

b) собираться для обозначенных, явных и законных целей и в дальнейшем не обрабатываться способом, несовместимым с этими целями; дальнейшая обработка для архивирования в общественных интересах, для научных или исторических исследовательских целей или сбора статистики не считается несовместимой с первоначальными целями;

c) быть достаточными, актуальными и ограниченными теми целями, для которых они обрабатываются;

d) быть точными и, при необходимости, обновляться; нужно принимать все оправданные (разумные) меры для удаления или исправления неточных, или неполных данных с точки зрения целей, для которых они собирались или обрабатывались;

e) храниться в форме, которая позволяет идентифицировать субъектов данных, не дольше, чем это необходимо для целей, в которых они собирались или обрабатывались; персональные данные могут храниться в течение более длительного срока в том случае, если они используются для архивирования в общественных интересах, научных или исторических исследовательских целей или сбора статистики при условии соблюдения соответствующих технических и организационных требований, установленных GDPR для защиты прав и свобод граждан;

f) обрабатываться таким образом, чтобы обеспечить надлежащую защиту персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, повреждения или уничтожения, с применением соответствующих технических или организационных мер.

Эти постулаты означают, что теперь операторам ПД придется гораздо больше тратить времени и средств при обработке данных пользователей и запрашивать согласие на любые действия с личной информацией.

Кого касаются правила?

Соблюдение норм GDPR обязательно не только для европейских компаний. Документ имеет экстерриториальную применимость. Это означает, что выполнять его требования обязаны, в том числе, и российские юридические лица.

Как объяснил RSpectr эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков, в первую очередь закон коснется компаний, которые имеют представительства в странах ЕС: «Такие представительства будут вынуждены выполнять требования GDPR, так как ведут свою деятельность в европейском правовом поле. Кроме того, наличие общих IT-систем или общих бизнес-процессов, в которых осуществляется обработка персональных данных лиц, находящихся в ЕС, также ставит в зону риска и российские юридические лица».

По словам эксперта, наличие представительства в Евросоюзе не является единственным или обязательным критерием применимости закона. Озаботиться соответствием требованиям GDPR также должны российские компании, которые:

• оказывают услуги физическим лицам, находящимся в ЕС;
• собирают и обрабатывают большие объемы персональных данных;
• активно используют интернет-маркетинг;
• имеют веб-сайты с онлайн-регистрацией и мобильные приложения.

Кроме того, если российская компания имеет веб-сайт на языке хотя бы одной страны – члена Евросоюза или сайт поддерживает платежи в валюте стран ЕС, то это также может быть достаточным условием для применения Регламента. Д. Бирюков уточнил:

«Важно понимать, что GDPR защищает права лиц, находящихся в ЕС, а не граждан Евросоюза»

Если гражданин РФ живет или находится в командировке в одной из стран ЕС, то его ПД должны защищаться в соответствии с требованиями GDPR. И наоборот, данные гражданина ЕС, который приехал в Россию и получает здесь услуги, не подпадут под европейский закон.

На сайте PwC можно определить, нужно ли компании соблюдать требования GDPR.

Различия в законах

В России сбор, хранение и обработка личной информации ведутся в соответствии с федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных». За 12 лет с момента принятия этот документ претерпел ряд серьезных изменений, которые повысили степень защиты личной информации граждан. Однако в ФЗ № 152 отсутствуют некоторые важные аспекты, содержащиеся в европейском Регламенте.

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт», объясняет:

«Уровень детализации требований в GDPR значительно выше, чем в российском законодательстве»

Кроме того, есть обязанности, которые в новинку для российского бизнеса. К примеру, требование в течение 72 часов информировать контролера (определяет цели и средства обработки персональных данных) об утечке ПД, что подразумевает хранение трафика за трое суток.

Самым важным отличием можно считать наказание за неисполнение требований законодательства.

В России штрафы не превышают 75 тыс. рублей, а в Европе достигают 4% от оборота компании или до 20 млн евро

Сравнение двух документов сделал независимый эксперт и сертифицированный менеджер по информационной безопасности Андрей Прозоров в своем блоге. По его мнению, GDPR – это следующий адекватный шаг по защите прав субъектов персональных данных. И российское законодательство будет «подтягиваться» под него. «Полагаю, что в ближайшие годы 152-ФЗ будет пересмотрен и приведен в соответствие европейским практикам», – добавил А. Прозоров.

Никаких поблажек

Далеко не все считают, что GDPR – это шаг вперед. Генеральный директор ООО «Шмидт и Шмидт» Андрей Шмидт называет главной проблемой GDPR то, что «регулирование, направленное на контроль за глобальными интернет-корпорациями, распространяется в том числе на малый и средний бизнес». По его словам, для небольших компаний, которые имеют опосредованное отношение к обработке ПД, не сделано «никаких исключений или поблажек».

«Государственные структуры, ответственные за соблюдение требований новых правил, не могут дать внятных объяснений, что же конкретно надо делать, чтобы избежать драконовских штрафов за нарушение требований GDPR. Сам текст документа настолько абстрактен и запутан, что даже практикующим юристам не под силу понять его требования», – сказал А. Шмидт.

Эксперт считает, что 

такая ситуация может привести к многочисленным искам к малому и среднему бизнесу

«Это Google может потратить 500 человеко-лет на приведение своего бизнеса в соответствие требованиям GDPR, но даже у крупных европейских компаний, для которых обработка данных не является основным бизнесом, и близко нет ни финансовых, ни человеческих ресурсов на это», – добавил А. Шмидт.

«Худшее, что может случиться, если российский законодатель, следуя в фарватере европейского законодательства, накинет еще одну удавку бессмысленного регулирования на российский малый и средний бизнес», – предостерег эксперт.

Этапы подготовки

Несмотря на все вопросы к новому Регламенту, соблюдать его требования необходимо. Игнорирование GDPR может привести к серьезным последствиям. «Чего стоит только штраф – 2% от выручки за то, что организация не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба», – привел пример Яков Гродзенский. Для выполнения такого рода требований надо иметь и средства мониторинга, и специалистов для регулярного анализа инцидентов.

Я. Гродзенский рассказал, что

«крупные организации в России даже создают отдельные подразделения по выполнению требований GDPR»

По данным PwC, в стадии подготовки находятся компании из банковской, туристической, транспортной, горнодобывающей, металлургической, игровой отраслей, а также платежные системы и онлайн-сервисы (интернет-магазины, социальные сети и т. п.).

«Большинство организаций находятся на стадии определения применимости для них требований GDPR, так как этот вопрос требует детальной проработки и анализа существующих бизнес-процессов, потоков данных и заключенных договоров и соглашений», – сказал Дмитрий Бирюков. Некоторые уже прошли этот этап и приступили к трансформации своих бизнес-процессов и IТ-систем.

Microsoft советует компаниям сделать четыре важных шага для обеспечения соответствия нормам GDPR:

1. Обнаружение. Нужно определить, какими персональными данными владеет компания и где они хранятся. Оценить, в какой степени нормы GDPR актуальны для организации.
2. Управление. Необходим контроль использования персональных данных. Нужно создать прозрачные политики, которые четко характеризуют, как, когда и зачем компания собирает и обрабатывает ПД.
3. Защита. Требуется составить план управления рисками и использовать современные функции безопасности.
4. Отчетность. Нужно управлять данными и хранить необходимую документацию согласно новым стандартам GDPR в отношении прозрачности, ответственности и ведения записей.

Законопослушным проще

Роман Корнилов, руководитель службы информационной безопасности (ИБ) ICL Services, рассказал, что в его компании «сформировали внутренние политики и процессы таким образом, чтобы они соответствовали требованиям GDPR, провели вводное обучение для ключевого персонала». Также пересматриваются соглашения с европейскими партнерами. По словам Р. Корнилова, несмотря на свою сложность, проект не был слишком затратным, поскольку ICL Services не собирает и не обрабатывает ПД европейских клиентов на своих мощностях. «Что касается применимых к нам мер безопасности, то они у нас давно внедрены в рамках Системы управления ИБ, построенной на базе ISO 27001», – добавил Р. Корнилов.

По мнению Я. Гродзенского, сложность внедрения норм GDPR для российских компаний зависит от текущего состояния обеспечения ИБ: «Если выполнение требований 152-ФЗ осуществлено не формально, с помощью комплекта документов, скачанных из интернета, а реально за счет моделирования угроз и внедрения всех средств защиты информации, то можно говорить о некоторой начальной степени готовности».

***
Следование новым правилам работы может оказаться для российских компаний трудной задачей. Проще будет тем, кто честно выполняет требования № 152-ФЗ и заботится о защите персональных данных пользователей со всей ответственностью.

Изображение: RSpectr, freepik.com