Статья

Пока не грянул гром: что стоит знать о GDPR

Законодательство
мобильная версия
, Текст: Мария Сысойкина / Фото: ru.depositphotos.com

25 мая 2018 г. в странах ЕС вступает в силу новый регламент защиты персональных данных. Распространяться он будет не только на европейские организации, но и на филиалы зарубежных компаний, работающих в Европе. Непосредственно новые правила коснутся тех, кто работает с персональными данными клиентов. Это банки, туристические компании, интернет-компании, перевозчики и т.д. Готов ли российский бизнес к новым требованиям, и что нужно для соответствия GDPR? Об этом CNews поговорил с экспертами в области информационного менеджмента и информационной безопасности.

Что такое GDPR

С официальной точки зрения, «Общее положение о защите данных Евросоюза» (Постановление 2016/679 или EU GDPR) – это масштабное обновление правил Евросоюза по защите данных. Закон развивает и заменяет предыдущую Директиву по защите данных (Директива 95/46/EC), которая действовала более 20 лет.

«Для Европы GDPR является первым шагом к созданию единого цифрового рынка, – поясняет Александр Черкавский, генеральный директор Центра информационного менеджмента. – Создание доверенной цифровой среды за счет ужесточения требований к учету персональных данных подготовит почву для применения более продвинутых технологий, таких, например, как умные контракты. GDPR – это ответ Евросоюза на появление новых бизнес-моделей, связанных с применением современных технологий. Большие данные, искусственный интеллект, интернет вещей, распределенные информационные системы, например, на основе блокчейна, требуют новой регуляторной базы со стороны государства. Если данные – это новая нефть и основа цифровой экономики, то это положение должно быть зафиксировано в законодательстве».

К нововведениям общего положения о защите данных ЕС (EU GDPR) относятся расширение понятия персональных данных по сравнению с предыдущими нормами (Статья 4 (1)), увеличение территориального охвата действия закона (статья 3 (2) (a) – (b)), изменение правил подсудности и серьезное увеличение верхней планки штрафов (Глава 8 Статьи 77–84), ужесточившиеся требования к получению согласия на обработку данных (Статья 4 (11), Статья 6 (1) (a), Статья 7), новые права субъектов данных (Глава 3 Статьи 12–23), необходимость в работе компании учитывать принцип «Обеспечение приватности по умолчанию» (Статья 25), роль Директора по защите данных (Статьи 37–39), уведомление контролирующего органа об инцидентах с данными (Статья 33), расширение обязательств по документированию операций с данными (Статья 30).

«По большому счету, речь идет о создании системы менеджмента персональных данных, – поясняет Александр Черкавский. – Внедрение какой-то одной информационной системы или ПО для псевдонимизации данных эту задачу не решит. Требования носят комплексный характер и предполагают изменение отношения к информации всех сотрудников компании. В создании процесса обеспечения требований GDPR, который будет действовать в организации, должны участвовать топ-менеджмент, юристы, кадровики, информационная безопасность, ИТ и руководители бизнес-функций».

GDPR и 152-ФЗ

152-ФЗ является калькой с европейской директивы о защите данных, которую призван заменить новый регламент. GDPR содержит ряд новых требований, актуальных для зарубежных компаний, работающих с ЕС. А также отличается более мягкими формулировками, чем российский закон о ПДн.

«Общие черты у ФЗ-152 и GDPR, разумеется, присутствуют, – рассказывает Алексей Андрияшин, руководитель системных инженеров в компании Fortinet, – так как основной смысл этих регламентов – защита персональных данных субъектов и уведомление граждан о тех случаях, когда их данные могут быть обработаны, и самое важное – определение требований к операторам персональных данных. Российский закон о защите персональных данных также вынуждает иностранные компании выстраивать свои процессы таким образом, чтобы удовлетворять отечественным требованиям и иметь возможность вести бизнес на территории РФ – переносить базы данных на серверы, расположенные в России».

«GDPR представляет собой обновленный набор требований по обработке и защите ПДн европейцев, ориентированный на работу с «цифровыми данными» (интернет, большие данные, интернет вещей и прочее), – поясняет Андрей Прозоров, руководитель экспертного направления компании Solar Security. – GDPR интересен простотой формулировок базовых принципов и прав субъектов ПДн (например, «право на забвение», «право на перенос данных», «право знать об утечках данных» и прочее), возможными большими штрафами (до 4% глобального оборота), и широкой областью действия (под нее попадают не только организации, территориально расположенные в ЕС). Да, GDPR можно (и нужно) сравнивать с 152-ФЗ, общие положения у них схожие».

Именно детализация формулировок определяет одно из ключевых отличий 152-ФЗ и GDPR. Европейский регламент задает только требования, тогда как российский закон подробно регламентирует еще и способы соответствия им.

«Если сравнивать GDPR с 152-ФЗ и соответствующими поднормативными актами, то у GDPR меньший уровень детализации того, как именно необходимо обеспечивать безопасность персональных данных, – поясняет Евгений Дружинин, ведущий эксперт направления информационной безопасности КРОК. – GDPR задает определенную планку по защите персональных данных, но не отвечает точно на вопрос как ее преодолеть, в отличие от 152-ФЗ, который достаточно детально определяет конкретные шаги по реализации мер и механизмов защиты. При этом цели GDPR и 152-ФЗ, в общем-то, совпадают».

Эксперты расходятся во мнении, что компании, выполняющие требования 152-ФЗ, не будут иметь серьезных проблем с соблюдением европейского регламента в силу схожести законов. Надо учитывать, что 152-ФЗ соответствует старому закону ЕС о защите данных, в то время как новый закон потребует от компаний определенных действий по обеспечению комплаенса.

Требования GDPR и как им соответствовать

Ключевое требование GDPR заключается в том, что «оператор должен обеспечить и несет ответственность за соответствие принципам» данного закона. Это означает, что речь идет не об информационной безопасности или информационных технологиях, а о новом типе учета в организациях – об учете информации.

«Необходимо создать систему менеджмента персональных данных, которая будет включать в себя процессы ведения записей об обработке данных, процедуры уведомления и взаимодействия с субъектами данных, измененную модель данных, которая позволит отслеживать жизненный цикл персональных данных в компании, новые функции сотрудников, – разъясняет Александр Черкавский. – Помимо защиты права резидентов ЕС на приватность, присутствует и негласная цель – повысить зрелость процессов по управлению информацией во всех европейских компаниях. Центр информационного менеджмента создавался в 2016 году для реализации этой же цели в России».

Кто чем рискует

Несоблюдение требований GDPR грозит штрафами до €20 млн или 4% от мирового оборота компании за прошлый финансовый год, в зависимости от того, какая сумма больше. Также контролирующий орган может наложить запрет на обработку персональных данных, что является более тонким инструментом воздействия, чем блокировка счета. Для интернет-сервисов приостановление обработки персональных данных будет означать приостановление бизнеса.

Александр Черкавский приводит несколько примеров: «В Канаде в 2015 году после принятия Закона о цифровой приватности государство сразу же оштрафовало ряд компаний на суммы от 200 000 до 3 000 000 канадских долларов, чтобы показать, как работает сдерживание и принуждение к выполнению требований. В Европе события будут развиваться аналогичным образом. Так 16 февраля 2018 года Брюссельский суд первой инстанции постановил, что Facebook должен прекратить отслеживание деятельности бельгийских граждан в интернете и удалить незаконно собранные данные. В противном случае Facebook должен будет заплатить штраф в 250 000 евро за каждый день просрочки, но не более 100 000 000 евро».

Указанные санкции могут быть наложены на компании, которые допустили инцидент с данными. Под таким инцидентом могут подразумеваться не только хакерские атаки, но также жалобы граждан на нарушения их прав.

В зоне риска находятся все российские компании, которые ведут деятельность в Европе, предлагают товары или услуги резидентам ЕС или отслеживают их поведение, собирая данные в интернете. То есть это все экспортеры, поставщики интернет-сервисов и обработчики данных, относящихся к резидентам ЕС.

«Под действия закона GDPR в России попадают автоматически все компании, обрабатывающие персональные данные европейских граждан. Это такие организации как гостиницы, авиакомпании, сервисы по продажам билетов и так далее, – дополняет Алексей Андрияшин. – Скорее всего, данные требования отразятся на развитии облачных и интернет-сервисов, каким-то образом будут физически разделяться области хранения данных соотечественников и европейцев. Отечественным компаниям, ориентированным на западный рынок, придется выполнять требования как отечественных, так и западных регуляторов, чтобы иметь возможность предоставлять свои услуги иностранцам».

По мнению юридической фирмы Baker McKenzie, под действие нового регламента автоматически попадают также российские банки и сотовые операторы. Первые – так как выпускают карты, которыми можно пользоваться в Европе, а вторые – так как их абоненты пользуются услугами роуминга на территории ЕС.

Европа готовится

Информационная волна, связанная с подготовкой к GDPR, в Европе началась еще в 2017 г. И с каждым месяцем она усиливается. Руководители компаний понимают целесообразность инвестиций в подготовку, поскольку они будут все равно меньше, чем возможные штрафы.

Партнер Центра информационного менеджмента, Международная ассоциация AIIM за год до вступления закона в силу провела исследование о готовности европейских и американских компаний. Результаты приведены на диаграммах.

Оценка компаниями готовности к соответствию требованиям GDPR, по шкале от 1 до 5

 1.png

Источник: Международная ассоциация AIIM

Оценка компаниями собственной осведомленности о влиянии GDPR на бизнес

2.png

Источник: Международная ассоциация AIIM

Задача соответствия требованиям законодательства не является новой для Европейских компаний. Новой является задача по обязательному внедрению регулирования информации.

Пока гром не грянет

По мнению Александра Черкавского, в России сложилась интересная ситуация – большинство крупных российских экспортеров в ЕС не обратили внимание на закон, который ужесточает условия ведения бизнеса всех компаний в ЕС.

Экспорт в страны Европы составляет порядка 45% от всего экспорта России. По данным Таможенной Службы, в 2016 г. экспорт в Европу составил $128,5 млрд. Готовы ли мы рискнуть своим экспортом на фоне санкций, игнорируя требования GDPR?

«Российские компании исторически фокусировались на финансовом учете, поясняет Александр. – Концепция регулирования информации (information governance), которая подразумевает учет информации как актива, только начала набирать популярность в России, в том числе благодаря Центру информационного менеджмента. Если европейские представительства российских компаний не предпринимали никаких мер по своей инициативе – то готовность к соблюдению требований GDPR у них нулевая».

Но есть и другое мнение. «Важность соблюдения регламента GDPR серьезно воспринимается в России, о чем свидетельствует большой рост и популярность услуг консалтинга в данной сфере», – говорит Алексей Андрияшин, руководитель системных инженеров в компании Fortinet.

Российские компании комментируют свое отношение к GDPR весьма неохотно. В Альфа-банке сообщили, что в текущий момент проводится анализ применимости требований GDPR к банку. «В частности, изучаем вопрос необходимости соблюдения требований регламента организациями, осуществляющими свою деятельность за пределами ЕС, а также совместимости регламента с применимым правом о защите персональных данных в РФ», – сообщила пресс-служба компании.

Теоретически, попадает под требования нового регламента и деятельность европейских офисов «Аэрофлот». Но пока каких-то активных действий для обеспечения соответствия требованиям, компания не предпринимает. «Аэрофлот в курсе изменений европейского законодательства о персональных данных, – сообщили в компании. – В настоящее время осуществляется тщательный анализ всех процессов в компании, затрагивающих обработку персональных данных пассажиров. По итогам анализа будут сделаны выводы о соответствии этих процессов требованиям регламента GDPR и необходимости внесения каких-либо корректив для работы в странах ЕС».

Как подготовиться к GDPR


Цели GDPR и 152-ФЗ

Цель GDPR (Статья 1 (1) (2)): 
Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных. 
Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных. 

Цель 152 ФЗ (Статья 2):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Кажущаяся общность целей GDPR и 152-ФЗ позволяет предположить, что компаниям, соблюдающим нормы российского законодательства, будет довольно просто соответствовать новым европейским нормам.

Но требования законов совпадают лишь частично, поэтому провести хотя бы минимальный аудит процессов, связанных с обработкой данных, компаниям все же придется. И в случае, если несоответствие будет выявлено, скорее всего, потребуется перестройка этих процессов.

GDPR вступает в силу 25 мая 2018 г., и времени на подготовку остается совсем немного. Даже если отнестись к выполнению требований GDPR формально, все равно потребуется обследовать данные и процессы компании и определить информационные риски.

«Для тех компаний, которые уже решали вопросы обеспечения защиты персональных данных в соответствии с российским законодательством больших проблем быть не должно: эти компании уже понимают, где и как обрабатываются персональные данные, – полагает Евгений Дружинин. – Кроме того, для их защиты уже реализованы определенные технические и организационные меры защиты. Необходимо только акцентировать внимание на специфических требованиях GDPR, касающихся, например, необходимости оповещать регулирующие органы о нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения, а также необходимости хранения соответствующей «сырой» информации».

Масштабным компаниям придется автоматически находить и выгружать все документы и записи с конкретными персональными данными конкретного физического лица из всех информационных систем и бумажных архивов. Это необходимо для исполнения прав на доступ (Статья 15), на забвение (Статья 17) и на перенос данных (Статья 20) в соответствии с требованиями GDPR.

Также в GDPR к персональным данным относят онлайн-идентификаторы, вроде cookies или IP-адресов, чего нет в российском законодательстве. Это означает, что компании придется пересмотреть процессы, связанные с применением цифровых технологий.

Андрей Прозоров рекомендует проанализировать процессы обработки ПДн, особенно сбор данных в сети Интернет, и понять, попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых ПДн. Затем придется проверить (и при необходимости поправить) выполнение базовых требований GDPR: это и четкое формулирование целей обработки, и сокращение количества собираемых данных, и наличие уведомлений об обработке, и назначение ответственного за обработку, и выстроенные процессы по реагированию на запросы субъектов ПДн, и многое другое.

Что делать в случае инцидента?

Согласно новому регламенту, в случае инцидента компания должна уведомить контролирующий орган в течение 72 часов, предоставив отчет о рисках для физических лиц и о предпринятых мерах по снижению этих рисков. А также проинформировать субъектов данных, чьи интересы и безопасность могут быть затронуты.

Практика показывает, что скрывать информацию об инцидентах не получается. Александр Черкавский приводит в пример историю с Yahoo, которая была вынуждена в 2017 г. раскрыть информацию об инцидентах с данными в 2013 и 2014 гг. перед слиянием с компанией Verizon. В результате Verizon купил Yahoo на $350 млн дешевле.

Наложение административных штрафов во многом будет зависеть от контролирующего органа в каждом отдельном государстве Евросоюза. Хорошая новость заключается в том, что с ними можно судиться. Другой вопрос, что обязанность доказывать соответствие лежит на компании-операторе или обработчике. И без серьезной предварительной подготовки оспорить нарушения будет сложно.