Эксперты оценили сферу применения регламента ЕС о защите данных

Все банки, выпускающие карты, которыми можно пользоваться на территории Евросоюза, формально подпадают под требования Общего регламента о защите данных (General Data Protection Regulation; GDPR), который вступает в силу в ЕС 25 мая. Об этом заявил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен на прошедшем в Москве мероприятии «GDPR в России: 100 дней до вступления в силу».

GDPR был принят Европейским союзом в апреле 2016 года. Цель нового регламента — повысить уровень защищенности персональных данных граждан внутри стран Евросоюза. Принцип действия у нового регламента экстерриториальный, а значит, ему должны будут подчиниться компании не только из ЕС. Под действие регламента подпадут компании из разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. Они должны будут хранить данные в обезличенном и зашифрованном виде, обеспечить должный уровень их защиты от утечек, не передавать данные третьим лицам и информировать граждан и регулирующие органы о любой утечке информации в течение 72 часов.

Гражданам должны предоставлять информацию о правилах обработки их данных в понятном и доступном виде, брать у них согласие на обработку данных в виде «четкого утвердительного акта в письменной или устной форме», а также предоставлять им возможность отказаться от передачи данных без ущерба для совершения действий. Несоблюдение GDPR ведет к административным штрафам для компаний в размере до €20 млн (1,39 млрд руб. по текущему курсу), или 4% годового оборота.

 «Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки», — сообщил он.

В аналогичном положении окажутся и сотовые операторы, абоненты которых пользуются услугами, находясь в роуминге на территории ЕС, сказал также Таннен. По его словам, объяснение этому можно найти в ст. 3 (2) GDPR о территориальной применимости регламента, согласно которому документ применим к компаниям, которые предлагают товары и услуги любому лицу на территории ЕС или осуществляют мониторинг его действий в странах Евросоюза.

Эмитирование карт международных платежных систем и предоставление услуг роуминга действительно могут привести компании к необходимости выполнять требования регламента ЕС, подтверждает эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков. «Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.», — поясняет он.

Меры, которые должны принять российские компании для соответствия GDPR, зависят от сферы деятельности, организации бизнес-процессов, архитектуры ИT-систем и целого ряда других подобных характеристик, говорит Дмитрий Бирюков. По его словам, компаниям необходимо провести аудит, по результатам которого им, вероятно, может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам «права на забвение» и переносимость данных. «Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании», — добавляет эксперт.

Подготовку к исполнению GDPR компаниям стоит начать с оценки конфиденциальности и рисков, а также выявления и создания карты персональных данных, говорится в рекомендациях компании IBM по обеспечению готовности к GDPR. Затем стоит разработать стандарты управления и обработки, а также стандарты конфиденциальности и управления безопасностью. При этом сотрудников следует обучить принципам GDPR. В конечном итоге компаниям необходимо вести постоянный мониторинг, оценку, аудит, регистрацию и контроль соблюдения стандартов GDPR, говорится в материалах IBM.

В связи с грядущим вступлением в силу GDPR большой спрос получают услуги по аудиту процессов обработки данных и по внедрению системы их защиты, рассказала старший юрист компании «Алруд» Марина Юфа. Она отмечает, что компании, подпадающие под действие европейского регламента, параллельно оценивают свои процессы по обработке данных и с точки зрения российского законодательства. Закон «О персональных данных», который регулирует деятельность по их обработке, действует в России с 2006 года.