Российские компании защитят персональные данные по европейскому закону
Они утверждают, что готовы к новым правиламСегодня, 25 мая, вступает в силу новое европейское регулирование в области защиты персональных данных (General Data Protection Regulation, GDPR). Оно должно помочь гражданам Евросоюза и всем, кто находится на территории стран ЕС, обрести полный контроль над своими персональными данными.
Двумя неделями ранее компании, на email-рассылку которых были подписаны корреспонденты «Ведомостей», начали рассылать предупреждения об изменениях политики обработки персональных данных – от Всемирного совета по золоту до изданий Financial Times (FT). Они просили подтвердить, что пользователь действительно согласен получать их рассылку, и рассказывали, зачем собирают пользовательские данные – например, файлы cookies. О том же уведомляли Google и даже сервис знакомств Tinder.
В Европе компании начали задолго готовиться к вступлению GDPR в силу, ведь штрафы за его нарушение достигают 20 млн евро (также могут быть рассчитаны исходя из годового глобального оборота компании и составить до 4%).
Когда GDPR был опубликован, многие руководители компаний в Кремниевой долине называли его требования ограничительными и антиконкурентными, отмечает FT. Однако после скандала с масштабной утечкой данных пользователей крупнейшей социальной сети в мире Facebook европейский подход к защите пользовательских данных начал казаться актуальным, считает издание. Многие компании и регуляторы ожидают, что GDPR может задать стандарты обращения с персональными данными не только для ЕС, но и для других стран, прогнозирует FT. «Европа была далеко впереди нас», — приводит FT мнение операционного директора Facebook Шерил Сандберг.
Что защищается
Определение персональных данных, которое приводится в GDPR, довольно широкое. К ним регулирование относит любую информацию, относящуюся к физическому лицу, по которому его можно прямо или косвенно идентифицировать. К такой информации относятся, например, имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор), а также любые характерные для его физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности факторы, следует из текста регулирования.
Определение широкое, под которое попадают в том числе IP-адреса, cookies, данные геолокации человека, даже информация об используемых устройствах, отмечает руководитель направления кибербезопаcности КПМГ Илья Шаленков. Кроме того, GDPR относит к персональным данным биометрическую информацию, информацию о расовой и религиозной принадлежности, медицинские данные и даже — состоит ли человек в профсоюзе. Но это как раз неудивительно: такую информацию считает персональными данными даже российский Роскомнадзор, объясняет Шаленков.
Закон вводит понятие оператора данных — это компания, которая собирает и использует персональные данные человека. Оператор должен получить четкое согласие от физического лица на сбор и обработку данных — регулирование требует, чтобы оно было добровольным и явным, и именно поэтому компании сейчас массово рассылают письма всем уже действующим подписчикам: в будущем они должны будут доказать, что человек совершил некое действие (например, ответил на email), выразив свое согласие на передачу данных, объясняет Шаленков.
Закон направлен на защиту всех граждан, находящихся на территории ЕС, вне зависимости от того, являются ли они гражданами стран ЕС. В этом смысле, он защищает россиянина, который поехал отдыхать во Францию, и отель, запрашивающий его персональные данные, теперь должен получить его согласие на их обработку, рассказывает Шаленков.
Однако закон имеет экстерриториальное действие, обращает внимание Шаленков: его действие распространяется на компании, не зарегистрированные в ЕС, если они имеют «дочерние» организации на территории ЕС — многие компании недооценивают этот момент, указывает Шаленков. В пример он приводит топливные компании с заправками в Европе: они как минимум хранят данные своих сотрудников, а также, например, могут иметь программы лояльности, где обрабатываются данные клиентов. Также компании попадают под регулирование, если они предлагают свои товары и услуги физическим лицам в Евросоюзе.
Последний факт определяется по нескольким признакам: например, компания использует язык или валюту, которые применяются в одной или нескольких странах ЕС, — до тех пор пока Великобритания не покинула ЕС, одним из таких языков остается английский, напоминает Шаленков. По этим признакам совершенно точно под регулирование попадают российские транспортные компании, например авиаперевозчики, и другие компании, которые предлагают услуги европейцам на их национальных языках, отмечает эксперт. К этим признакам относится возможность заказать товары и услуги на этом языке в зоне национальных доменов стран - членов ЕС («.de», «.fr», «.eu» и др.) и упоминание пользователей, которые находятся в Евросоюзе.
Авиакомпания Utair готова к введению GDPR, сообщил «Ведомостям» представитель компании, однако корреспондент «Ведомостей» по подписке на рассылку сообщений об изменениях на момент публикации не получил. Зато рассылку провел «Аэрофлот» – письма получили несколько корреспондентов. На запрос компания не ответила. Рассылку с предупреждениями израильской авиакомпании El Al получили два корреспондента «Ведомостей». S7 готова к переходу на новые нормы, сообщил представитель авиакомпании, ее рассылку подписанный корреспондент не получал.
Данные по-российски
Несмотря на то что GDPR принят два года назад, российские компании начали задавать вопросы по регулированию только этой весной, когда до начала действия проекта оставались считанные недели, отмечает Шаленков. Впрочем, если компания уже в полной мере соблюдала российский закон «О персональных данных», ей не придется тратить много денег и усилий, чтобы соответствовать GDPR, считает он.
Есть несколько отличий GDPR от российского законодательства по защите персональных данных, указывает эксперт по защите персональных данных PwC в России Дмитрий Бирюков. Компании обязаны сообщать регулятору и владельцу данных о случившихся инцидентах, должны минимизировать нужный объем данных и сроки их обработки, еще на этапе планирования процедур обработки данных думать об их защите, перечисляет Бирюков. Еще одна новелла – оценка воздействия на защищенность данных, когда компания пытается оценить последствия для владельца данных, если вдруг что-то пойдет не так.
Отдельно Бирюков указывает на так называемое право на забвение.
У компании ABBYY, которая разрабатывает системы распознавания текстов, около 30% выручки приносит европейский рынок — подготовкой к GDPR занимался немецкий офис, рассказал гендиректор российского подразделения компании Дмитрий Шушкин. По его словам, ABBYY пришлось дорабатывать механизм сбора согласий пользователей на маркетинговые рассылки, лицензионные соглашения и политики обработки данных пользователей.
«Лаборатория Касперского», которая также подготовилась к вступлению закона в силу, также не создавала ничего с нуля, рассказывает ее вице-президент «Лаборатории» Антон Шингарев. Компания улучшала отдельные процессы по разработке продуктов, усилила контроль потоков данных, пересмотрела политики доступа к информации, перечисляет он.