Как российскому бизнесу подготовиться к новому закону ЕС о защите персональных данных
Европейский закон коснется многих крупных российских компанийВ мае 2018 г. во всех странах Евросоюза станет обязательным к исполнению новый закон Европейского союза о защите персональных данных (General Data Protection Regulation, GDPR), принятый в мае 2016 г. Новые требования являются результатом серьезного ужесточения и унификации всех существовавших на протяжении 20 лет и различавшихся в разных европейских странах норм о защите персональных данных. И этот закон отразится на бизнесе многих крупных российских компаний.
В первую очередь он коснется компаний, которые имеют представительства в странах Евросоюза и оказывают услуги физическим лицам – гражданам ЕС, собирают и обрабатывают большие объемы персональных данных, активно используют интернет-маркетинг, ведут онлайновую регистрацию пользователей на веб-сайте или в мобильном приложении. Если российская компания имеет веб-сайт на языке хотя бы одной страны – члена Евросоюза или сайт поддерживает платежи в валюте стран ЕС, то это также может быть достаточным условием для применения GDPR. В эту категорию попадают, например, интернет-магазины, финансовые компании, организации здравоохранения, IT-компании и социальные сети.
За нарушения требований закона предусмотрены более серьезные штрафы в размере до 20 млн евро или 4% годовой общемировой выручки компании, а также ряд иных санкций, устанавливаемых для каждой страны Евросоюза в отдельности, не говоря уже о репутационном ущербе, судебных издержках и компенсациях в результате групповых и индивидуальных исков от физических лиц.
Закон GDPR имеет четыре ключевых требования.
Компании должны быть готовы предоставить сведения о том, как они распоряжаются персональными данными физических лиц, а также перенести или уничтожить их по запросу. Кроме того, ограничиваются цели использования ранее собранных данных.
Данные должны легко перезаписываться и удаляться. Компании обязаны будут предоставлять физическим лицам по их запросу личные данные в структурированном формате. Кроме того, компании должны будут так настроить IT-системы и процессы, чтобы в случае необходимости можно было безвозвратно удалять данные о физическом лице, в том числе из архивов. Одно только это требование может сопровождаться значительными затратами на доработку IT-систем и изменение баз данных.
Компании должны повысить прозрачность использования данных. Ужесточаются правила получения согласия на обработку персональных данных, пользователь получает право в любой момент отозвать согласие. Компании будут обязаны четко указывать все цели применения данных, а также раскрывать информацию о третьих лицах, которым данные будут передаваться.
Компании будут нести ответственность за обработку данных, которую поручают третьим лицам, и должны обеспечить законность обработки этой информации своими подрядчиками.
Во всем мире предприятиям, как показал год переходного периода, с трудом удается соответствовать новым требованиям. Согласно результатам недавнего опроса PwC, 54% американских компаний считают подготовку к вступлению в силу GDPR важнейшей задачей в области защиты данных, а 38% респондентов оценивают эту задачу как одну из приоритетных. Но мало кто успел подготовиться. Только 6% респондентов завершили подготовку, 71% сейчас приводят бизнес в соответствие с требованиями GDPR, а 23% еще даже не начинали подготовку. Затраты внушительны: 77% респондентов оценивают затраты на комплаенс-инициативы более чем в $1 млн.
Дочерним фирмам международных корпораций имеет смысл инициировать диалог о GDPR с головным офисом, чтобы иметь достаточно времени на согласование глобальных процедур с требованиями российского закона о персональных данных. Несмотря на схожесть GDPR и российского закона, многие термины и требования отличаются в деталях.
Российские крупные компании должны быть готовы к серьезным организационно-техническим преобразованиям. Им нужно выполнить несколько важнейших шагов.
Ключевой шаг – создание межфункциональной группы, в нее нужно включить специалистов из юридического, кадрового, IT-отделов, а также бизнес-подразделений. Решить проблему выполнения требований GDPR силами одного отдела невозможно.
В первую очередь эксперты группы должны определить, насколько требования GDPR вообще касаются компании. И даже если этот закон не применим сейчас, необходимо проанализировать бизнес-стратегию и убедиться, что GDPR не станет актуален для компании в ближайшем будущем.
Допустим, компании все-таки нужно соответствовать новому закону. Тогда ей следует проанализировать, какие именно типы персональных данных она обрабатывает и каким образом. Насколько эти данные защищены при хранении, передаче и использовании? Своевременно ли компания выявляет нарушения?
Одно из самых трудных требований нового закона – обязанность оповещать надзорные органы и клиентов о случаях утечки информации в течение 72 ч с момента обнаружения. Для защиты данных существуют различные технологии и инструменты: управление учетными записями, управление административным доступом и надежные средства проверки подлинности пользователя. Применяет ли их компания? Эти инструменты существенно снизят вероятность утечки данных.
Необходимо обновить политику обработки данных, формы согласий на обработку данных и договоров, а также провести соответствующее обучение сотрудников. Часть внутренних процессов может оказаться юридически уязвима с точки зрения требований нового закона, такие процессы следует проанализировать и изменить.
Автор – партнер, руководитель отдела анализа и контроля рисков PwC в России