19 октября 2017, 13:16

Защита персональных данных европейцев дорого обойдется российскому бизнесу

REUTERS/ Ints Kalnins
На конференции в Риге эксперты обсуждают закон о защите персональных данных граждан ЕС, который вступит в силу в мае 2018 года. ТАСС рассказывает, как его действие отразится на российском бизнесе

Новый закон о защите персональных данных (General Data Protection Regulation, GDPR) был принят Еврокомиссией весной 2016 года. Он среди прочего ужесточит требования к компаниям, получающим личные сведения о гражданах.

Несмотря на то, что закон принят в ЕС, под его действие попадет каждая третья крупная российская компания, считают аналитики одной из крупнейших в мире консалтинговых компаний КПМГ.

Список правил

Закон предъявляет к компаниям, которые получают персональные данные граждан на территории Евросоюза, четыре ключевых требования.

Компании должны быть готовы предоставлять гражданам сведения о том, как они распоряжаются их персональной информацией, обрабатывают ее.

Персональные сведения граждан компании должны хранить так, чтобы при необходимости их можно было легко перезаписать, предоставить в структурированном виде или удалить.

Причем информационные системы предприятий должны быть настроены так, чтобы данные, в том числе и архивные, можно было удалить безвозвратно.

Дело в том, что новые правила дают человеку "право на забвение": он может потребовать удалить сведения о себе безвозвратно, если больше не хочет, чтобы они хранились и обрабатывались.

Новый закон требует от компаний повысить прозрачность использования персональных данных граждан. Правила получения согласия на обработку личной информации станут строже, пользователь получит возможность в любой момент отозвать такое согласие. А фирмы обяжут обозначать цели использования персональной информации и раскрывать сведения о третьих лицах, которым они передают данные.

Компании — получатели персональных данных будут нести ответственность за использование личных сведений граждан третьими лицами, если они поручат им обработку личной информации. В случае кражи персональных данных, компании должны будут в течение 72 часов предупредить регулятора и всех пострадавших.

Европейский филиал станет проблемой

Дочерние структуры многих российских компаний, их филиалы и представительства в странах Евросоюза автоматически попадут под действие GDPR, пояснил ТАСС старший менеджер группы по управлению информационными рисками КПМГ в России и СНГ Илья Шаленков. А значит, учитывать нормы закона придется и подразделениям компаний, работающим в РФ. Ведь обычно персональные данные сотрудников передаются внутри организации без учета "географии".

Закон повлияет и на те российские компании, у которых нет собственных подразделений в ЕС, зато они имеют там деловых партнеров, добавляет Шаленков. Европейцы будут учитывать риски сотрудничества с российскими организациями, опасаясь многомиллионных штрафов.

Более того, выполнять требования нового закона будут обязаны российские компании, предоставляющие услуги или товары покупателям, которые могут жить в Евросоюзе, отметил руководитель отдела по анализу и контролю ИТ-рисков ФБК Грант Торнтон Александр Черненко. Подчиниться нормам GDPR должен будет любой онлайн-магазин или сервис, который потенциально не ограничивается покупателями из России, или компания, занимающаяся сбором и анализом данных в сети, и изучающая профили пользователей в интернете. "К этой категории относятся такие компании, как "Яндекс", отслеживающие действия пользователей на различных сайтах", — пояснил эксперт.

Новый закон затронет многие финансовые и банковские группы, сферу телекома и поставщиков услуг связи, компании ТЭК, фирмы, занимающиеся пассажирскими перевозками (прежде всего, авиаперевозчиков), онлайн-ретейл и поставщиков услуг, работающих с иностранными покупателями, перечисляет Черненко.

Партнер EY (одна из крупнейших в мире аудиторско-консалтинговых компаний Ernst & Young — прим. ТАСС), руководитель направления по предоставлению услуг в области бизнес-рисков, управления ИТ и кибербезопасности в СНГ Николай Самодаев пояснил ТАСС, что, к примеру, мониторинг транзакций по банковской карте и анализ звонков человека на территории ЕС в рамках процессов по предотвращению мошенничества попадают под критерий "отслеживания действий", то есть будут отнесены к понятию обработки персональных данных.

Как спастись от GDPR

Российским фирмам придется пересмотреть свое отношение к сбору и хранению персональных данных, считают эксперты. "Если нет четкого понимания цели и правового основания обработки, то данные не следует собирать в принципе", — говорит Черненко.

Компаниям придется проанализировать каждый отдельный процесс обработки персональных данных на соответствие требованиям GDPR, обеспечить их защиту и разработать процедуры по уведомлению пользователей и регуляторов об утечках личных сведений, перечисляют эксперты.

Также нужно будет так настроить свои информационные системы, чтобы граждане ЕС могли быстро воспользоваться "правом на забвение" и правом на выгрузку своих данных.

Еще необходимо обучить сотрудников, написать новые регламенты, как действовать в той или иной ситуации, определить ответственных, а после вступления закона в силу постоянно мониторить качество защиты персональных данных.

Самыми сложными могут быть задачи настройки информационной системы для полного удаления данных и выгрузки их в структурированном машиночитаемом формате, говорит Черненко. Определенные сложности вызовет требование за 72 часа уведомить об утечке данных не только регулятора, но и всех пострадавших (их может быть очень много). Кроме того, многие компании опасаются, что просто не успеют поменять все процессы к моменту вступления закона в силу. Так, по данным крупнейшей аудиторской и консалтинговой компании PwC, лишь 6% крупнейших компаний мира готовы работать по новым правилам, а 23% еще даже не приступали к подготовке.

Миллионы на защиту

Российским компаниям придется потратить миллионы рублей, чтобы соответствовать новым правилам. "Изменение бизнес-процессов, обучение сотрудников, доработка информационных систем и внедрение организационных и технических мер защиты легко могут составить десятки миллионов рублей", — считает Александр Черненко.

Старший менеджер отдел консультационных услуг EY Евгений Ким также говорит о затратах в десятки миллионов рублей, но отмечает при этом, что "в данную сумму не входят работы по изменению существующей ИТ-архитектуры организации и внедрению специализированных ИТ-решений".

Привлечение сторонних компаний к "настройке систем" может оказаться несколько дешевле. Цена услуг колеблется от 200 тысяч до нескольких миллионов рублей, говорит Илья Шаленков. "Маленькие начинающие интеграторы могут предлагать низкую стоимость для выхода на рынок, в то время как крупные проверенные компании предлагают услуги по более высокой цене, так как к реализации проектов могут привлекать специалистов из ЕС, имеющих реальный опыт работы с GDPR", — пояснил он.

Избежать этих трат российскому бизнесу не удастся. Ведь невыполнение закона обойдется еще дороже — вплоть до €20 млн или 4% от глобального оборота компании.

Мария Селиванова