На чужой территории: как российскому бизнесу защищать данные пользователей
Общий регламент по защите данных (GDPR) в Евросоюзе вступил в силу полгода назад. Этого времени хватило бизнесу в России, чтобы пройти стадии отрицания и гнева. Вместе с тем от перехода к стадии принятия, то есть планированию и внедрению GDPR, бизнес останавливают в основном два обстоятельства: неочевидность рисков применения санкций к компаниям в России и сложность однозначного определения периметра экстерриториального применения GDPR. Давайте разберемся, верны ли эти опасения.
Стоит ли бизнесу в России опасаться GDPR-санкций, если еще ни одна российская компания не была оштрафована? Да, определенно стоит. Хотя практические риски во многом зависят от типа бизнеса. Если это B2C-сегмент, то риск принципиально выше. Ведь основным триггером рисков санкций являются клиенты, пользователи или работники.
Все чаще в европейских СМИ появляются новости о последствиях несоблюдения европейского регулирования о персональных данных. Например, недавно британский и голландский регуляторы наложили на Uber штрафы суммарно свыше €1 млн. А ранее Facebook оштрафовали на максимально возможные £0,5 млн. И ведь это штрафы, рассчитанные еще по старому регулированию, пределы ответственности по которому были принципиально ниже установленных GDPR. Поэтому в первом полугодии 2019 года нас, вероятно, ждут новости о наложении действительно «устрашающих» штрафов.
В то же время эксперты разделяют мнение, что европейские регуляторы в ближайший год не приступят к полноценному контролю за неевропейскими компаниями, поскольку сосредоточены на наведении порядка внутри Евросоюза. Действительно, по GDPR были оштрафованы только европейские компании, и нет ярких примеров экстерриториальной ответственности. Однако уже осенью этого года в отношении AggregateIQ, небольшой канадской IT-компании, было вынесено предписание прекратить обработку персональных данных британцев, несовместимую с заявленными целями. С подобной ситуацией могут столкнуться и российские компании. Например, пользователь «ВКонтакте» пожаловался польскому регулятору на социальную сеть за нарушение его прав. Кроме этого, с учетом геополитической обстановки нельзя исключать риски особого внимания именно к российским компаниям как со стороны регуляторов, так и клиентов/пользователей.
Нет сомнений и в том, что санкции по GDPR смогут быть исполнены и против российских компаний. Так, штраф могут наложить на представителя компании в ЕС или взыскать за счет корпоративных активов в странах ЕС, в том числе потенциально за счет дебиторской задолженности. Но денежные риски — не единственное, чего следует опасаться. Европейский регулятор может запретить другим компаниям передачу данных нарушителю GDPR. Обсуждается и блокировка web-ресурсов для европейских пользователей. Такие меры, безусловно, грозят потерей европейского рынка.
Поэтому российскому бизнесу чрезвычайно важно оценить применимость GDPR, ведь его требования имеют ряд принципиальных эксцессов по сравнению с российским регулированием и требуют времени для внедрения.
Бизнес без границ
Сложно ли определить границы применения GDPR к российским компаниям? Да, но сегодня уже накоплена экспертиза по основным триггерам экстерриториальной применимости. Хотя остаются и так называемые серые зоны, в основном актуальные для отдельных секторов, например, банковского.
Давайте вспомним критерии применения GDPR к российским компаниям. Есть два принципиально разных случая: применимость в силу заключенного договора и прямая применимость. В зависимости от основания будет различаться как объем требований, так и методология их внедрения.
Договорная применимость GDPR возникает в силу заключения с европейской компанией договора, содержащего условия о соблюдении требований GDPR. Так, европейские компании смогут передать персональные данные в Россию, которая, по мнению Еврокомиссии, не обеспечивает адекватный уровень защиты данных, только при условии дополнительных «гарантий». Одним из возможных и наиболее удобных форматов таких гарантий — принятие российским контрагентом стандартных договорных условий, утвержденных Еврокомиссией. Кроме этого, в зависимости от конкретной модели отношений между сторонами GDPR устанавливает дополнительные требования, которые должны быть включены в договор.
Что касается прямой применимости, то GDPR должны соблюдать, во-первых, российские компании, которые обрабатывают данные «в контексте деятельности постоянной структуры в ЕС». Под такой структурой понимается филиал, представительство, аффилированная компания, агент и иной независимый партнер. То есть это те случаи, когда российская компания ведет деятельность в ЕС «под маской» европейской структуры.
Во-вторых, GDPR применим к российским компаниям, чья деятельность направлена на физических лиц в ЕС и заключается в предоставлении товаров и услуг или же мониторинге поведения потребителей в ЕС. Примером первого будут адаптированные под европейский рынок продукты (особые тарифные сетки и программы лояльности, кастомизация под локальную регуляторную специфику, европейские языки и доменные имена, доставка товаров в ЕС и т.п.) или направленная на Евросоюз реклама (продвижение сайта для европейских пользователей, ссылки на ЕС-потребителей в брошюрах, маркетинговые мероприятия в ЕС и т.п.). Мониторинг поведения включает в себя, например, аналитику cookie-файлов и IP-адресов, отслеживание геолокации, контроль эффективности работников и использования ими корпоративных устройств связи.
Критерии, указывающие на экстерриториальную применимость GDPR, не всегда однозначны, поэтому в зависимости сферы деятельности компании остаются открытые вопросы. 23 ноября Европейский совет по защите данных (European Data Protection Board, EDPB) опубликовал для общественного обсуждения разъяснения по территориальной применимости GDPR. К сожалению, разъяснения хотя и добавляют ясность по отдельным моментам, но оставляют без ответа наиболее актуальные вопросы. Тем не менее эти разъяснения подтверждают корректность взвешенного подхода при оценке применимости GDPR против его применения к абсолютному большинству компаний, у которых есть хоть какие-то связи с Евросоюзом. Так, например, EDPB отмечает, что сбор или анализ информации о поведении лиц в ЕС автоматически не признается мониторингом. И, напротив, для признания такой деятельности мониторингом у компании должна быть соответствующая цель, в том числе анализ поведения человека или его профайлинг.
Играть на опережение
Таким образом, во избежание рисков рекомендуем не дожидаться запросов от европейских клиентов или регуляторов, а уже сегодня начать оценку применимости GDPR. По результатам анализа указанных критериев должны быть определены конкретные процессы, к которым применим GDPR, и основания его применения, а также важность таких процессов для бизнеса, их очевидность для клиентов и регуляторов. Кроме этого, должен быть выявлен периметр «зараженных GDPR» систем и баз данных, оценена возможность создания «закрытого контура GDPR» для «зараженных процессов» и сложность внедрения GDPR.
С учетом такой оценки могут быть приняты следующие решения: во-первых, отказ от внедрения GDPR, во-вторых, его ограниченное внедрение, в-третьих, комплексное внедрение для всех процессов компании, даже если GDPR не применим ко всем процессам. Согласно опросу, проведенному PwC Legal, ограниченное внедрение предпочитает подавляющее большинство компаний в России. Такой подход выглядит наиболее рациональным в большинстве случаев.
Кроме этого, независимо от принятого решения, чрезвычайно важно регулярно отслеживать триггеры применимости GDPR и оценивать меняющийся ландшафт применения GDPR, например, в связи с новыми продуктами, процессами, изменениями ИТ-архитектуры и заключением договоров с европейскими партнерами. Иначе GDPR сможет неконтролируемо распространяться и «заражать» ключевые системы компании.