Не готовы к Европе: российские компании не соответствуют закону ЕС о персональных данных
25 мая в Европе вступит в силу закон о защите персональных данных граждан Евросоюза (GDPR). Хотя к России этот закон прямого отношения не имеет, многим российским компаниям, имеющим здесь свои представительства, придется внести изменения в работу, чтобы ему соответствовать. Однако сделать это будет сложно, потому что границы действия закона довольно размыты. Forbes попросил специалистов IBM и Baker McKenzie объяснить, в чем заключаются основные требования GDPR.
Что такое GDPR
Общий регламент по защите данных или GDPR — это объемный регламент, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия решили усилить и унифицировать защиту персональных данных всех граждан государств, входящих в Евросоюз, но пока что очень много европейских стран точно также не соответствуют условиям, прописанным в нем, как и Россия. После 25 мая этот закон будет касаться всех российских и зарубежных компаний, которые занимаются сбором, анализом и хранением персональных данных и которые обслуживают на постоянной или временной основе граждан еврозоны. Однако, в России существует своя специфика работы с персональными данными: работая здесь, компании должны соответствовать еще и Федеральному законодательству. И теперь многим компаниям придется пересмотреть условия договоров по работе с персональными данными, потому что российское законодательство предусматривает низкие штрафы за несоблюдение, и многие компании не следят за исполнением регламента, а несоблюдение закона GDPR будет караться штрафом в €20 млн.
В чем сложность соответствия
В условия, опубликованных на официальном сайте регламента, существует много серых зон, исходя из условий которых непонятно, как будет осуществляться действие закона и кто будет следить за его исполнением. Во многом так вышло потому, что закон готовился на протяжении четырех лет, его подписали в 2016 году, и теперь он будет вступать в силу. И нет аудиторов, которые будут следить за соблюдением этого закона, непонятно, каким образом регулятор будет проверять это соответствие и как будут различные регуляторы действовать между собой.
Какие компании подпадают под условия GDPR
В принципе в мире — и в Европе в частности — очень мало организаций, могут показать полное соответствие требованиям GDPR. И российские компании не являются исключением. В Европе существует список так называемых «стран белой зоны», но это не означает, что страны, которые к ним не относятся, в том числе и Россия, — это страны третьего мира. Некоторые государства даже с очень высоким уровнем жизни в этот список не включены: например, Новая Зеландия в него попала, а Австралия — нет. Критериев очень много, и в основном они касаются технических и организационных мер, которые страна может продемонстрировать на примере работы большого числа организаций, а для оценки соответствия этим критериям существует целая комиссия. Сам процесс получения такого «сертификата» очень длительный, и занимает примерно 2-3 года.
Для транснациональных компаний, имеющих офисы в нескольких странах, существует также закон о внутриорганизационной передаче персональных данных через границы. Но это разрешение, Binding corporate rules, есть всего лишь у нескольких корпораций в мире, и их не так много. В первую очередь, это «Большая четверка» крупнейших компаний в мире, предоставляющие аудиторские и консалтинговые услуги — PricewaterhouseCoopers, Deloitte Touche Tohmatsu, Ernst & Young и KPMG, — а также MasterCard и несколько других. Это глобальные организации, которые имеют право на передачу данных между всеми официальными представительствами во всем мире и гарантируют соблюдение законодательств всех стран о передаче и хранении данных. Однако получение такого Binding corporate rules может обойтись компании в несколько миллионов долларов, по оценке ведущего консультанта по направлению Risk and compliance Центра компетенций IBM Security Europe Снежаны Дубровской.
Как этот закон касается российских компаний
Все компании, которые предоставляют какие-либо услуги или сервисы потенциально имеют в числе своих клиентов граждан Евросоюза, а значит отвечают за сбор и хранение их персональных данных.
Что понимается под персональными данными
Важно понимать, что именно подразумевается под «персональными данными». Ключевым моментом является то, насколько вы можете идентифицировать человека за этими персональными данными — это не только имя, фамилия или IP-адрес. Например, если вы введете запрос в поисковую строку Google «юрист в Лондоне», вы получите несколько тысяч ответов. Но если вы будете искать юриста в какой-нибудь деревне и у вас будет всего лишь один ответ, по которому вы сможете идентифицировать человека, то эта информация уже будет являться персональными данными. Это является ключевым моментом в терминологии GDPR.
Как понять, что компания не нарушает закона
Самый простой ответ на вопрос о том, на кого распространяется действие закона о передаче данных звучит так: если ваш клиент — резидент ЕС и в данный момент находится на территории ЕС, то ваша компания должна соблюдать условия GDPR, считает юрист Baker McKenzie Флориан Таннен. Сложности начинаются в том случае, если ваш клиент находится за пределами Еврсоюза. Например, вы — мобильный оператор, банк или сервис. Если ваш клиент находится на территории России и пользуется какими-то услугами, — например, расплачивается кредитной картой в ресторане — по всей вероятности, закон не будет распространяться на эти случаи. Однако, если резидент ЕС, находясь в ЕС, заходит на сайт российской авиакомпании, чтобы купить билеты, а у компании есть англоязычный вариант сайта, то в таком случае закон будет действовать, потому что сервис предполагает ориентированность на иностранного пользователя.
Другой пример, вы — компания, которая осуществляет мониторинг данных, или, например, у вас есть веб-сайт и вы хотите проанализировать, сколько тот или иной пользователь провел на вашем сайте. В данном случае, утверждает Таннен, крайне высокое значение будет иметь фактор языка. Если ваш сайт предоставляет контент только на русском языке, это означает, что вы не ориентированы на клиентов из еврозоны, однако, если контент представлен на двух или более языках, то очень велика вероятность того, что закон GDPR будет применим к вашему сайту. «Я говорю именно «очень велика», потому что язык является важным, но не единственным фактором действия закона», — объясняет Флориан Таннен.
В каких случаях компания может полноправно осуществлять сбор персональных данных
Закон не столько запрещает сбор данных, сколько регламентирует основные случаи, в которых такой сбор возможен. Разрешать сбор могут, например, условия договора, в которых прописаны необходимые условия. То есть, если гражданин Евросоюза подписывает договор, скажем, с оператором мобильной связи, в котором прописаны возможности и условия передачи данных иностранным компаниям в случаях использования роуминга, и который подразумевает обслуживания абонента локальной компанией на территории другой страны, то сам пользователь таким образом дает свое согласие на передачу информации. Но прописаны ли такие условия в контрактах компаний — неизвестно. По мнению Снежаны Дубровской это маловероятно, потому как GDPR — очень новое законодательство, и условия, прописанные в нем, ранее никем не учитывались.
Что делать, если компания оказывается в зоне действия GDPR
Различные регуляторы могут трактовать исполнение этого закона по-разному. «Например, если для телекоммуникационной компании подключение роуминга абоненту, являющемуся резидентом Евросоюза — это единичный случай, я бы просто не рекомендовала проходить процедуру признания соответствия закону GDPR, потому что это очень дорогой процесс», — советует Снежана Дубровская. По ее словам, новое законодательство очень похоже на закон FATCA — о налоговой отчетности по зарубежным счетам, который был принят США в 2010 году и был направлен против уклонения американских граждан и резидентов от уплаты налогов. «Некоторые европейские банки сказали: «У нас таких клиентов 10 и мы просто не будем с ними работать. Это обойдется нам дешевле, чем платить $1,5 млн и имплементировать FATCA». Но компаниям, у которых таких клиентов не 10, а 10 000 в день Дубровская рекомендует соответствовать основным параметрам GDPR.