Требования ЕС о защите данных коснутся банков и операторов связи России
Все банки, выпускающие карты, которыми можно пользоваться на территории Евросоюза, формально подпадают под требования Общего регламента о защите данных (General Data Protection Regulation; GDPR), который вступает в силу в ЕС 25 мая. Об этом заявил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен на прошедшем в Москве мероприятии «GDPR в России: 100 дней до вступления в силу». «Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки», — сообщил он.
В аналогичном положении окажутся и сотовые операторы, абоненты которых пользуются услугами, находясь в роуминге на территории ЕС, сказал также Таннен. По его словам, объяснение этому можно найти в ст. 3 (2) GDPR о территориальной применимости регламента, согласно которому документ применим к компаниям, которые предлагают товары и услуги любому лицу на территории ЕС или осуществляют мониторинг его действий в странах Евросоюза.
Эмитирование карт международных платежных систем и предоставление услуг роуминга действительно могут привести компании к необходимости выполнять требования регламента ЕС, подтверждает эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков. «Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.», — поясняет он.
Что такое GDPR
GDPR был принят Европейским союзом в апреле 2016 года. Цель нового регламента — повысить уровень защищенности персональных данных граждан внутри стран Евросоюза. Принцип действия у нового регламента экстерриториальный, а значит, ему должны будут подчиниться компании не только из ЕС. Под действие регламента подпадут компании из разных индустрий, которые используют персональные данные физического лица, находящегося на территории Евросоюза. Они должны будут хранить данные в обезличенном и зашифрованном виде, обеспечить должный уровень их защиты от утечек, не передавать данные третьим лицам и информировать граждан и регулирующие органы о любой утечке информации в течение 72 часов.
Гражданам должны предоставлять информацию о правилах обработки их данных в понятном и доступном виде, брать у них согласие на обработку данных в виде «четкого утвердительного акта в письменной или устной форме», а также предоставлять им возможность отказаться от передачи данных без ущерба для совершения действий. Несоблюдение GDPR ведет к административным штрафам для компаний в размере до €20 млн (1,39 млрд руб. по текущему курсу), или 4% годового оборота.
Порядок действий
Меры, которые должны принять российские компании для соответствия GDPR, зависят от сферы деятельности, организации бизнес-процессов, архитектуры ИT-систем и целого ряда других подобных характеристик, говорит Дмитрий Бирюков. По его словам, компаниям необходимо провести аудит, по результатам которого им, вероятно, может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам «права на забвение» и переносимость данных. «Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании», — добавляет эксперт.
Подготовку к исполнению GDPR компаниям стоит начать с оценки конфиденциальности и рисков, а также выявления и создания карты персональных данных, говорится в рекомендациях компании IBM по обеспечению готовности к GDPR. Затем стоит разработать стандарты управления и обработки, а также стандарты конфиденциальности и управления безопасностью. При этом сотрудников следует обучить принципам GDPR. В конечном итоге компаниям необходимо вести постоянный мониторинг, оценку, аудит, регистрацию и контроль соблюдения стандартов GDPR, говорится в материалах IBM.
В связи с грядущим вступлением в силу GDPR большой спрос получают услуги по аудиту процессов обработки данных и по внедрению системы их защиты, рассказала РБК старший юрист компании «Алруд» Марина Юфа. Она отмечает, что компании, подпадающие под действие европейского регламента, параллельно оценивают свои процессы по обработке данных и с точки зрения российского законодательства. Закон «О персональных данных», который регулирует деятельность по их обработке, действует в России с 2006 года.
На практике
Представители Тинькофф Банка, Россельхозбанка, банков «Русский стандарт», «Санкт-Петербург», «Открытие», Газпромбанка, «Уралсиба», Абсолют Банка не ответили на запросы РБК. Представитель пресс-службы входящего в топ-35 Почта Банка сообщил, что они ознакомились с новыми стандартами и правилами GDPR и сейчас анализируют их. В банке отметили, что большая часть его клиентов практически не совершают зарубежные поездки и, соответственно, не пользуются картами банка для оплаты услуг в европейских странах. «Почта Банк целенаправленно не привлекает клиентов из стран Западной Европы, — добавил представитель пресс-службы. — Персональные данные иностранцев, как и данные всех остальных клиентов, защищены в соответствии с российскими законами».
Ранее представители Сбербанка, ВТБ и Альфа-банка говорили РБК, что анализируют положения GDPR и готовятся к его вступлению в силу. Сбербанк еще в конце 2017 года объявил закупку услуг по аудиту собственных практик обработки персональных данных и получению рекомендаций о том, каким образом привести их в соответствие с новыми требованиями. На эти цели банк готов был потратить 67,4 млн руб.
Опрошенные РБК операторы связи детали подготовки к вступлению в силу GDPR не раскрывают. Пресс-секретарь «ВымпелКома» (бренд «Билайн») Анна Айбашева сообщила, что компания «изучает потенциальное воздействие положений документа на бизнес». «Мы исполняем требования применимого законодательства, в том числе по защите персональных данных», — заявили в пресс-службе «МегаФона». Представитель МТС не ответил на запрос РБК.
Юрист практики по интеллектуальной собственности московского офиса Baker McKenzie Вадим Перевалов отметил: то, как будет работать GDPR на практике, пока неясно, так как слишком много компаний формально подпадают под его требования. «Строго формально, если вы мониторите покупки и транзакции по карте на территории ЕС, то GDPR должен распространяться на вас согласно букве закона. Как это будет интерпретировано на практике, неясно. Понятно, что слишком много компаний потенциально подходят под эти требования. Будет интересно посмотреть, какие потом дадут разъяснения и рекомендации», — говорит Вадим Перевалов.
По данным статистики погранслужбы ФСБ, в 2017 году страны ЕС с целью туризма посетили 5,7 млн российских граждан — на 15,8% больше, чем в предыдущем году. При этом нет данных о том, сколько из них, находясь в поездке, оплачивали товары банковскими картами и пользовались услугами сотовой связи.