25 мая 2018 г. в странах ЕС вступает в силу новый
регламент защиты персональных данных. Распространяться он будет не только на
европейские организации, но и на филиалы зарубежных компаний, работающих в
Европе. Непосредственно новые правила коснутся тех, кто работает с
персональными данными клиентов. Это банки, туристические компании, интернет-компании,
перевозчики и т.д. Готов ли российский бизнес к новым требованиям, и что нужно
для соответствия GDPR? Об
этом CNews поговорил с экспертами в области информационного
менеджмента и информационной безопасности.

Что такое GDPR

С официальной точки зрения, «Общее положение о защите данных Евросоюза» (Постановление 2016/679 или EU GDPR) – это масштабное
обновление правил Евросоюза по защите данных. Закон развивает и заменяет
предыдущую Директиву по защите данных (Директива 95/46/EC), которая действовала более 20 лет.

«Для Европы GDPR является первым шагом к созданию единого
цифрового рынка, – поясняет Александр
Черкавский, генеральный директор Центра информационного менеджмента. – Создание
доверенной цифровой среды за счет ужесточения требований к учету персональных
данных подготовит почву для применения более продвинутых технологий, таких,
например, как умные контракты. GDPR – это ответ Евросоюза на появление новых бизнес-моделей,
связанных с применением современных технологий. Большие данные, искусственный
интеллект, интернет вещей, распределенные информационные системы, например, на
основе блокчейна, требуют новой регуляторной базы со стороны государства. Если
данные – это новая нефть и основа цифровой экономики, то это положение должно
быть зафиксировано в законодательстве».

К нововведениям общего положения о защите данных ЕС (EU GDPR) относятся расширение
понятия персональных данных по сравнению с предыдущими нормами (Статья 4 (1)), увеличение
территориального охвата действия закона (статья 3 (2) (a) – (b)), изменение правил подсудности и серьезное увеличение верхней планки
штрафов (Глава 8 Статьи 77–84), ужесточившиеся требования к получению согласия на обработку данных
(Статья 4 (11), Статья 6 (1) (a), Статья 7), новые права субъектов данных (Глава 3 Статьи 12–23), необходимость в работе компании учитывать
принцип «Обеспечение приватности по умолчанию» (Статья 25), роль Директора по
защите данных (Статьи 37–39), уведомление контролирующего органа об инцидентах с данными (Статья
33), расширение обязательств по документированию операций с данными (Статья 30).

«По большому счету, речь идет о создании системы
менеджмента персональных данных, – поясняет Александр Черкавский. – Внедрение
какой-то одной информационной системы или ПО для псевдонимизации данных эту
задачу не решит. Требования носят комплексный характер и предполагают изменение
отношения к информации всех сотрудников компании. В создании процесса
обеспечения требований GDPR, который будет действовать в организации, должны
участвовать топ-менеджмент, юристы, кадровики, информационная безопасность, ИТ
и руководители бизнес-функций».

GDPR и 152-ФЗ

152-ФЗ является калькой с европейской директивы о защите данных, которую
призван заменить новый регламент. GDPR содержит ряд новых требований, актуальных для зарубежных компаний,
работающих с ЕС. А также отличается более мягкими формулировками, чем
российский закон о ПДн.

«Общие черты у ФЗ-152 и GDPR, разумеется, присутствуют, – рассказывает Алексей Андрияшин,
руководитель системных инженеров в компании Fortinet, – так как основной смысл этих
регламентов – защита персональных данных субъектов и уведомление граждан о тех
случаях, когда их данные могут быть обработаны, и самое важное – определение
требований к операторам персональных данных. Российский закон о защите персональных
данных также вынуждает иностранные компании выстраивать свои процессы таким
образом, чтобы удовлетворять отечественным требованиям и иметь возможность
вести бизнес на территории РФ – переносить базы данных на
серверы, расположенные в России».

«GDPR представляет собой обновленный набор требований
по обработке и защите ПДн европейцев, ориентированный на работу с «цифровыми
данными» (интернет, большие данные, интернет вещей и прочее), – поясняет Андрей Прозоров,
руководитель экспертного направления компании Solar Security. – GDPR
интересен простотой формулировок базовых принципов и прав субъектов ПДн
(например, «право на забвение», «право на перенос данных», «право знать об
утечках данных» и прочее), возможными большими штрафами (до 4% глобального
оборота), и широкой областью действия (под нее попадают не только организации,
территориально расположенные в ЕС). Да, GDPR можно (и нужно) сравнивать с 152-ФЗ, общие
положения у них схожие».

Именно детализация формулировок определяет одно из
ключевых отличий 152-ФЗ и GDPR. Европейский регламент задает только требования,
тогда как российский закон подробно регламентирует еще и способы соответствия
им.

«Если сравнивать GDPR с 152-ФЗ и соответствующими
поднормативными актами, то у GDPR меньший уровень детализации того, как именно
необходимо обеспечивать безопасность персональных данных, – поясняет Евгений Дружинин,
ведущий эксперт направления информационной безопасности КРОК. – GDPR задает определенную планку по защите персональных данных, но не
отвечает точно на вопрос как ее преодолеть, в отличие от 152-ФЗ, который
достаточно детально определяет конкретные шаги по реализации мер и механизмов
защиты. При этом цели GDPR и 152-ФЗ, в общем-то, совпадают».

Эксперты расходятся во мнении, что компании,
выполняющие требования 152-ФЗ, не будут иметь серьезных проблем с соблюдением
европейского регламента в силу схожести законов. Надо учитывать, что 152-ФЗ
соответствует старому закону ЕС о защите данных, в то время как новый закон
потребует от компаний определенных действий по обеспечению комплаенса.

Требования GDPR и как им соответствовать

Ключевое требование GDPR заключается в том, что «оператор должен
обеспечить и несет ответственность за соответствие принципам» данного закона. Это
означает, что речь идет не об информационной безопасности или информационных
технологиях, а о новом типе учета в организациях – об учете информации.

«Необходимо создать
систему менеджмента персональных данных, которая будет включать в себя процессы
ведения записей об обработке данных, процедуры уведомления и взаимодействия с
субъектами данных, измененную модель данных, которая позволит отслеживать
жизненный цикл персональных данных в компании, новые функции сотрудников, – разъясняет Александр Черкавский. – Помимо защиты права резидентов ЕС на
приватность, присутствует и негласная цель – повысить зрелость процессов по управлению информацией во
всех европейских компаниях. Центр информационного менеджмента создавался в 2016
году для реализации этой же цели в России».

Кто чем рискует

Несоблюдение
требований GDPR грозит штрафами
до €20 млн или 4% от мирового оборота компании за прошлый финансовый год, в
зависимости от того, какая сумма больше. Также контролирующий орган может
наложить запрет на обработку персональных данных, что является более тонким
инструментом воздействия, чем блокировка счета. Для интернет-сервисов
приостановление обработки персональных данных будет означать приостановление
бизнеса.

Александр Черкавский приводит несколько примеров: «В Канаде в 2015
году после принятия Закона о цифровой приватности государство сразу же
оштрафовало ряд компаний на суммы от 200 000 до 3 000 000 канадских долларов,
чтобы показать, как работает сдерживание и принуждение к выполнению требований.
В Европе события будут развиваться аналогичным образом. Так 16 февраля 2018
года Брюссельский суд первой инстанции постановил, что Facebook должен прекратить отслеживание деятельности
бельгийских граждан в интернете и удалить незаконно собранные данные. В
противном случае Facebook должен будет
заплатить штраф в 250 000 евро за каждый день просрочки, но не более 100 000
000 евро».

Указанные санкции
могут быть наложены на компании, которые допустили инцидент с данными. Под
таким инцидентом могут подразумеваться не только хакерские атаки, но также
жалобы граждан на нарушения их прав.

В зоне риска
находятся все российские компании, которые ведут деятельность в Европе,
предлагают товары или услуги резидентам ЕС или отслеживают их поведение,
собирая данные в интернете. То есть это все экспортеры, поставщики
интернет-сервисов и обработчики данных, относящихся к резидентам ЕС.

«Под действия закона GDPR в России попадают автоматически все компании,
обрабатывающие персональные данные европейских граждан. Это такие организации
как гостиницы, авиакомпании, сервисы по продажам билетов и так далее, – дополняет Алексей Андрияшин. – Скорее
всего, данные требования отразятся на развитии облачных и интернет-сервисов,
каким-то образом будут физически разделяться области хранения данных
соотечественников и европейцев. Отечественным компаниям, ориентированным на
западный рынок, придется выполнять требования как отечественных, так и западных
регуляторов, чтобы иметь возможность предоставлять свои услуги иностранцам».

По мнению юридической фирмы Baker McKenzie, под
действие нового регламента автоматически попадают также российские банки и сотовые
операторы. Первые – так как выпускают карты, которыми можно пользоваться в
Европе, а вторые – так как их абоненты пользуются услугами роуминга на
территории ЕС.

Европа готовится

Информационная волна, связанная с подготовкой к GDPR, в Европе началась еще в 2017 г. И с каждым месяцем она усиливается. Руководители
компаний понимают целесообразность инвестиций в подготовку, поскольку они будут
все равно меньше, чем возможные штрафы.

Партнер Центра информационного менеджмента, Международная ассоциация
AIIM за год до
вступления закона в силу провела исследование о готовности европейских и
американских компаний. Результаты приведены на диаграммах.

Оценка компаниями готовности к соответствию требованиям GDPR, по шкале от 1 до
5

 

Источник: Международная ассоциация AIIM

Оценка компаниями собственной осведомленности о влиянии GDPR на бизнес

Источник: Международная ассоциация AIIM

Задача соответствия требованиям законодательства не
является новой для Европейских компаний. Новой является задача по обязательному
внедрению регулирования информации.

Пока
гром не грянет

По мнению Александра Черкавского, в России сложилась
интересная ситуация – большинство крупных российских экспортеров в ЕС не обратили внимание на
закон, который ужесточает условия ведения бизнеса всех компаний в ЕС.

Экспорт в страны Европы составляет порядка 45% от всего
экспорта России. По данным Таможенной Службы, в 2016 г. экспорт в Европу
составил $128,5 млрд. Готовы ли мы рискнуть своим экспортом на фоне
санкций, игнорируя требования GDPR?

«Российские
компании исторически фокусировались на финансовом учете, поясняет Александр. – Концепция регулирования информации (information governance), которая
подразумевает учет информации как актива, только начала набирать популярность в
России, в том числе благодаря Центру информационного менеджмента. Если
европейские представительства российских компаний не предпринимали никаких мер
по своей инициативе – то готовность к соблюдению требований GDPR у них нулевая».

Но есть и другое мнение. «Важность соблюдения
регламента GDPR серьезно
воспринимается в России, о чем свидетельствует большой рост и популярность
услуг консалтинга в данной сфере», – говорит Алексей
Андрияшин, руководитель системных инженеров в компании Fortinet.

Российские компании комментируют свое отношение к GDPR весьма неохотно. В
Альфа-банке сообщили, что в текущий момент проводится анализ применимости требований
GDPR к банку. «В частности,
изучаем вопрос необходимости соблюдения требований регламента организациями,
осуществляющими свою деятельность за пределами ЕС, а также совместимости
регламента с применимым правом о защите персональных данных в РФ», – сообщила пресс-служба
компании.

Теоретически, попадает под требования нового
регламента и деятельность европейских офисов «Аэрофлот». Но пока каких-то
активных действий для обеспечения соответствия требованиям, компания не
предпринимает. «Аэрофлот в курсе изменений европейского законодательства о
персональных данных, – сообщили в компании. – В настоящее время осуществляется тщательный анализ всех процессов в компании,
затрагивающих обработку персональных данных пассажиров. По итогам анализа будут
сделаны выводы о соответствии этих процессов требованиям регламента GDPR и необходимости
внесения каких-либо корректив для работы в странах ЕС».

Как подготовиться к GDPR

Цели GDPR и 152-ФЗ
Цель GDPR (Статья 1 (1) (2)): 
Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных. Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных. 

Цель 152 ФЗ (Статья 2):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Кажущаяся общность целей GDPR и 152-ФЗ позволяет предположить, что
компаниям, соблюдающим нормы российского законодательства, будет довольно
просто соответствовать новым европейским нормам.

Но требования
законов совпадают лишь частично, поэтому провести хотя бы минимальный аудит
процессов, связанных с обработкой данных, компаниям все же придется. И в
случае, если несоответствие будет выявлено, скорее всего, потребуется
перестройка этих процессов.

GDPR вступает в силу 25
мая 2018 г., и времени на подготовку остается совсем немного. Даже если
отнестись к выполнению требований GDPR формально, все равно потребуется обследовать данные и процессы компании и
определить информационные риски.

«Для тех компаний, которые уже решали вопросы
обеспечения защиты персональных данных в соответствии с российским
законодательством больших проблем быть не должно: эти компании уже понимают,
где и как обрабатываются персональные данные, – полагает Евгений
Дружинин. – Кроме того, для их защиты уже реализованы
определенные технические и организационные меры защиты. Необходимо только
акцентировать внимание на специфических требованиях GDPR, касающихся, например, необходимости оповещать
регулирующие органы о нарушениях, связанных с персональными данными в течение
72 часов после обнаружения такого нарушения, а также необходимости хранения
соответствующей «сырой» информации».

Масштабным компаниям придется автоматически
находить и выгружать все документы и записи с конкретными персональными данными
конкретного физического лица из всех информационных систем и бумажных архивов. Это
необходимо для исполнения прав на доступ (Статья 15), на забвение (Статья 17) и
на перенос данных (Статья 20) в соответствии с требованиями GDPR.

Также в GDPR к персональным данным относят
онлайн-идентификаторы, вроде cookies или IP-адресов, чего нет в российском
законодательстве. Это означает, что компании придется пересмотреть процессы,
связанные с применением цифровых технологий.

Андрей Прозоров рекомендует проанализировать процессы
обработки ПДн, особенно сбор данных в сети Интернет, и понять, попадает ли
компания под требования GDPR по территориальному признаку, принципу
принадлежности или по составу обрабатываемых ПДн. Затем придется проверить (и
при необходимости поправить) выполнение базовых требований GDPR: это и четкое
формулирование целей обработки, и сокращение количества собираемых данных, и
наличие уведомлений об обработке, и назначение ответственного за обработку, и
выстроенные процессы по реагированию на запросы субъектов ПДн, и многое другое.

Что делать в случае инцидента?

Согласно новому регламенту, в случае инцидента
компания должна уведомить контролирующий орган в течение 72 часов, предоставив
отчет о рисках для физических лиц и о предпринятых мерах по снижению этих
рисков. А также проинформировать субъектов данных, чьи интересы и безопасность
могут быть затронуты.

Практика показывает, что скрывать информацию об
инцидентах не получается. Александр Черкавский приводит в пример историю с Yahoo,
которая была вынуждена в 2017 г. раскрыть информацию об инцидентах с данными в
2013 и 2014 гг. перед слиянием с компанией Verizon. В результате Verizon
купил Yahoo на $350 млн дешевле.

Наложение административных штрафов во многом будет
зависеть от контролирующего органа в каждом отдельном государстве Евросоюза.
Хорошая новость заключается в том, что с ними можно судиться. Другой вопрос,
что обязанность доказывать соответствие лежит на компании-операторе или
обработчике. И без серьезной предварительной подготовки оспорить нарушения
будет сложно.

Источник