Статья

Кого в России коснется европейский регламент по защите данных?

Безопасность
мобильная версия
, Текст: Артур Галеев

Европейский регламент по защите данных вступит в силу уже в мае 2018 г. Чтобы попасть под его действие, российским компаниям достаточно будет иметь хотя бы оного клиента с паспортом государства, входящего в ЕС. Какие сложности новый закон принесет отечественным предприятиям?

Требования по защите данных ужесточились

Продолжающаяся цифровизация бизнеса, открыв много новых возможностей, породила определенные проблемы. Одной из них стало недоверие пользователей, которые не хотят предоставлять свои персональные данные, не считая себя достаточно защищенными в случае их утечки. Этот вопрос куда серьезнее, чем о нем принято думать. Глобальный опрос KPMG International показал, что 55% потребителей отказывались от покупок из-за проблем с конфиденциальностью. При этом менее 10% считают, что они контролируют процесс обработки, хранения и последующего использования своих персональных данных.

В Евросоюзе существовала директива 95/46/EC, которая возросшим потребностям людей и бизнеса уже не отвечала. Два года назад был ратифицирован GDPR («General Data Protection Regulation» — «Общий регламент по защите данных»), который ввел новые условия игры по защите данных. Предложенные критерии оказались более суровыми, как и штрафы за их несоблюдение.

Российские компании потратятся на модернизацию

Документ вступит в силу 25 мая 2018 г., и, что важно для России, будет применяться к любой компании или организации, которая собирает персональные данные граждан Евросоюза, вне зависимости от местонахождения штаб-квартиры. Европейцам важно понимать, что собираться будет минимально необходимое количество сведений о них, а после того, как данные перестанут быть нужными — их удалят.

GDPR вводит понятия сборщика данных и их обработчика. Первые, понятно, собирают информацию и определяют политику работы с ними, вторые — занимаются непосредственно обработкой с согласия сборщиков, и могут быть сторонней организацией. Список требований и обязательств для обеих категорий серьезно пересмотрены, а нарушения обернутся солидными штрафами — или €20 млн, или 4% от мирового оборота компании, в зависимости от того, что больше.

Нарушения нового европейского регламента по защите данных могут стоить сборщикам и обработчикам данных граждан Евросоюза штрафов в размере 20 млн евро или 4% мирового оборота компании

Новые правила потребуют серьезного пересмотра рабочих и бизнес-процессов, организационных структур, отношения к информационной безопасности и способам защиты данных. Основа для нововведений, конечно, забота о правах человека. Потребители получат невиданные ранее привилегии.

К четкому информированию о том, зачем нужны данные и как они будут использоваться, добавлена опция отзыва согласия на предоставление информации в любой момент. Все собранные сведения будут доступны для просмотра, их можно будет уточнять и дополнять в случае обнаружения неточностей, и даже удалять. На техническом уровне это означает необходимость проведения компаниями детального аудита, который позволит понимать, где и как используются и хранятся персональные данные и их копии. На практике это потребует коренного пересмотра принципов сбора, хранения и обработки сведений. Придется забыть о неструктурированном подходе к хранению, ведь в любой момент любой из клиентов может попросить или предоставить данные, или вовсе удалить их — и это нужно будет сделать, не прерывая бизнес-процессы. Впрочем, многим структурам это в конечном итоге упростит жизнь за счет упрощения операций и отказа от хранения ненужных данных.

Другое дело, что риски, связанные с ростом активности киберпреступников и террористов, потребуют четкого соблюдения правил управления данными, их хранения, а также постоянной оценки существующих рисков. Это ставит под сомнение будущее систем, которые используются постфактум: безопасность должна быть обеспечена здесь и сейчас, а как раз с этим сейчас большие проблемы. Нынешние технологии обеспечения, в первую очередь, сетевой безопасности, как первого уровня защиты, придется перерабатывать. Модернизация потребует еще и серьезных финансовых вливаний, и коснется это и российских компаний, работающих на рынке ЕС.

GDPR вводит серьезные правила по уведомлению компетентных органов о любых случаях нарушений безопасности персональных данных. В случае, если риск утечки оценивается как высокий, такое уведомление должно быть подано без малейшего промедления, в документе фигурирует также срок в 72 часа. Это «катастрофически» высокая скорость при том, что в 2016 г. на обнаружение утечки компании тратили до пяти месяцев. Правда, тут есть определенная лазейка: 72 часа обозначены в качестве срока с момента обнаружения, а не атаки, но заданные горизонты оперативности понятны.

Самый ощутимый удар — по корпорациям

Российские компании соответствовать установленным требованиям обязаны в том случае, если они являются дочерними по отношениям к организациям из ЕС, если они работают с европейскими гражданами или если даже просто оказывают сервисные услуги предприятиям, которые, в свою очередь, собирают персональные данные в Европе. Эксперты отмечают, что речь, в первую очередь, может идти о финансовых компаниях, энергетических и нефтегазовых гигантах, предприятиях, работающих в сфере медиа- и телеком-услуг, фармацевтических или транспортных организациях, а также интернет-магазинах, туроператорах и, конечно, социальных сетях. При этом, чтобы попасть под действие GDPR, достаточно иметь в своей клиентской базе хотя бы одного гражданина ЕС!

Строгость GDPR еще и в том, что, помимо стандартных персональных данных, вводится категория «чувствительных» — это огромный массив сведений от этнической и расовой принадлежности до философских взглядов. А это серьезно расширяет то понимание личных данных, которое принято в России и в российском законодательстве. Усложняют ситуацию правовые и юридические расхождения в определениях.

Проблема трактовки GDPR для российских компаний актуальна, но актуальна она и для самих европейцев. Документ не содержит указаний на какие-либо решения или конкретные технические параметры. Основными элементами указываются шифрование данных, пересмотр инфраструктуры с целью обеспечения максимальной безопасности, целостности и доступности сведений.

Даже для американского рынка проблема соответствия новым правилам оказалась задачей невероятно сложной. Согласно летнему опросу PwC, только 6% предприятий в США, работающих с Европой, завершили приведение своей инфраструктуры в соответствие с GDPR, 71% занимался этим, а 23% даже не начинали. Подавляющее большинство опрошенных (77%) уточнили, что затраты на эту работу превышают $1 млн. Российские предприятия аналогичными сведениями пока не делятся.