25 мая в Евросоюзе вступил в силу Общий регламент о защите данных (GDPR), обязывающий компании, которые используют персональные данные лиц, находящихся на территории ЕС, хранить эти данные в обезличенном и зашифрованном виде, обеспечивать их защиту от утечек, не передавать третьим лицам и информировать граждан и органы власти о любой утечке информации в течение 72 часов с момента ее обнаружения.
Как пишет газета "Коммерсант", действие GDPR распространяется на тысячи российских компаний и пользователей: речь идет о тех, кто оказывает услуги европейским потребителям или сам пользуется европейскими сервисами. За последние недели убедиться в этом могли многие пользователи, получившие электронные письма с сообщениями об изменении политики конфиденциальности от десятков российских и зарубежных компаний, которые приводили свою деятельность в соответствие с требованиями GDPR.
Согласно новым правилам ЕС, компании, чья деятельность попадает под требования GDPR, должны предоставлять клиентам понятную информацию о правилах обработки их данных, брать согласие на обработку данных, а также предоставлять возможность отказаться от передачи данных без ущерба для совершения действий. Нарушителям требований GDPR грозит штраф в размере до 20 млн евро или 4% годового оборота.
По словам руководителя практики "M&A и трансграничные сделки" O2 Consulting Карена Шахназарова, суть GDPR сводится к тому, что компании должны иметь законные основания для сбора, обработки и хранения персональных данных; они должны проинформировать клиентов об основаниях для обработки его данных и о периоде, в течение которого они собираются их хранить; у субъекта персональных данных должна быть возможность отозвать свое согласие или потребовать вовсе удалить его данные.
Если российская компания получает доступ к данным о гражданах ЕС или иных лицах, находящихся на территории Евросоюза (независимо от их гражданства), регламент может коснуться ее напрямую. Для этого может быть достаточно просто наличия сайта на одном из европейских языков или возможности доставки товара в ЕС, пояснил Шахназаров.
Представители опрошенных журналистами "Коммерсанта" компаний разошлись в оценках последствий вступления GDPR в силу. Так, по мнению зампреда правления одного из крупных банков, действие регламента распространяется на организации за пределами ЕС, чья деятельность по обработке персональных данных связана с предложением товаров и услуг субъектам данных в ЕС или с мониторингом их поведения на территории ЕС.
"Поэтому мы не готовимся никак. И почти уверен, что и другие банки, не имеющие дочерних структур в Европе, тоже", - сказал собеседник издания.
В то же время дочерние структуры иностранных компаний и российские компании, имеющие представительства за рубежом, приняли во внимание требования GDPR. "Все требования были тщательно изучены и имплементированы в системы нашего банка", – сообщил представитель "ОТП-банка", который входит в международную финансовую группу ОТП.
О готовности к вступлению регламента в силу также сообщили в РЖД и "Сбербанке". "В настоящее время "Сбербанк" внедряет единый процесс обработки и защиты персональных данных, соответствующий как российскому, так и новому европейскому законодательству. Мы провели целый комплекс мер, включая назначение Data Protection Officer, проведение аудита, внесение изменений во внутренние нормативные документы и процессы, проведение тренингов для сотрудников", - отметили в "Сбербанке".