ad826f8c800228c1aef144e6edf04c30.jpgПовлияет ли General Data Protection Regulation на бизнес в Российской Федерации?


В Европейском Союзе с 25 мая 2018-го вступит в силу GDPR — Общий регламент о защите данных. Соблюдать требования документа должны будут компании, которые занимаются обработкой личной информации граждан ЕС в любой из 28 стран ЕС и за его пределами. Этот регламент станет заменой существующим законам о защите персональных данных в странах Евросоюза. Российские компании, находящиеся в пределах Союза, тоже подпадают под требования документа, поскольку правила GDPR будут применяться экстерриториально, и уже сейчас им следует осуществлять процесс обработки данных согласно новым правилам. Объем работ зависит от бизнес-процессов компании и может оказаться довольно существенным.

О требованиях GDPR и последствиях их несоблюдения

Новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:

Новый закон включает в себя такие обязанности:

  • учет правил защиты персональной информации на этапе планирования;
  • документальное оформление процессов обработки;
  • оценку рисков, которые могут затронуть  неприкосновенность частной жизни;
  • отправку уведомлений об инцидентах, которые коснулись обеспечения безопасности личных данных, в компетентные надзорные органы.

В случае несоблюдения правил надзорный орган в области защиты персональных данных может наложить штраф в сумме до 20 000 000 EUR или до 4% от годового оборота предприятия.

Что делать российским компаниям

Порядок действий для российских компаний зависит от области деятельности, ее организации, архитектуры IT-систем и других нюансов. Возможно, компания должна будет обновить политику и получить разрешение на передачу данных, внедрить новые принципы их защиты, и провести аудит. Может также потребоваться внедрение процедур управления инцидентов, связанных с защитой данных, учитывая установленные Евросоюзом сроки подачи отчетности в компетентные органы.

Для начала, следует оценить уровень конфиденциальности и проанализировать риски, а также выявить и создать карту персональных данных, чтобы быть готовым к вступлению в силу новых требований GDPR. Далее необходимо стандартизировать управление и обработку, а также разработать стандарты конфиденциальности и управления безопасностью. Принципы GDPR должен знать и штат компании. Соблюдение правил должно контролироваться постоянно.

Также компаниям, деятельность которых подпадает под действие регламента, следует провести оценку своих процессов и на предмет соответствия российскому Закону «О персональных данных», действующему с 2006 года.

GDPR и «Закон Яровой»

Вступившие в силу в 2016 году два законопроекта, которые направлены на защиту данных российских граждан от терроризма, требуют, чтобы российские операторы сетей связи (операторы сотовой связи и интернет-провайдеры) фиксировали и сохраняли записи сообщений между всеми пользователями в течение как минимум шести месяцев и предоставляли эти данные властям по их просьбе. Также эти положения расширяют полномочия российских сотрудников правоохранительных органов в отношении мониторинга данных.

Поскольку в «Законе Яровой» не предусматриваются исключения для данных, касающихся иностранных граждан, личная информация граждан ЕС, посещающих Россию или проживающих в России, может стать частью сохраненных сообщений, будет храниться в России и предоставляться российским властям без согласия соответствующих субъектов данных. Такое использование и раскрытие информации противоречит положениям новых правил GDPR, так как они предусматривают усиленную защиту граждан ЕС в отношении обработки персональных данных и свободного перемещения этих данных за пределы ЕС в третьи страны, включая Россию, в которых адекватные меры защиты этих данных отсутствуют.