Архив номеров

Европейское законодательство о защите данных и его влияние на российский бизнес

25 мая 2018 г. вступил в силу Генеральный регламент Евросоюза о защите данных (General Data Protection Regulation, GDPR), с самого начала вызвавший бурные и противоречивые толкования у представителей российского бизнеса, которые ведут деятельность в Европе или оказывают услуги резидентам ЕС. Юристы и специалисты по защите информации обсуждают огромные штрафы, грозящие за неисполнение требований GDPR, однако многие организации до сих пор не до конца понимают, распространяется ли на них действие европейского регламента, и если да, то как оптимизировать затраты на приведение в соответствие процессов и процедур.

Регулирование GDPR как области на стыке информационной безопасности, юриспруденции и комплаенса — достаточно сложная тема. Пока не накоплена критическая масса правоприменительной практики, даже внутри международных компаний зачастую нет единого мнения, как решать те или иные вопросы касательно GDPR.

Единая Европа: единство и различия законов

Известно также, что и у национальных регуляторов в разных европейских странах понимание GDPR немного разнится. Поэтому, если у некой компании из России есть представительства в разных странах Европейского союза, ей нужно сразу отбросить иллюзию, что можно выработать единый подход, который будет одинаково хорошо действовать во всех точках присутствия.
Генеральный регламент Евросоюза о защите данных не является комплексным нормативным правовым актом, отвечающим на все вопросы в сфере обработки персональных данных. Как минимум трудовое право в разных странах регулируется по-разному. Следовательно, в отношении прав и обязанностей по обработке персональных данных работников тоже существует разный контекст, который следует изучать отдельно в каждом государстве.
Локальный надзор по выполнению требований GDPR осуществляется национальными органами по защите данных стран — участниц Евросоюза, а общий надзор — Европейским советом по защите данных. Дела, связанные с нарушениями GDPR, рассматриваются непосредственно национальными судами государств — членов ЕС. Кроме того, есть общеевропейский судебный орган (Суд Европейского союза — European Court of Justice), который будет разбирать дела в надзорном порядке.
GDPR «присягнули» не только страны ЕС, но и государства, входящие в Европейскую экономическую зону, но не являющиеся членами Евросоюза: Норвегия, Лихтенштейн и Исландия, которые уже имплементировали требования GDPR в свое национальное законодательство. Несмотря на Brexit, Великобритания в 2017 г. приняла Data Protection Bill, который призван включить требования GDPR в британское законодательство. Британцы стараются сохранить единство правового поля GDPR, поскольку понимают, что различия в правовом регулировании защиты данных моментально ударят по британскому бизнесу.

Защита данных = защита бизнеса

Откуда возникла идея, что европейское законодательство о защите данных нуждается в коренном реформировании? Причина в том, что европейские власти хорошо понимают: информация — это «нефть XXI века». Они задались целью посредством нормативного регулирования повысить уровень конкурентоспособности своего бизнеса. А основные конкуренты европейских компаний находятся в США.
Европейцы беспокоятся, что пройдет некоторое время — и на местном рынке не останется компаний, которые хотя бы в теории смогут конкурировать с американскими цифровыми гигантами, такими как Google, Facebook, Twitter, Amazon и т.д. Поэтому власти создают определенные ограничения для тех компаний, которые имеют доступ к обработке информации извне, и условия, призванные стимулировать европейский бизнес. В конечном счете они стремятся создать европейские компании-чемпионы, которые будут иметь глобальный статус.

Глоссарий

Комплаенс
(англ. compliance — согласие, соответствие)
Соответствие деятельности любой организации комплексу сводов и правил, которые предусмотрены регуляторами соответствующей отрасли экономики; а также соблюдение коммерческими компаниями действующих на территории страны законов и стандартов, направленных на предупреждение коррупции.

Опубликованные в конце июля квартальные отчеты Facebook и Twitter подтверждают эту гипотезу. Крупнейшие соцсети, имеющие штаб-квартиры в Силиконовой долине, сообщили об уменьшении количества пользователей и снижении темпов финансовой прибыли, что незамедлительно ударило по их биржевым котировкам. Facebook и Twitter потеряли 19 и 17% стоимости соответственно. Одной из причин замедления бизнеса названо ужесточение европейского законодательства о защите персональных данных.
Европейская стратегия является комплексной. Она затрагивает вопросы защиты информации, критически значимых систем, телекоммуникационного права, интеллектуальной собственности.
В России сейчас много говорят о развитии цифровой экономики. Так вот, GDPR можно считать даже более значимой и продвинутой версией программы цифровой экономики в масштабе всего Европейского союза. Поэтому GDPR не стоит расценивать как очередную инициативу европейской бюрократии. Это данность, которая уже никуда не денется и к которой необходимо адаптировать свой бизнес.
На какие документы, являющиеся элементами данной комплексной стратегии по защите интересов европейского бизнеса, стоит обратить внимание российским организациям?

  1. Решение Европейской комиссии от 5 февраля 2010 г. о стандартных договорных условиях, которое действует до сих пор. Это один из документов, регулирующих трансграничную передачу персональных данных из Евросоюза в иные государства. Описанные в нем условия являются неким «золотым правилом», на них ориентируются все компании при составлении обязывающих документов по трансграничной передаче персональных данных.
  2. Директива № 680 от 27 апреля 2016 г., касающаяся обработки персональных данных для целей предотвращения расследования и пресечения уголовных преступлений. Она регулирует в первую очередь работу по передаче персональных данных между правоохранительными органами в рамках их совместных мероприятий. Раньше, несмотря на существование Европола, правоохранители отдельных стран не всегда могли взаимодействовать в полную меру в силу внутренних нормативно-правовых ограничений. Принятый документ во многом гармонизирует национальные законодательства.
  3. Директива № 943 от 8 июня 2016 г. Отчасти она является аналогом российского законодательства о коммерческой тайне. Все законы, касающиеся защиты данных, между собой гармонизированы, поэтому, если вы взаимодействуете с европейскими коллегами по вопросам передачи персональных данных, вам нужно ознакомиться и с новыми требованиями по защите коммерческой тайны. Очень часто эти вопросы взаимосвязаны и дополняют друг друга.
  4. Директива № 1148, принятая 6 июля 2016 г. Ее также можно рассматривать как некий аналог российского законодательства о безопасности критичной информационной инфраструктуры, который действует в рамках всего Евросоюза. Эта директива дает понимание того, что корпоративные информационные системы уже сейчас являются глобальными, т.е. мы не можем безболезненно отделить информационную инфраструктуру компании в одной стране от ее инфраструктуры в другой стране.

Самый интересный документ, по поводу которого у некоторых компаний, особенно американских, возникла серьезная озабоченность, — это проект регламента под названием ePrivacy Regulation, ePR (Regulation on Privacy and Electronic Communications). Если GDPR можно назвать «добрым полицейским», то ePR — его «злой двойник», ставящий под угрозу бизнес многих компаний, активно работающих в интернете. Этот документ жестко регламентирует вопросы, касающиеся дистанционного взаимодействия с клиентами и партнерами с использованием телекоммуникационных технологий. Его пытались принять ко времени вступления в силу GDPR, но не успели по ряду причин.
Первоначальный подход к созданию этого документа привел к серьезному перекосу в пользу прав субъектов персональных данных. Компании, которые должны подпадать под его действие, оказываются обвешанными различными обязательствами, ограничениями и требованиями, причем у них мало шансов доказать свою добросовестность даже через судебные процедуры.
Авторы Генерального регламента о защите данных считают, что GDPR поможет бизнесу сэкономить огромное количество денег. К такому выводу они пришли исходя из того, что GDPR отменяет механизм обязательного уведомления надзорных органов о факте обработки персональных данных. Как подсчитали в Еврокомиссии, компании сэкономят на этом 300 млн евро, на что можно лишь иронично усмехнуться, так как взамен на ровном месте появился огромный рынок по комплаенсу в сфере GDPR объемом в десятки миллиардов евро. По состоянию на начало 2018 г. в Европе возник дефицит порядка 80–90 тыс. специалистов Data Protection Officer. Поэтому, говоря о снижении издержек для бизнеса, Европейская комиссия сильно лукавит.

Не так много различий, как может показаться

Принятие GDPR не создаст каких-либо неразрешимых проблем для российского бизнеса, поскольку принципы регулирования вопросов, связанных с обработкой персональных данных, в национальном и европейском законодательстве стали еще ближе. Эти принципы регулирования уже давно отработаны и уходят корнями в такие документы, как Декларация прав человека ООН и Конвенция о защите физических лиц при автоматизированной обработке персональных данных (1981 г.). Ничего нового здесь не было придумано, за исключением принципов безопасности и подотчетности, которые стали новеллами (дополнениями) GDPR. В нашей стране вопросы безопасности и подотчетности при обработке персональных данных еще с первой редакции закона № 152-ФЗ от 2006 г. ставились на видное место.
Если в российском законодательстве существует некая пирамида отношений, состоящая из субъекта персональных данных, оператора и лица, осуществляющего их обработку по поручению оператора, то в GDPR конструкция чуть сложнее. Возможно, она даже более удачная, поскольку наша «классическая пирамида» не учитывает ситуации, когда оператор вынужден передать персональные данные третьей стороне не в рамках поручения, а в рамках исполнения договоров между субъектом и оператором. Для упрощения восприятия используемой терминологии здесь и далее будем использовать привычные термины в виде «оператора» и «обработчика» для обозначения data controller и data processor в GDPR, хотя такое тождество и является весьма условным.
Казалось бы, GDPR и ФЗ № 152 — совершенно разные вселенные. Но специалистам, знающим требования ФЗ № 152, многие положения GDPR покажутся до боли знакомыми. Тем не менее есть набор концептов, которые отличаются от наших практик в сфере обработки персональных данных.
1. Privacy Notice — один из инструментов, который отчасти схож с политиками по обработке персональных данных, регламентируемыми нашим законодательством. С одной стороны, этот документ описывает цели обработки персональных данных, а с другой — является элементом повышения осведомленности субъектов персональных данных об их правах. Фактически авторы GDPR согласились, что их документы слишком сложны для восприятия субъектами права. Согласно Privacy Notice, объяснить субъекту, в чем заключается необходимость обработки персональных данных и как он может реализовать свои права в рамках этого процесса, является задачей контролера либо оператора, который действует по поручению контролера.
Примечательно, что некоторые регуляторы в Европейском союзе постулируют следующее правило: Privacy Notice должны доводиться оператором или контролером до сведения субъектов тем же способом, каким они получили от них персональные данные. Если через сайт, то всё просто: вот вам ссылка, перейдя по которой можно прочитать о целях обработки ваших данных. Но как быть, если вы получаете данные субъекта по телефону?
На текущий момент большинство экспертов склоняются к мнению, что если нет возможности разумным способом реализовать данный принцип, то лучше делать ссылку на какой-либо информационный ресурс и уведомлять субъекты, что Privacy Notice размещен на таком-то сайте.
2. Право на забвение у нас давно не является новеллой. Но в РФ это касается в первую очередь операторов поисковых систем, которым оно вменено в ФЗ № 149 «Об информации, информационных технологиях и защите информации». В Евросоюзе право на забвение реализуется на уровне требования субъекта об уничтожении персональных данных, если достигнута цель их обработки.
3. Так называемое право на переносимость персональных данных — один из важных концептов, который портит жизнь операторам. Реализация данного права, особенно в массовом порядке, способна сильно затруднить их работу, так как связана с серьезными экономическими издержками.
Представьте, что к оператору за неделю обратилось больше 100 клиентов с просьбой передать их персональные данные новой компании, с которой они хотят сотрудничать. В GDPR есть определенные условия для реализации этого права и даже определенные поблажки для компаний, которые вынуждены будут эти условия соблюдать. Тем не менее при любой задержке в передаче персональных данных вам придется отстаивать в суде презумпцию своей невиновности.
4. Профилирование — еще один из принципов, который многих до сих пор ставит в тупик. Профилирование определяется в контексте принятия каких-либо решений в отношении субъектов персональных данных на основании их автоматизированной обработки. Самый простой пример — кредитный скоринг, когда на основании автоматизированной оценки скоринга банк решает вопрос об одобрении кредита. В рамках GDPR любой субъект может оспорить такое решение, если считает его несправедливым. В этом случае компания будет вынуждена сделать ручную перепроверку и выдать оценку на основании участия человека.
5. Personal data breach notification and communication — концепты, которые активно рассматриваются и в нашей стране. Роскомнадзор и Минкомсвязь периодически поднимают вопросы о необходимости уведомлять их, как надзорные органы, о тех или иных нарушениях в сфере конфиденциальности персональных данных и о необходимости оповещать субъекты персональных данных о крупных утечках. В рамках GDPR такой механизм уже действует: на уведомление надзорных органов об утечках отводится 72 ч. Причем надо смотреть на ситуацию в каждой отдельной юрисдикции, с учетом национальных требований. Единого подхода нет и не будет, и вы не сможете разослать всем надзорным органам Евросоюза одинаковое письмо.
6. Принцип Data Protection Impact Assessment часто вводит в ступор европейских операторов и обработчиков. Однако те российские компании, которые реализовали проекты по персональным данным самостоятельно либо с помощью консультантов, не впадут в растерянность. То, что предлагается в качестве стандартного продукта (а именно проведение обследований, написание аналитического отчета с указанием рисков и недостатков при обработке персональных данных), во многом и представляет суть Data Protection Impact Assessment.
GDPR не закрепляет строгую формулу Data Protection Impact Assessment. Он лишь требует, чтобы компания понимала, что обрабатывает и на каких правовых основаниях, какова структура обработки, и чтобы она могла оперативно предоставить эту информацию надзорному органу.
GDPR не обязывает привлекать к обеспечению защиты только лицензированных и сертифицированных участников рынка. Организации из одного-двух человек вынуждены заниматься комплаенсом самостоятельно, поскольку у них нет денег на привлечение внешних консультантов. GDPR не задает лишних ограничений, которые могут иметь разрушающие последствия для малого бизнеса.
7. Trial Consultations и One-Stop-Shop Supervisory Mechanism — два других важных концепта, о которых также нужно упомянуть. Если в процессе Data Protection Impact Assessment выявлены высокие риски (например, вы понимаете, что среди ваших клиентов миллионы физических лиц и любое нарушение защиты персональных данных может вызвать значительный негативный социальный эффект), то оператор должен обратиться в надзорный орган, чтобы обсудить, какие меры по защите персональных данных ему стоит принять.
В нашей стране Роскомнадзор тоже пытался использовать механизм предварительных консультаций, однако ничего продуктивного из этой затеи не вышло. Когда операторы обращались в отечественный надзорный орган с целью тестовой проверки своих процедур, то на вопрос, будут ли выписываться штрафы в случае выявленных нарушений, получали утвердительное «да, будут». После этого у операторов все вопросы исчезли, и они просто стали ждать очередных проверок.
Хотя One-Stop-Shop Supervisory Mechanism зафиксирован только в преамбуле GDPR и его содержание детально не регламентировано, именно этот механизм регулирует взаимодействие между надзорными органами внутри Евросоюза.
Один из самых сакраментальных вопросов для российских организаций: попадают ли они под требования GDPR? Принципиальная вещь здесь заключается в том, что границы действия GDPR не определяются гражданством того или иного физического лица. Европейские надзорные органы рассматривают вопросы применимости закона с точки зрения нахождения человека на территории Евросоюза. К примеру, если гражданин РФ оказался на территории Евросоюза, в отношении его персональных данных начинают действовать те же самые правила, которые распространяются на всех граждан и других подданных стран — участниц Европейского союза.
Рассмотрим иную ситуацию. Гражданин Европейского союза решил забронировать гостиницу в Москве. У него есть два варианта: либо приехать в гостиницу, заполнить необходимые документы и оплатить свое проживание, либо сделать это через веб-сайт отеля. В первом случае сделка совершается на территории Российской Федерации, и ее стороны подчиняются требованиям российского законодательства. Во втором случае субъект пребывает на территории Евросоюза и осуществляет при этом дистанционное взаимодействие с контрагентом через интернет. Такие взаимоотношения будут подчиняться как требованиям GDPR, так и положениям ФЗ № 152.
Что касается действия GDPR за пределами Европейского союза, здесь возникает очень интересная ситуация. Если человек физически находится на территории Европейского союза и ему через интернет или иным дистанционным способом предлагаются товары, работы или услуги, при том что владелец сайта заведомо понимает, на кого нацелено его предложение, то он будет вынужден подчиняться европейскому законодательству.
Самую наглядную логическую схему, позволяющую определить, подчиняется ли ваш бизнес требованиям GDPR, предложила ISACA (международная ассоциация, объединяющая профессионалов в области ИТ-аудита, ИТ-консалтинга, управления ИТ-рисками и информационной безопасности). Как из нее следует, в большинстве случаев компаниям, занимающимся международной деятельностью, все-таки придется иметь дело с европейским законодательством.

Мнения о GDPR в России и за рубежом

Несколько слов о том, какое мнение о GDPR высказывают официальные лица. С точки зрения представителей Роскомнадзора, всё достаточно очевидно: компании, которые не осуществляют свою деятельность на территории РФ и не ведут ее на территории Европейского союза, не должны подчиняться требованиям GDPR, поскольку «у нас свое законодательство и своя суверенная территория».
Коллеги из Роскомнадзора юридически абсолютно правы, но лишь касательно той части деятельности отечественных компаний, которая ведется внутри России. Как только компания начинает предлагать работы и услуги зарубежным контрагентам, ее бизнес выходит за границы одного государства, и такие взаимоотношения находятся уже вне национальной юрисдикции.
Что думают на тему GDPR американские компании? В целом ничего хорошего. В недавно опубликованной в The Washington Post статье говорится, что «Европа теперь наиболее мощный регулятор в Кремниевой долине». Американский цифровой бизнес признает, что из-за обязанности подчиняться требованиям европейского регулятора на европейском же рынке они чувствуют себя уже не так вольготно.
Непосредственно в день вступления в силу законодательства GDPR, 25 мая, один из австрийских юристов — известный общественный деятель и защитник прав и интересов неопределенного круга лиц — предъявил корпорациям Facebook и Google два иска по поводу неисполнения требований GDPR на сумму 4 млрд долл. каждый. Надо сказать, что заокеанские компании уже были готовы к такому повороту событий, но впереди нас ждет еще много интересных судебных процессов.

Полная версия статьи доступна подписчикам электронного журнала "Стандарты и качество". Подписаться >>>

01.11.2018

448
Поделиться:

Полная версия статьи доступна подписчикам журнала "Business Excellence".
Подписаться >>>

Подписаться

Материалы по данной теме можно СКАЧАТЬ в Электронной Библиотеке >>>

САЙТ ЖУРНАЛА "BUSINESS EXCELLENCE" - WWW.BE-MAG.RU