September 28, 2018

Дела поважнее. Почему российские компании не защищают личную информацию

Российский бизнес пока не придает серьезного значения Европейскому регламенту по защите персональных данных (GDPR), несмотря на штраф до €20 млн или 4% от глобального годового дохода

Европейский регламент по защите данных (GDPR) действует почти три с половиной месяца. По заявлениям субъектов персональных данных, в Европейском союзе начались первые проверки организаций. Например, в тот день, когда регламент вступил в силу, австрийский активист и юрист Макс Шермс подал три жалобы на общую сумму €3,9 млрд на Facebook и ее дочерние компании WhatsApp и Instagram, а также жалобу на операционную систему Android от Google на сумму €3,7 млрд. По его мнению, поля согласия на обработку персональных данных у этих компаний не дают пользователю свободы выбора на предоставление или непредоставление своих данных, как того требует GDPR (freely given).

Регламент работает по экстерриториальному принципу, а это значит, что соблюдать его должны и компании, находящиеся за пределами Европейской экономической зоны (страны-члены Европейского союза, а также Исландия, Лихтенштейн и Норвегия), если они: 1) обрабатывают персональные данные субъектов, находящихся в Евросоюзе, предоставляя им товары и услуги или осуществляя мониторинг их действий, 2) обрабатывают персональные данные, предоставляя услуги по их обработке организациям, попадающим под действие GDPR.

Российские компании — не исключение, и с учетом огромных штрафов за нарушение регламента (до €20 млн или 4% от глобального годового дохода группы компаний) можно было предположить, что бизнес с большим вниманием отнесется к новым требованиям.

Мы решили проверить эту гипотезу и изучили веб-сайты крупнейших российских компаний, взяв за основу рейтинг Forbes «200 крупнейших частных компаний России» за 2017 год. По меньшей мере четверть из 160 проанализированных организаций попадает под действие GDPR из-за наличия дочерних компаний, представительств и офисов в странах Евросоюза, сайта на языке страны-участницы Евросоюза, с помощью которого пользователи из Европы могут заказать услуги или товары, а также наличия вакансий, на которые могут откликнуться субъекты, находящиеся там. Чаще всего компании собирают ФИО, адрес электронной почты, телефон, логин, IP и cookies с использованием веб-сайтов.

По результатам анализа оказалось, что всего 4 веб-сайта близки к соответствию требованиям GDPR. Из остальных: 83% не предусматривают всплывающее окно для согласия на сбор cookies, у 77% отсутствует возможность получения явного согласия на обработку персональных данных, у 60% недоступна для ознакомления политика конфиденциальности. И это только верхушка айсберга, а ведь GDPR регламентирует не только порядок получения согласия на сайтах компаний, но и внутренние процессы компании по обработке и защите персональных данных.

Мы говорим о крупнейших компаниях страны, которые обладают необходимыми финансовыми и человеческими ресурсами для внедрения регламента. Но есть и положительные примеры, о которых много говорилось в СМИ: многие из нас накануне вступления GDPR в силу — 25 мая 2018 года — получали уведомление об обновлении политики защиты персональных данных от наших российских компаний, сервисами которых мы все пользуемся. Но процент организаций, которые полностью или частично не соответствуют положениям регламента, пугающе большой.

«Мы не знали, что нам это нужно»

Европейский регламент по защите данных состоит из 88 страниц, включающих вводную часть, и 99 статей, распределенных по 11 главам. Он затрагивает множество аспектов деятельности компаний, которые необходимо не только выявить, но и привести в соответствие с регламентом, что, безусловно, потребует дополнительных расходов. Возможно, это является одной из причин, по которым некоторые российские компании решили, что регламент к ним не относится или относится лишь частично. Но, как известно, незнание закона не освобождает от ответственности.

Под действие GDPR попадают все бизнес-процессы, в рамках которых осуществляется обработка персональных данных. Это актуально для компаний практически из любой отрасли: от нефтегазового, финансового и транспортного секторов до ИТ и медиа, социальных сетей, онлайн-игр, рекламных и рекрутинговых агентств. И у каждой организации могут быть свои исключительные ситуации, когда может потребоваться соблюдение GDPR.

Основные процессы, попадающие под действие GDPR и предусмотренные функционалом веб-сайтов компаний, — это как минимум обработка данных клиентов (в рамках информационной поддержки, при потенциальном заключении договоров, при оформлении заявок на услуги, при осуществлении онлайн-покупок), а также обработка данных при создании аккаунтов, отклике на вакансии, использовании клиентами форм обратной связи и онлайн-чатов.

Наиболее подверженными санкциям регуляторов, скорее всего, будут компании, занимающиеся электронной коммерцией (например, интернет-магазины, транспортные пассажирские компании, финансовые организации), потому как сервисы данных компаний могут быть доступны и на территории Евросоюза, а проверки инициируют в первую очередь на основании поданных клиентами жалоб.

Обязанность соблюдать регламент возникает, если у компании есть программа лояльности, которой клиент потенциально может воспользоваться на территории Европы. В сложной ситуации оказываются и разработчики онлайн-игр, доступных в том числе на территории Евросоюза, поскольку многие их клиенты несовершеннолетние и собирать данные можно только с явного согласия родителей, а это требует отдельных мер.

Другой пример — страховка для путешественников, проданная в России субъекту персональных данных, который позже может обратиться в медицинское учреждение в Европе, тем самым вызвав необходимость передачи своих персональных данных, относящихся к специальным категориям. Поскольку страховая компания сотрудничает с многочисленными медицинскими учреждениями, между ними возникает трансграничная передача данных, поэтому договоры с такими организациями нуждаются в доработке.

Таким образом, приведение процессов в соответствие GDPR требует тщательного анализа деятельности всех подразделений компании, чтобы обнаружить даже потенциальные возможности возникновения нарушений. При этом при внедрении процессов и процедур следует учитывать рекомендации Рабочей группы (Working Party Article 29), разъяснения European Data Protection Board, European Data Protection Supervisor и European Commission, а также требования локального законодательства по защите и обработке персональных данных, что порой может быть трудным для выполнения силами одной организации.

«Есть дела поважнее»

Требования GDPR во многом схожи с требованиями 152-ФЗ «О персональных данных» в России. Основные принципы обработки данных совпадают в обоих документах, но в GDPR расширены права субъектов и обязанности операторов персональных данных. Проблема в том, что некоторые компании и до появления европейского регламента игнорировали российское законодательство в сфере защиты данных.

Одна из причин такого отношения — это относительно небольшие штрафы. Другая — попустительство и несерьезное отношение к своим персональным данным самих россиян. Согласно исследованию KPMG по вопросам неприкосновенности частной жизни, только 11% наших соотечественников беспокоятся о том, как будет использована их личная информация.

Жители Евросоюза же, наоборот, очень трепетно относятся к своим персональным данным, большинство из них скорее откажутся от покупки или услуги, чем подвергнут опасности информацию о себе. А в сфере B2B даже небольшой инцидент, связанный с утечкой данных и попавший в СМИ, может ухудшить деловую репутацию и отпугнуть европейских партнеров. Чтобы оценить риски такого исхода, достаточно вбить соответствующий запрос в поисковик — подобные происшествия происходят чуть ли не ежедневно, в том числе с крупнейшими компаниями России.

Но если организация ответственно отнесется к защите данных своих клиентов — это может стать ее сильным конкурентным преимуществом. Какую бы задачу ни решал человек через интернет — планировал отпуск, покупал новую футболку, отправлял резюме будущему работодателю, — ему важен клиентский опыт. А с необходимостью передачи персональных данных люди чаще всего сталкиваются в самом начале на веб-сайте вашей компании, поэтому соблюдение норм GDPR — хороший способ произвести положительное впечатление на европейских клиентов и деловых партнеров.

Источник