25 мая 2018 года вступит в силу нашумевший GDPR – общеевропейский регламент о защите персональных данных. В то время как крупный бизнес спешно приводит свои внутренние политики и процедуры обработки данных в порядок, малый и средний бизнес, в том числе стартапы и иностранные компании, могут пребывать в неведении, что GDPR касается и их.
Несмотря на то, что GDPR разрабатывался в первую очередь в качестве ответной меры против неконтролируемой обработки персональных данных глобальными цифровыми и рекламными платформами, в итоге он затрагивает практически любой бизнес, работающий с лицами на территории ЕС (независимо от их гражданства и резидентства).
Принципы GDPR на практике
В основе GDPR лежит принцип, что персональные данные являются ценным активом каждого человека, поэтому независимо от своего размера каждый бизнес должен работать с персональными данными, соблюдая гарантии и процедуры, предусмотренные GDPR.
Персональные данные – это любая информация о человеке, включая адрес электронной почты и IP-адрес. Таким образом, практически любой бизнес (в том числе self-employed) обрабатывает персональные данные, например, в процессе предложения товаров и услуг.
Еще один важный принцип – это принцип экстерриториальности: GDPR гарантирует защиту персональных данных всем лицам на территории ЕС, независимо от того, где эти данные обрабатываются, — в ЕС или за его пределами. Это значит, что соблюдать GDPR придётся как европейским организациям, так, например, и компаниям из стран СНГ.
Максимальные санкции за неисполнение требований GDPR могут доходить до 20 миллионов евро (около 1,5 млрд руб.). Однако GDPR предусматривает и косвенные рыночные стимулы для соблюдения его положений. Так, европейские компании должны проверять, что их контрагенты (в том числе иностранные) привели системы обработки персональных данных в соответствие с GDPR. Таким образом, несоблюдение GDPR может привести к отказу от сотрудничества с такой компанией. Это следует в особенности иметь в виду стартапам из России и СНГ, которые все чаще переводят свой бизнес в Лондон.
Практически любой бизнес (в том числе self-employed) обрабатывает персональные данные, например, в процессе предложения товаров и услуг.
Понятно, что такие гиганты, как Facebook, Google и Amazon, имеют достаточную экспертизу и ресурсы, чтобы внедрить требования GDPR или обойти их. Например, Facebook уже перевел ответственность за обработку персональных данных своих пользователей за пределами ЕС из международного офиса в Ирландии в офис в Калифорнии, чтобы вывести не европейских пользователей из-под действия GDPR. В свою очередь, для остальных участников рынка, включая стартапы, не обладающих возможностями и глобальными ресурсами Facebook, подготовка к GDPR без специальных знаний и опыта может стать серьезным вызовом.
Что нужно сделать владельцам бизнеса уже сейчас
Чтобы обеспечить соблюдение GDPR, компаниям необходимо принять ряд технических и организационных мер, в том числе:
- провести детальный аудит персональных данных, с которыми работает компания (в том числе это касается данных сотрудников);
- до начала обработки данных произвести предварительную оценку последствий (в случае сомнений — проконсультироваться с контролирующим органом);
- обеспечить информационную безопасность своих систем хранения и передачи данных, включая использование псевдонимов и шифров;
- подготовить форму согласия на обработку данных и создать условия, чтобы согласие можно было легко отозвать в любой момент;
- если персональные данные обрабатывает компания за пределами ЕС (например, в России), она должна назначить своего представителя в стране ЕС, где находятся лица, чьи данные она обрабатывает;
- решить вопрос о необходимости приема в штат специалиста по защите персональных данных или привлечения внешних консультантов;
- в некоторых случаях вести реестр действий по обработке данных; и
- информировать владельцев персональных данных о допущенных нарушениях GDPR.
Что будет, если не соблюсти правила
Контролирующие органы в странах ЕС получат широкие полномочия, в частности, выносить предупреждения и налагать штрафы: максимум – 20 миллионов евро (или 4% годового оборота оператора, если эта сумма выше).
Фактически наиболее уязвимы европейские компании и иностранные компании с активами на территории ЕС: в противном случае суду на территории ЕС сложно будет принудить нарушителя выплатить штраф. Однако государства-члены ЕС могут получить иные инструменты воздействия на нарушителей-иностранцев – например, блокировать доступ к их Интернет-сайтам на территории ЕС.
Кроме того, операторы за пределами ЕС уже сейчас сталкиваются с рыночными стимулами к приведению своих процессов в соответствие с GDPR: европейские компании намерены проводить проверки соблюдения GDPR иностранными контрагентами и объектами инвестирования.
GDPR – сложный документ, который будет дополнен правилами отдельных государств-членов ЕС. Если вы предполагаете, что GDPR может коснуться вашего бизнеса, то специалисты CIS London & Partners LLP с готовностью помогут найти ответы на ваши вопросы.