Новые европейские правила защиты данных повлияют не только на Google, но и на малый бизнес и стартапы

25 мая 2018 года вступит в силу нашумевший GDPR – общеевропейский регламент о защите персональных данных. В то время как крупный бизнес спешно приводит свои внутренние политики и процедуры обработки данных в порядок, малый и средний бизнес, в том числе стартапы и иностранные компании, могут пребывать в неведении, что GDPR касается и их.

Несмотря на то, что GDPR разрабатывался в первую очередь в качестве ответной меры против неконтролируемой обработки персональных данных глобальными цифровыми и рекламными платформами, в итоге он затрагивает практически любой бизнес, работающий с лицами на территории ЕС (независимо от их гражданства и резидентства).

Принципы GDPR на практике

В основе GDPR лежит принцип, что персональные данные являются ценным активом каждого человека, поэтому независимо от своего размера каждый бизнес должен работать с персональными данными, соблюдая гарантии и процедуры, предусмотренные GDPR.

Персональные данные – это любая информация о человеке, включая адрес электронной почты и IP-адрес. Таким образом, практически любой бизнес (в том числе self-employed) обрабатывает персональные данные, например, в процессе предложения товаров и услуг.

Еще один важный принцип – это принцип экстерриториальности: GDPR гарантирует защиту персональных данных всем лицам на территории ЕС, независимо от того, где эти данные обрабатываются, — в ЕС или за его пределами. Это значит, что соблюдать GDPR придётся как европейским организациям, так, например, и компаниям из стран СНГ.

Максимальные санкции за неисполнение требований GDPR могут доходить до 20 миллионов евро (около 1,5 млрд руб.). Однако GDPR предусматривает и косвенные рыночные стимулы для соблюдения его положений. Так, европейские компании должны проверять, что их контрагенты (в том числе иностранные) привели системы обработки персональных данных в соответствие с GDPR. Таким образом, несоблюдение GDPR может привести к отказу от сотрудничества с такой компанией. Это следует в особенности иметь в виду стартапам из России и СНГ, которые все чаще переводят свой бизнес в Лондон.

Практически любой бизнес (в том числе self-employed) обрабатывает персональные данные, например, в процессе предложения товаров и услуг.

Понятно, что такие гиганты, как Facebook, Google и Amazon, имеют достаточную экспертизу и ресурсы, чтобы внедрить требования GDPR или обойти их. Например, Facebook уже перевел ответственность за обработку персональных данных своих пользователей за пределами ЕС из международного офиса в Ирландии в офис в Калифорнии, чтобы вывести не европейских пользователей из-под действия GDPR. В свою очередь, для остальных участников рынка, включая стартапы, не обладающих возможностями и глобальными ресурсами Facebook, подготовка к GDPR без специальных знаний и опыта может стать серьезным вызовом.

Что нужно сделать владельцам бизнеса уже сейчас

Чтобы обеспечить соблюдение GDPR, компаниям необходимо принять ряд технических и организационных мер, в том числе:

  • провести детальный аудит персональных данных, с которыми работает компания (в том числе это касается данных сотрудников);
  • до начала обработки данных произвести предварительную оценку последствий (в случае сомнений — проконсультироваться с контролирующим органом);
  • обеспечить информационную безопасность своих систем хранения и передачи данных, включая использование псевдонимов и шифров;
  • подготовить форму согласия на обработку данных и создать условия, чтобы согласие можно было легко отозвать в любой момент;
  • если персональные данные обрабатывает компания за пределами ЕС (например, в России), она должна назначить своего представителя в стране ЕС, где находятся лица, чьи данные она обрабатывает;
  • решить вопрос о необходимости приема в штат специалиста по защите персональных данных или привлечения внешних консультантов;
  • в некоторых случаях вести реестр действий по обработке данных; и
  • информировать владельцев персональных данных о допущенных нарушениях GDPR.

Что будет, если не соблюсти правила

Контролирующие органы в странах ЕС получат широкие полномочия, в частности, выносить предупреждения и налагать штрафы: максимум – 20 миллионов евро (или 4% годового оборота оператора, если эта сумма выше).

Фактически наиболее уязвимы европейские компании и иностранные компании с активами на территории ЕС: в противном случае суду на территории ЕС сложно будет принудить нарушителя выплатить штраф. Однако государства-члены ЕС могут получить иные инструменты воздействия на нарушителей-иностранцев – например, блокировать доступ к их Интернет-сайтам на территории ЕС.

Кроме того, операторы за пределами ЕС уже сейчас сталкиваются с рыночными стимулами к приведению своих процессов в соответствие с GDPR: европейские компании намерены проводить проверки соблюдения GDPR иностранными контрагентами и объектами инвестирования.

GDPR – сложный документ, который будет дополнен правилами отдельных государств-членов ЕС. Если вы предполагаете, что GDPR может коснуться вашего бизнеса, то специалисты CIS London & Partners LLP с готовностью помогут найти ответы на ваши вопросы.

Илья Гончаров

Житель города Лондона, гуманитарий умственного труда, выпускник журфака МГУ, выпускающий редактор ZIMA и вообще доволен жизнью

Новые статьи

«Близкие» — документальный фильм Веры Кричевской + Q&A

Когда: 29 апреля, 19.00Где: Courthouse Hotel, 19-21 Great Marlborough Street, London, W1F 7HL Фильм документалиста…

2 дня ago

«Осенью мы начинаем съемки». О чем говорили на встрече с Андреем Звягинцевым

В марте зрители увидели культовые работы режиссёра — фильмы «Левиафан», «Елена» и «Нелюбовь». Завершающим аккордом программы стала встреча…

5 дней ago

Камерное собрание подлинных шедевров. Почему стоит посмотреть выставку «От Гойи к импрессионизму» в Лондоне

Вряд ли бы я настолько погрузилась в историю коллекции, не попроси Люба Галкина прогуляться вместе…

5 дней ago

Дополнительный показ. Премьера фильма «Пророк. История Александра Пушкина» в Лондоне

Когда: 24 апреля, 19:00Где: Courthouse Hotel, 19-21 Great Marlborough St, London W1F 7HL Фильм молодого…

6 дней ago

Дмитрий Крымов в Лондоне. 12 вопросов от Сергея Николаевича

В конце марта Крымов вместе с женой Инной приехали в Лондон, чтобы открыть свою театральную…

7 дней ago

Уголовные иллюзии и прочие пагубные привычки. О чем стоит знать, чтобы оставаться в безопасности

Иллюзия первая: «С Дона выдачи нет!» «В Россию сейчас не выдают». Такие слова мы слышим…

1 неделя ago