Регламент GDPR: преимущества и проблематика «лучших практик» в сфере регулирования работы с персональными данными

«Бум» громких утечек персональных данных в России привел к очередному витку актуализации проблем регулирования этой сферы. Реагируя на запрос общества, Минцифры несколько раз заявило о подготовке новых правил в сфере работы с персональными данными. Самым «громким» элементом стало введение оборотных штрафов за допущение утечки. Мера выглядит крайне востребованной в условиях, когда российские IT-гиганты вполне могут отделаться штрафом в размере 60 тыс. рублей.

Вместе с тем, практика использования оборотных штрафов давно уже существует в ряде стран. Например, в Евросоюзе уже 4 года действует регламент GDPR (General Data Protection Regulation), который регламентирует весь порядок взаимодействия с персональными данными граждан ЕС, а также вводит порядок взысканий за нарушение регламента.

В этой статье будут разобраны основные аспекты применения GDPR в отношение российских компаний, особенности этой практики в условиях геополитического кризиса, а также недостатки регламента GDPR и идентичных мер по защите данных пользователей.

GDPR и российские компании

Формально, требования европейской защиты данных носят экстерриториальный характер, и распространяются на все организации, которые работают с персональными данными граждан Евросоюза. Регламент предполагает сразу несколько маркеров, по которым можно определить необходимость для компании соблюдать регламент GDPR.

Сергей Нейронов

CIO AtreIdea

Российские компании, работающие с персональными данными европейских граждан, должны соблюдать требования GDPR. Это включает в себя обязательства по защите и конфиденциальности данных, информирование пользователей о том, как их данные будут использоваться, и предоставление им возможности управлять своими данными. Несоблюдение этих требований может привести к штрафам от органов контроля в Евросоюзе. Это может быть особенно важно для интернациональных компаний, которые имеют подразделения в Евросоюзе.

Однако, в современных реалиях российские компании находятся « в суперпозиции», когда обязательность соблюдения «соседствует» с невозможностью взыскания штрафов со стороны европейских регуляторов. Велика вероятность, что если у российской компании нет представительства или активов за рубежом, то и наложить на нее взыскание службы ЕС просто не смогут.

Несмотря на то, что в данный момент таких примеров нет, можно провести аналогию с российским законом «о приземлении IT-гигантов» и судебными тяжбами вокруг компании Meta*, которую российские суды суммарно оштрафовали уже на несколько миллиардов. Из-за невозможности взыскать эти деньги с компании, российским регуляторам пришлось прибегнуть к другим инструментам: блокировке и замедлению трафика.

Михаил Савельев

Директор по развитию бизнеса компании «Гарда Технологии»

В свете текущих геополитических событий можно сказать, что наложение штрафов за несоблюдение правил GDPR на российские компании по своему эффекту будет сродни очередному пакету санкций. В общий регламент защиты данных заложен экстерриториальный принцип действия. Деятельность компании считается нацеленной на ЕС, если на ее сайте предусмотрено использование национального языка, валюты государства-члена Евросоюза, либо содержится упоминание о потребителях или пользователях из этого региона. Плюс, GDPR автоматически распространяется на информационные системы в случаях обработки в них персональных данных граждан стран-членов ЕС. Однако в текущих реалиях прямые экономические отношения затруднены, если не сказать разрушены, в силу принятия резких политических решений. Для взаимодействия с органами власти, формально, компания должна назначить ответственное за нарушение физическое или юридическое лицо, которое должно находиться в той же стране ЕС, что и субъекты данных.

К таким лицам и представительствам можно предъявить претензии, однако это, скорее, будет больше медиаповодом. При этом подобные действия сомнительны, ведь они станут признанием факта, что, несмотря на всю демонстрируемую решимость дистанцироваться, кто-то в ЕС продолжает взаимодействовать и поддерживать российские компании.

Однако, стоит помнить о том, что европейские регуляторы « обладают долгой памятью», и пренебрежение законодательством в актуальных условиях может обернуться трудностями для компании в долгосрочных и среднесрочных перспективах, если организация планирует в дальнейшем работать в ЕС и зоне действия европейских законов о персональных данных.

GDPR – это «лучшая практика» в регулировании ПДн?

Важно понимать, что в разные временные промежутки разные страны «заимствовали» у соседей как отдельные отраслевые регламенты, так и целые разделы Конституции. Сама практика не несет в себе никакого негатива, при условии что во время заимствования законы и нормативы были адаптированы под специфику конкретной страны, были учтены недочеты работы этих норм в «родных» государствах.

Александр Буравцов

Директор по информационной безопасности МойОфис

Практика оказалась достаточно эффективной в отношении небольших компаний, для которых подобный штраф является серьезной суммой, однако показал достаточно малую эффективность в отношении ИТ-гигантов, чья бизнес-модель полностью зависит от использования персональных данных, таких как Facebook (проект Meta Platforms Inc., деятельность которой в России запрещена) или Google. Данные компании, чья бизнес-модель по сути перестала бы работать, если бы они начали исполнять GDPR, исполняют требования GDPR только после вынесенного судебного решения; при этом подобные судебные разбирательства длятся несколько лет и истощают бюджеты регуляторов.

Яркий тому пример – вынесенное решение европейского регулятора EDPB в отношении контекстной персонализированной рекламы в Facebook (проект Meta Platforms Inc., деятельность которой в России запрещена) без явного информированного согласия пользователя. Суд длился 4 года, в течение которых Facebook (проект Meta Platforms Inc., деятельность которой в России запрещена), нарушая требования GDPR, заработал на порядок большие суммы, чем финальный штраф.

В том, что директива о защите персональных данных ЕС хорошо работает в малом и среднем секторе, но не дает эффективных результатов в отношение «топов», можно убедиться и с помощью данных трекера GDPR, посмотрев статистику лидеров по количеству штрафов и самым большим суммам.

Источник: https://www.enforcementtracker.com

Также, важно помнить о том, что директива ЕС о персональных данных – это комплексный документ, который охватывает все аспекты регулирования работы с персональными данными граждан стран Европейского союза. Она охватывает не только вопросы штрафов за утечки данных, но и множество других аспектов разного уровня, связанных как с грубыми нарушениями правил кибербезопасности, так и с условно формальным несоответствием принятому комплаенсу.

Ольга Ермакова

Комплаенс-консультант, сертифицированный специалист в области приватности (CIPP/E, DPP GDPR, DPP UAE), член RPPA, IAPP

Надо понимать, что ответственность установлена не только за утечки. Например, самый большой в истории штраф, которому в прошлом году подверглась компания Amazon Europe Core S.a.r.l. (746 миллионов евро) вообще никак не связан с утечкой данных. Кроме того, штрафы – это не самое страшное, что есть в Регламенте. Запрет на осуществление обработки данных, возможность применения которого предусмотрена Регламентом, кажется мне намного более губительным последствием для бизнеса, потому что фактически приведет к полному прекращению деятельности.

Я думаю, что установленная регламентом система ответственности – это очень эффективная практика. Деятельность по защите данных – это процесс, который требует от бизнеса внимания, ответственности и расходов. Нужно оценить, какие данные и как бизнес обрабатывает, понять, где в этих обработках есть риски, что-то сделать, чтобы эти риски минимизировать, а в некоторых случаях, страшно сказать, - отказаться от осуществления определенных обработок, потому что такая деятельность нарушает правила, установленные Регламентом. Кроме того, это постоянная деятельность и, как следствие, постоянные расходы бизнеса: нельзя один раз взять и обеспечить соблюдение правил, это каждодневная работа.

Разумеется, существуют бизнесы, которые соблюдают гигиену при работе с данными, потому что это укладывается в их ценности. Но бОльшая часть делает это, чтобы избежать ответственности. Самый частый вопрос бизнеса – «сколько нам будет стоить нарушение такого-то правила». С принятием Регламента этот вопрос перестал звучать, потому что сейчас все знают, что нарушение GDPR – это очень дорого. Это мотивирует бизнес обратить внимание на свои процессы по обработке данных и разобраться с ними.

В конечном счете, бенефициарами этих процессов являемся мы с вами, т.к. наши данные стали обрабатываться более безопасным образом, и поэтому я положительно оцениваю эти процессы. Вместе с тем, говорить о том, что проблема защиты данных решена, не проходится. Вопрос сформулирован правильно: штрафы решают проблемы, и это длительный процесс.

Регламент GDPR нельзя назвать абсолютным, универсальным решением, которое с равной эффективностью решает проблему защиты персональных данных во всех возможных случаях и секторах.

Однако, это несомненно более проработанное и эффективное решение, если сравнивать его с существующей российской практикой, в которой штраф за утечку клиентских данных для крупных IT-гигантов составляет меньше, чем средняя месячная заработная плата линейного сотрудника этой компании.

Если же говорить о работе российских компаний в юрисдикции ЕС и поле действия требований GDPR, то все зависит сугубо от стратегии организации и ее видения будущего своего бизнеса. Если ЕС остается одним из направлений развития бизнеса и потенциальным рынком сбыта своих услуг – лучше не поддаваться искушению пренебречь требованиями регулятора просто исходя из того, что последствия могут быть не только «мгновенными» (в виде штрафов, которые не смогут взыскать, но и долгосрочными.

*WhatsApp принадлежит компании Meta, признанной экстремистской организацией на территории РФ, ее деятельность в России запрещена.