Елена Авакян : «GDPR: регламент о любви и персональных данных»

| статьи | печать

Среди предпринимателей многие не любят General Data Protection Regulation (далее — GDPR) и считают, что это прокрустово ложе регулирования, в которое пытаются загнать бизнес. Последствием неисполнения регламента Европейского Союза, вступившего в силу 25 мая 2018 г., могут стать штраф до 20 млн долл. или оборотные штрафы до 4% оборота. А также санкции в виде запрета на работу с персональными данными граждан ЕС, которые будут вынуждать компании самостоятельно отрезать сегмент рынка и проверять, не заходят ли к ним граждане Евросоюза. В условиях глобального цифрового пространства исполнение подобных требований становится крайне проблематичным, тем более что оно должно касаться не только платежей, но и любой передачи информации, в том числе пересылки писем. Это серьезный риск: несохранение персональных данных может стать причиной банкротства.

Большинство участников бизнес-сообщества полагают, что подобные санкции чрезмерны, и не склонны считать нарушения требований GDPR такими же серьезными, как картельный сговор, способный причинить вред экономике. А из-за того, что GDPR — один из немногих в международной практике документов, обладающих экстерриториальностью, полагают, что этот государственный механизм позволит Европе серьезно манипулировать другими рынками. Действие регламента распространяется на всех участников оборота персональных данных европейцев, вне зависимости от места их инкорпорации — то есть на все предприятия и организации в мире.

К сожалению, Европейская комиссия не отнесла Россию к списку стран, передача данных в которые не требует согласования надзорного органа. Передача данных в страны, не попавшие в список доверенных, возможна только, если организации, осуществляющие передачу, получили гарантии их защиты. Следовательно, для тех, кто передает данные в Россию, это становится риском. Согласно российскому законодательству хранение данных россиян возможно только на серверах, расположенных на территории Российской Федерации. Взаимодействие этих требований невольно создает ощущение пропасти, намеренно организованной между нами и остальными странами.

Защитит ли эта пропасть российских предпринимателей от требований GDPR? Европейцы приезжают в Россию, останавливаются в гостиницах, покупают наши товары, осуществляя трансграничные закупки. Мы обмениваемся с гражданами Евросоюза персональными данными через мессенджеры, социальные сети и почтовые сервера, где эти данные накапливаются. Обычная подпись к электронному письму содержит имя, фамилию, телефон — и вот мы уже находимся в состоянии обмена персональными данными. Вам направили резюме — и вот вы включены в оборот персональных данных, а если в него попали данные о гражданине Евросоюза, то извольте выполнять требования. Однако если вы работаете в соответствии с российским Законом о персональных данных, требования которого достаточно жесткие и мало отличаются от тех, что предъявляются европейским регламентом, то практически не имеете возможности нарушить требования GDPR.

Что это за требования? Должен быть проведен предварительный аудит персональных данных, документирован процесс их переработки — эта работа может стоить компании несколько десятков тысяч долларов. Следующим шагом является выработка в компании правовых основ обработки персональных данных. Надо установить и обосновать цель сбора данных, разработать и принять политику обработки и защиты персональных данных и приобрести необходимое для этого программное обеспечение, установить брандмауэры, не допускающие утечку персональных данных — еще десятки тысяч долларов. За исполнением обязательных комплаенс-процедур, которые установлены регламентом, должен следить комплаенс-офицер по персональным данным, который бесплатно трудиться, конечно же, не будет. В случае утечки персональных данных компаниям отводится только 72 часа на то, чтобы выявить и сообщить об инциденте. Другое важное требование GDPR — создание прозрачных процедур сбора и обработки персональных данных и непрозрачных процедур их передачи. Именно из-за него каждый пользователь сайтов сталкивается с тем, что появились объявления о сборе и обработке данных и анкеты с вопросами о согласии на их передачу. Правда, большинство граждан ставит галочку напротив «согласен», не вникая в смысл написанного. Также мы можем наблюдать уведомления сайтов о сборе cookie-файлов, которые сохраняют информацию о пользователе и его поведении на сайте. В GDPR понятие персональных данных было существенно расширено, и теперь любые сведения о клиентском предпочтении и вообще любая идентифицируемая информация могут относиться к персональным данным. В частности, сейчас обсуждается вопрос о хранении визуальных образов — фотографий. Формулировка в регламенте очень обтекаемая, но тем не менее говорится, что если визуализация позволяет идентифицировать лицо, то она тоже относится к персональным данным. В США и ЕС биометрическая идентификация лиц ведется уже несколько лет, и в связи с этим все больше становится лиц, которых возможно идентифицировать как физическое лицо в юридическом смысле. Все более широко применяются технические средства, позволяющие идентифицировать участников любого процесса: съезда байкеров, уличной драки, конференции или совещания. Таким образом, лицо человека становится его визитной карточкой. Именно эту ситуацию описывает GDPR, когда говорит о фотографии как о персональных данных.

В Европе уже активно идет работа по подготовке компаний к исполнению требований GDPR, организуются курсы для комплаенс-офицеров и фактически создается новая профессия, связанная с исполнением требований по работе с персональными данными. И в нашей стране мы довольно быстро придем к тому же. Как минимум, во всех крупных компаниях должны появиться лица, ответственные за обеспечение сохранности персональных данных и соблюдение комплаенс-требований по данному вопросу.

Почему так строго? Данные вообще и персональные данные в особенности являются сырьем, на котором работает и развивается цифровая экономика: перерабатывая и анализируя данные, она создает новые продукты и новые рынки. Персональные данные в общем потоке данных составляют самую уязвимую часть, потому что определяют индивидуальность и позволяют отличать одного человека от другого, а в будущем — человека от искусственного интеллекта. В GDPR сконцентрированы все случаи, когда может быть нарушена тайна частной жизни, когда сведения о лице могут стать публично известны, и это может причинить ущерб нормальной жизни физического лица.

Вопрос, кому принадлежат персональные данные и кто может ими распоряжаться, в GDPR решен однозначно — персональные данные принадлежат человеку. Именно поэтому этот документ предусматривает право человека в любой момент потребовать анонимизации информации и изъятия его персональных данных из хранилища того или иного участника рынка. Другое дело, что к этой революционной норме многие компании не готовы технически. К тому же нам все чаще приходится иметь дело с системами, созданными на основе распределенных реестров, такими, как блокчейн, которые не позволяют исключить внесенную в них информацию.

По моему мнению, европейский нормативный акт, хотя и кажется направленным на усиление контроля, усложнение и удорожание бизнеса, на самом деле является актом о любви и уважении к человеку, который хочет сохранять конфиденциальность своей частной жизни.