25 мая на территории Евросоюза вступит в силу Общий регламент о защите данных (GDPR), чье действие будет распространяться и на организации, находящиеся за пределами ЕС, включая банки и сотовых операторов, клиенты которых будут использовать в Европе платежные карты и связь в роуминге. Как пишет РБК, об этом на прошедшем в Москве мероприятии "GDPR в России: 100 дней до вступления в силу" сообщил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен.
"Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки", - отметил Таннен.
Отметим, что GDPR обязывает компании, которые используют персональные данные лиц, находящихся на территории ЕС, хранить эти данные в обезличенном и зашифрованном виде, обеспечивать их защиту от утечек, не передавать третьим лицам и информировать граждан и органы власти о любой утечке информации в течение 72 часов после обнаружения. Помимо этого, компании должны предоставлять клиентам понятную информацию о правилах обработки их данных, брать согласие на обработку данных, а также предоставлять возможность отказаться от передачи данных без ущерба для совершения действий. Нарушителям требований GDPR грозит штраф в размере до 20 млн евро или 4% годового оборота.
По словам эксперта в области защиты персональных данных PwC в России Дмитрия Бирюкова, выпуск карт международных платежных систем и предоставление услуг роуминга действительно могут обязать компании выполнять требования регламента ЕС.
"Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.", - пояснил Бирюков.
По его словам, компаниям, на которые могут распространиться требования GDPR, необходимо провести аудит в сфере обработки данных, после которого им может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам "права на забвение" и переносимости данных.
"Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании", - подытожил Бирюков.
Ранее представители "Сбербанка", ВТБ и "Альфа Банка" сообщили РБК, что анализируют положения GDPR и готовятся к его вступлению в силу. В частности, "Сбербанк" в конце прошлого года объявил закупку услуг по аудиту собственных практик обработки персональных данных и получению рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.
В свою очередь, пресс-секретарь "ВымпелКома" (бренд "Билайн") Анна Айбашева сообщила, что компания "изучает потенциальное воздействие положений документа на бизнес". В пресс-службе "МегаФона" отметили, что оператор исполняет требования применимого законодательства, в том числе по защите персональных данных, а представитель МТС не ответил на запрос журналистов.
По словам юриста практики по интеллектуальной собственности московского офиса Baker McKenzie Вадима Перевалова, в настоящее время сложно сказать, как GDPR будет работать на практике, поскольку его требования формально распространяются на очень многие компании.