Все банки, выпускающие карты, которыми можно пользоваться на территории Евросоюза, формально подпадают под требования Общего регламента о защите данных (General Data Protection Regulation; GDPR), который вступает в силу в ЕС 25 мая. Об этом заявил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен на прошедшем в Москве мероприятии «GDPR в России: 100 дней до вступления в силу». «Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки», — сообщил он.
В аналогичном положении окажутся и сотовые операторы, абоненты которых пользуются услугами, находясь в роуминге на территории ЕС, сказал также Таннен. По его словам, объяснение этому можно найти в ст. 3 (2) GDPR о территориальной применимости регламента, согласно которому документ применим к компаниям, которые предлагают товары и услуги любому лицу на территории ЕС или осуществляют мониторинг его действий в странах Евросоюза.
Эмитирование карт международных платежных систем и предоставление услуг роуминга действительно могут привести компании к необходимости выполнять требования регламента ЕС, подтверждает эксперт в области защиты персональных данных PwC в России Дмитрий Бирюков. «Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.», — поясняет он.
Меры, которые должны принять российские компании для соответствия GDPR, зависят от сферы деятельности, организации бизнес-процессов, архитектуры ИT-систем и целого ряда других подобных характеристик, говорит Дмитрий Бирюков. По его словам, компаниям необходимо провести аудит, по результатам которого им, вероятно, может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам «права на забвение» и переносимость данных. «Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании», — добавляет эксперт.
Подготовку к исполнению GDPR компаниям стоит начать с оценки конфиденциальности и рисков, а также выявления и создания карты персональных данных, говорится в рекомендациях компании IBM по обеспечению готовности к GDPR. Затем стоит разработать стандарты управления и обработки, а также стандарты конфиденциальности и управления безопасностью. При этом сотрудников следует обучить принципам GDPR. В конечном итоге компаниям необходимо вести постоянный мониторинг, оценку, аудит, регистрацию и контроль соблюдения стандартов GDPR, говорится в материалах IBM.
В связи с грядущим вступлением в силу GDPR большой спрос получают услуги по аудиту процессов обработки данных и по внедрению системы их защиты, рассказала РБК старший юрист компании «Алруд» Марина Юфа. Она отмечает, что компании, подпадающие под действие европейского регламента, параллельно оценивают свои процессы по обработке данных и с точки зрения российского законодательства. Закон «О персональных данных», который регулирует деятельность по их обработке, действует в России с 2006 года.
Представители Тинькофф Банка, Россельхозбанка, банков «Русский стандарт», «Санкт-Петербург», «Открытие», Газпромбанка, «Уралсиба», Абсолют Банка не ответили на запросы РБК. Представитель пресс-службы входящего в топ-35 Почта Банка сообщил, что они ознакомились с новыми стандартами и правилами GDPR и сейчас анализируют их. В банке отметили, что большая часть его клиентов практически не совершают зарубежные поездки и, соответственно, не пользуются картами банка для оплаты услуг в европейских странах. «Почта Банк целенаправленно не привлекает клиентов из стран Западной Европы, — добавил представитель пресс-службы. — Персональные данные иностранцев, как и данные всех остальных клиентов, защищены в соответствии с российскими законами».
Ранее представители Сбербанка, ВТБ и Альфа-банка говорили РБК, что анализируют положения GDPR и готовятся к его вступлению в силу. Сбербанк еще в конце 2017 года объявил закупку услуг по аудиту собственных практик обработки персональных данных и получению рекомендаций о том, каким образом привести их в соответствие с новыми требованиями. На эти цели банк готов был потратить 67,4 млн руб.
Опрошенные РБК операторы связи детали подготовки к вступлению в силу GDPR не раскрывают. Пресс-секретарь «ВымпелКома» (бренд «Билайн») Анна Айбашева сообщила, что компания «изучает потенциальное воздействие положений документа на бизнес». «Мы исполняем требования применимого законодательства, в том числе по защите персональных данных», — заявили в пресс-службе «МегаФона». Представитель МТС не ответил на запрос РБК.
Юрист практики по интеллектуальной собственности московского офиса Baker McKenzie Вадим Перевалов отметил: то, как будет работать GDPR на практике, пока неясно, так как слишком много компаний формально подпадают под его требования. «Строго формально, если вы мониторите покупки и транзакции по карте на территории ЕС, то GDPR должен распространяться на вас согласно букве закона. Как это будет интерпретировано на практике, неясно. Понятно, что слишком много компаний потенциально подходят под эти требования. Будет интересно посмотреть, какие потом дадут разъяснения и рекомендации», — говорит Вадим Перевалов.
По данным статистики погранслужбы ФСБ, в 2017 году страны ЕС с целью туризма посетили 5,7 млн российских граждан — на 15,8% больше, чем в предыдущем году. При этом нет данных о том, сколько из них, находясь в поездке, оплачивали товары банковскими картами и пользовались услугами сотовой связи.
Евгения Баленко, Мария Коломыченко, Анна Михеева