Стоит ли российскому бизнесу защищать личные данные пользователей?

zashhita-lichnykh-dannykh

В Евросоюзе уже полгода работает регламент по защите данных – GDPR. Российский бизнес пока не спешит выполнять предписания, поскольку не видит риска санкций. Кроме этого, довольно сложно однозначно определить территорию применения новых правил.

В B2C-сегменте риск наказания довольно высок. Но пока ни одна компания из России не оштрафована.

Действие закона о защите личных данных

В европейских медиа все чаще появляется информация о последствиях нарушения закона о регулировании личных данных. Совсем недавно на компанию Uber был наложен штраф в размере более одного миллиона евро. Немногим ранее соцсеть Facebook заплатила штраф в полмиллиона евро.

Но эксперты говорят, что в следующем году у европейских регуляторов не дойдут руки до компаний с неевропейской юрисдикцией. Пока нет случаев экстерриториальной ответственности по закону GDPR.

Со временем проблемы могут появиться и у российского бизнеса. Недавно человек, имеющий страницу «ВКонтакте», подал жалобу на сайт польского регулятора. Человек посчитал, что сайт нарушил его права. Учитывая сложную геополитическую ситуацию, нельзя исключать риск того, что особое внимание по соблюдению нового закона будет направлено именно на Россию.

Европейский регулятор может запретить компаниям сотрудничать с фирмой, нарушившей закон GDPR. Также обсуждается возможность блокировки web-ресурсов. Российский бизнес должен внимательно изучить GDPR, поскольку это чревато разнообразными проблемами и расходами.

Границы применения закона

Возникает вопрос: как определить, в какой мере закон GDPR будет относиться к российскому бизнесу? На сегодняшний день известны основные триггеры экстерриториальной применимости. Но есть и серые зоны, которые актуальны для банковского сектора и некоторых других сфер.

Для российских компаний есть два вида применения GDPR:

  • прямая применимость,
  • применимость в силу заключенного договора.

Объемы требований к компаниям и санкции будут изменяться в зависимости от ситуаций.

Еврокомиссия считает, что в нашей стране не обеспечивается необходимый уровень защиты данных. Чтобы улучшить ситуацию, Еврокомиссия может назначить принятие российским контрагентом определенных условий.

Прямая применимость — это соблюдение закона всеми представителями российского бизнеса, которые обрабатывают информацию «в контексте деятельности постоянной структуры в ЕС». Структурой может быть представительство, филиал, агент, аффилированная фирма и т.д. То есть речь идет о случаях, когда компания из России работает в Евросоюзе с помощью европейской структуры.

GDPR будет применяться к тем российским фирмам, деятельность которых направлена на физлица в Евросоюзе. Работа таких компаний может заключаться в предоставлении услуг или товаров, а так же в изучении поведения европейских потребителей.

Изучение поведения может в себя включать:

  • аналитику IP-адресов и cookie-файлов,
  • установление местоположения,
  • контроль продуктивности работников,
  • частота использования персоналом определенных устройств для связи и т.д.

Что делать российскому бизнесу?

Чтобы минимизировать риски, нужно начать оценивать применимость GDPR для своего бизнеса. После оценки ситуации с привлечением IT-специалистов и юристов, необходимо принять ряд решений. Подумайте, имеете ли вы право отказаться от GDPR или внедрить его ограниченно.

Недавно компания PwC Legal провела опрос, и стало известно, что российский бизнес согласен подчиниться нововведению, но только частично.

Независимо от принятых решений необходимо постоянно отслеживать применимость GDPR и исследовать границы действия этого закона, поскольку они могут меняться. В ближайшие несколько лет произойдет усиление законов, связанных с защитой личных данных пользователей.