На чужой территории: как российскому бизнесу защищать данные пользователей

Общий регламент по защите данных (GDPR) в Евросоюзе вступил в силу полгода назад. Этого времени хватило бизнесу в России, чтобы пройти стадии отрицания и гнева. Вместе с тем, от перехода к стадии принятия — то есть планированию и внедрению GDPR бизнес останавливает в основном два обстоятельства: неочевидность рисков применения санкций к компаниям в России и сложность однозначного определения периметра экстерриториального применения GDPR. Давайте разберемся, верны ли эти опасения. Стоит ли бизнесу в России опасаться GDPR-санкций, если еще ни одна российская компания не была оштрафована? Да, определенно стоит. Хотя практические риски во многом зависят от типа бизнеса. Если это B2C сегмент, то риск принципиально выше. Ведь основным триггером рисков санкций являются клиенты, пользователи или работники. Все чаще в европейских СМИ появляются новости о последствиях несоблюдения европейского регулирования о персональных данных. Например, недавно британский и голландский регуляторы наложили на Uber штрафы, суммарно свыше €1 млн. А ранее Facebook оштрафовали на максимально возможные 0,5 млн фунтов стерлингов. И ведь это штрафы, рассчитанные еще по старому регулированию, пределы ответственности по которому были принципиально ниже установленных GDPR. Поэтому в первом полугодии 2019 года нас вероятно ждут новости о наложении действительно «устрашающих» штрафов. В то же время эксперты разделяют мнение, что европейские регуляторы в ближайший год не приступят к полноценному контролю за неевропейскими компаниями, поскольку сосредоточены над наведением порядок внутри Евросоюза. Действительно, по GDPR были оштрафованы только европейские компании, и нет ярких примеров экстерриториальной ответственности. Однако уже осенью этого года в отношении AggregateIQ, небольшой канадской IT-компании, было вынесено предписание прекратить обработку персональных данных британцев, несовместимую с заявленными целями. С подобной ситуацией могут столкнуться и российские компании. Например, пользователь ВКонтакте пожаловался польскому регулятору на социальную сеть за нарушение его прав. Кроме этого, с учетом геополитической обстановки нельзя исключать риски особого внимания именно к российским компаниям, как со стороны регуляторов, так и клиентов/пользователей. Нет сомнений и в том, что санкции по GDPR смогут быть исполнены и против российских компаний. Так, штраф могут наложить на представителя компании в ЕС или взыскать за счет корпоративных активов в странах ЕС, в том числе потенциально за счет дебиторской задолженности. Но денежные риски – не единственное, чего следует опасаться. Европейский регулятор может запретить другим компаниям передачу данных нарушителю GDPR. Обсуждается и блокировка web-ресурсов для европейских пользователей. Такие меры, безусловно, грозят потерей европейского рынка. Поэтому российскому бизнесу чрезвычайно важно оценить применимость GDPR, ведь его требования имеют ряд принципиальных эксцессов по сравнению с российским регулированием и требуют времени для внедрения. Бизнес без границ Сложно ли определить границы применения GDPR к российским компаниям? Да, но сегодня уже накоплена экспертиза по основным триггерам экстерриториальной применимости. Хотя остаются и так называемые «серые зоны», в основном актуальные для отдельных секторов, например, банковского. Давайте вспомним критерии применения GDPR к российским компаниям. Есть два принципиально разных случая: применимость в силу заключенного договора и прямая применимость. В зависимости от основания будет различаться как объем требований, так и методология их внедрения. Договорная применимость GDPR возникает в силу заключения с европейской компанией договора, содержащего условия о соблюдении требований GDPR. Так, европейские компании смогут передать персональные данные в Россию, которая, по мнению Еврокомиссии, не обеспечивает адекватный уровень защиты данных только при условии дополнительных «гарантий». Одним из возможных и наиболее удобных форматов таких гарантий – принятие российским контрагентом стандартных договорных условий, утвержденных Еврокомиссией. Кроме этого, в зависимости от конкретной модели отношений между сторонами GDPR устанавливает дополнительные требования, которые должны быть включены в договор. Что касается прямой применимости, то GDPR должны соблюдать, во-первых, российские компании, которые обрабатывают данные «в контексте деятельности постоянной структуры в ЕС». Под такой структурой понимается филиал, представительство, аффилированная компания, агент и иной независимый партнер. То есть это те случаи, когда российская компания ведет деятельность в ЕС «под маской» европейской структуры. Во-вторых, GDPR применим к российским компаниям, чья деятельность направлена на физических лиц в ЕС и заключается в предоставление товаров или услуг или же мониторинг поведения потребителей в ЕС. Примером первого будут адаптированные под европейский рынок продукты (особые тарифные сетки и программы лояльности, кастомизация под локальную регуляторную специфику, европейские языки и доменные имена, доставка товаров в ЕС и т.п.) или направленная на Евросоюз реклама (продвижение сайта для европейских пользователей, ссылки на ЕС-потребителей в брошюрах, маркетинговые мероприятия в ЕС и т.п.). Мониторинг поведения включает в себя, например, аналитику cookie-файлов и IP-адресов, отслеживание геолокации, контроль эффективности работников и использования ими корпоративных устройств связи. Критерии, указывающие на экстерриториальную применимость GDPR, не всегда однозначны, поэтому в зависимости сферы деятельности компании остаются открытые вопросы. 23 ноября Европейский совет по защите данных (European Data Protection Board, EDPB) опубликовал для общественного обсуждения разъяснения по территориальной применимости GDPR. К сожалению, разъяснения хотя и добавляют ясность по отдельным моментам, но оставляют без ответа наиболее актуальные вопросы. Тем не менее, эти разъяснения подтверждают корректность взвешенного подхода при оценке применимости GDPR против его применения к абсолютному большинству компаний, у которых есть хоть какие-то связи с Евросоюзом. Так, например, EDPB отмечает, что сбор или анализ информации о поведении лиц в ЕС автоматически не признается мониторингом. И, напротив, для признания такой деятельности мониторингом у компании должна быть соответствующая цель, в том числе последующего анализа поведения лица или его профайлинг. Играть на опережение Таким образом, во избежание рисков рекомендуем не дожидаться запросов от европейских клиентов или регуляторов, а уже сегодня начать оценку применимости GDPR. По результатам анализа указанных критериев должны быть определены конкретные процессы, к которым применим GDPR, и основания его применения, а также важность таких процессов для бизнеса, их очевидность для клиентов и регуляторов. Кроме этого, должен быть выявлен периметр «зараженных GDPR» систем и баз данных, оценена возможность создания «закрытого контура GDPR» для «зараженных процессов» и сложность внедрения GDPR. С учетом такой оценки могут быть приняты следующие решения: во-первых, отказ от внедрения GDPR, во-вторых, его ограниченное внедрение, в-третьих, комплексное внедрение для всех процессов компании, даже если GDPR не применим ко всем процессам. Согласно опросу, проведенному PwC Legal, ограниченное внедрение предпочитает подавляющее большинство компаний в России. Такой подход выглядит наиболее рациональным в большинстве случаев. Кроме этого, независимо от принятого решения, чрезвычайно важно регулярно отслеживать триггеры применимости GDPR и оценивать меняющийся ландшафт применения GDPR, например, в связи с новыми продуктами, процессами, изменениями ИТ-архитектуры и заключением договоров с европейскими партнерами. Иначе GDPR сможет неконтролируемо распространяться и «заражать» ключевые системы компании.