Тимур Аитов: Евгений, спасибо за ваш интересный доклад (на II Практической конференции «Информационная безопасность в финансах: регулирование, экспертиза, кейсы», организованной журналом «Банковское обозрение». — Ред.), из которого мы узнали, что требования со стороны наших европейских коллег ужесточаются. На этот раз они всерьез взялись за персональные данные (ПДн). Какая цель введения этих новых требований? Действительно ли участились случаи компрометации ПДн в странах Евросоюза или чиновники в этом вопросе ориентируются прежде всего на прочие страны? Какая основная цель введения этих новых требований, скрывающихся за аббревиатурой GDPR?

Евгений Ким: Введение GDPR (General Data Protection Regulation) имеет несколько основных целей. Я бы назвал следующие: во-первых, это приведение к общему знаменателю всех локальных требований со стороны Европейской экономической зоны (ЕЭЗ)1 , во-вторых, усиление контроля за соблюдением организациями прав и свобод субъектов ПДн, в-третьих, эволюция требований к обработке и защите ПДн (предыдущая версия требований была сформирована и принята в 1995 году).

Тимур Аитов: То есть это некий зонтик над всеми странами и предыдущими законодательными актами, над всей предыдущей нормативно-правовой базой, которая включала в том числе требования по персональным данным?

Евгений Ким: Абсолютно верно. Это последствия консолидации стран Европы, которые нашли отражение в юридической плоскости с точки зрения требований к ПДн. Страны ЕЭЗ тесно сотрудничают и работают со многими зарубежными партнерами по всему миру. Эти требования, по сути, могут применяться как к организациям, находящимся внутри ЕЭЗ, так и к их контрагентам вне зоны.

Тимур Аитов: Что же важнее — GDPR или предыдущие евродирективы?

Евгений Ким: Здесь будет некорректно говорить, что важнее, просто потому, что GDPR не должен противоречить другим директивам и законодательным актам, кроме тех, которые он прямо замещает.

В GDPR сформулированы концептуальные требования к обработке и защите ПДн; дополнительно в иерархии нормативных документов стран — членов ЕЭЗ предусмотрены и находятся в проработке более низкоуровневые требования.

Тимур Аитов, (ТПП РФ) и Евгений Ким (EY)

Тимур Аитов: Давайте напомним нашим читателям, кто попадет под это регулирование. Какие компании (прежде всего, конечно, разговор идет об игроках финансового рынка) должны очень внимательно отнестись к этой новой нормативной базе? Кроме того, вы упомянули в докладе об огромных штрафах, которые планируют взимать еврочиновники за несоответствие требованиям. Кто будет их взимать и с кого?

Евгений Ким: Это очень важные вопросы. GDPR априори применим ко всем организациям, обрабатывающим ПДн внутри ЕЭЗ. Для организаций, физически не присутствующих в ЕЭЗ, GDPR будет применим, если обработка ПДн связана со следующим:

• предложением товаров или услуг для субъектов ПДн, находящихся в ЕЭЗ (в том числе на безвозмездной основе);

• мониторингом действий субъектов2 ПДн, находящихся внутри ЕЭЗ.

Что касается штрафов, максимальный их размер составляет 20 млн евро, или 4% годового оборота компании (выбирается бÓльшая сумма). Причем, если мы говорим о дочерних юридических лицах российских компаний в ЕЭЗ, штраф будет рассчитываться исходя из оборота родительской компании.

Тимур Аитов: Учитывая ваш опыт и ваше знание темы, вы можете пояснить, как наши партнеры из ЕЭЗ будут взимать эти штрафы в России?

Евгений Ким: Согласно положениям GDPR, в странах — членах ЕЭЗ предусмотрены так называемые супервайзеры (supervisory authorities) — представители регуляторов в каждой стране. Супервайзер имеет право проводить аудит на соответствие требованиям GDPR, а также принимать решение о наложении штрафа, которое может быть оспорено через суд.

Как будут проверять и штрафовать юридические лица, которые на территории ЕЭЗ не представлены? На текущий момент не предполагается, что представители европейского регулятора будут выезжать за пределы ЕЭЗ. В итоге ответственность за проверку соответствия требованиям GDPR контрагентов лежит на организации-контролере3 , находящейся внутри ЕЭЗ. На контролера также могут быть наложены соответствующие штрафы за несоответствие требованиям GDPR.

Тимур Аитов: Это российские резиденты? Кому надо внимательно изучить этот закон?

Евгений Ким: Обратить самое пристальное внимание на GDPR рекомендуется прежде всего тем компаниям, которые предлагают услуги на территории ЕЭЗ. С точки зрения индустрий это финансовые компании, компании TMT-сектора (технологии, медиа, телеком), фармацевтические и медицинские компании, онлайн-магазины, компании, предоставляющие услуги в сфере туризма, и другие.

Тимур Аитов: Наверное, можно работать, используя обезличенную форму? Многие уже приспособились и оказывают подобные услуги, когда нет конкретного имени, отчества, фамилии и т.д.

Евгений Ким: Действительно, механизм обезличивания предусмотрен в GDPR, при этом важно быть готовым доказать регулятору, что данные, которыми оперирует организация, действительно обезличены. Согласно GDPR, называть обезличенной информацию, в которой нет фамилии, имени и отчества, но есть ID, не получится. Для этой операции существует специальный термин — «псевдонимизация», и это не полностью обезличенные ПДн.

Тимур Аитов: Кроме банков, какие еще игроки подпадают под эти требования? Очевидно, в этом списке будут те, кто обслуживает огромный входящий поток туристов или, допустим, транспортные компании. К примеру, водитель фуры, въезжающей со стороны Евросоюза, должен зарегистрироваться в личном кабинете системы «Платон».

Евгений Ким: Если отвечать кратко, то всем этим компаниям я бы рекомендовал внимательно изучить применимость требований GDPR. Для более детального ответа необходимо проанализировать процессы обработки ПДн, а также смежное законодательство, регламентирующее область деятельности каждой конкретной организации. По аналогии с требованиями российского законодательства GDPR допускает обработку ПДн в рамках смежных законодательных актов.

В системе «Платон» происходит обработка ПДн водителей грузовиков (в том числе граждан ЕС). В данном случае, исходя из определения ПДн в GDPR, информация о грузовике может подпадать под категорию ПДн соответствующего водителя. Потенциально «Платон» может подпадать под требования GDPR. Для более точного ответа на данный вопрос необходимо проанализировать применимость критериев, о которых говорил ранее.

Телеком-компании, предоставляющие услуги на территории ЕЭЗ, очевидно, подпадают, потому что по своей сути практически вся информация, которую собирают операторы, содержит ПДн, включая информацию о поведенческих паттернах абонентов по звонкам и посещаемым ресурсам через Интернет. Используя такие данные, в ряде случаев можно установить субъект ПДн.

Тимур Аитов: Евгений, а каков ваш прогноз на развитие нормативно-правовых актов, действующих в нашей стране в отношении защиты персональных данных? Я имею в виду Закон № ФЗ-152, который на сегодняшний момент многие требования и формулирует. Будет ли наш законодатель реагировать на нормы стран Евросоюза и каким-то образом опять изменять Закон № ФЗ-152, чтобы не возникало никаких вопросов о том, как будут взиматься штрафы и так далее?

Получается, что наши игроки подпадают под перекрестное действие нормативно-правовых актов разных стран. С одной стороны, у них есть наш Закон, может быть, не такой жесткий, а с другой стороны, существует регулирование Евросоюза, которое, естественно, защищает прежде всего европейцев. Будет ли наш законодатель реагировать? Если да, то чего нам надо ожидать в этой связи?

Евгений Ким (EY)

Евгений Ким: Достаточно сложный вопрос. Я думаю, что наше законодательство претерпит некоторые изменения. Не берусь сказать, насколько они будут фундаментальные и масштабные.

По сравнению с Законом № ФЗ-152 для GDPR характерен более выраженный акцент на защите прав субъектов ПДн. Это и необходимость уведомления субъекта о фактах компрометации его данных в ряде случаев, и необходимость вести реестр обработки ПДн, в котором будут указаны цели обработки, соответствующий набор ПДн, срок обработки, меры защиты и многое другое.

Пример: при обращении потенциального клиента в банк обычно его просят подписать форму согласия на обработку ПДн. При этом банк включает в форму согласия все то, что требуется нашим законодательством (цель обработки, состав ПДн, кому данные могут быть переданы и так далее). К сожалению, зачастую потенциальному клиенту через это согласие навязывают дополнительные услуги, от которых он не всегда может отказаться: используют, например, номер мобильного телефона или почтовый адрес для рассылок сообщений рекламного характера.

Тимур Аитов: Увы, здесь каждый может дополнить ваш список примеров.

Евгений Ким: В этом случае было бы логично разделить форму согласия на две части:

• согласие на обработку минимального набора ПДн, необходимых для получения услуги, например банковского обслуживания;

• согласие на обработку ПДн в других целях (маркетинг и т.п.).

Таким образом, субъекту может быть предоставлена возможность выбора, для каких целей его ПДн будут обрабатываться.

Тимур Аитов: Мне понравилась мысль, а наши законодатели вполне могли бы взять на вооружение ту идею из вашего доклада, когда человек может выгрузить из какой-либо информационной системы весь набор своих персональных данных, накопленный за годы его жизни. А потом взять эту условную флешку и перенести данные с одного места на другое, закончив тем самым всякое сотрудничество с тем оператором, с который перед этим работал. Как сложно реализовывать эту идею, если такой Закон будет принят?

Евгений Ким: Есть ряд нюансов. Во-первых, просто взять и удалить информацию из систем по первому запросу субъекта может быть невозможно, потому что по смежному законодательству (например, об архивном деле), организации обязаны хранить данные какое-то количество лет. Во-вторых, зачастую технически очень сложно и дорого удалить данные. Например, если данные записаны на магнитную ленту, которая находится в архиве, необходимо будет восстановить информацию с ленты, удалить конкретные ПДн и затем снова записать на ленту.

Тимур Аитов: Всем понятно, что стереть данные — тоже непростая задача. Она требует особого доверия к той организации, которая их стирает.

Евгений Ким: Да, здесь всегда есть тонкие моменты.

Тимур Аитов: Тогда еще один сложный вопрос. Я уже понял, что сложно прогнозировать реакцию наших законодателей. А как со стороны законодателей из стран Евросоюза? Как они эту свою нормативно-правовую базу будут озвучивать? Будут пассивно следить за тем, кто следует ей, а кто не следует? Или найдут более активную позицию, начнут «продавливать» свои нормы (потому что у них много разных путей), чтобы заставить российские компании строго следовать своей нормативно-правовой базе, не дожидаясь симметричных изменений в российском законодательстве?

Будут ли они использовать любые рычаги, в том числе и жесткие, в виде санкций? Или, может быть, это будут рычаги, связанные с тем, что мы стараемся интегрироваться с ЕC, в том числе и в их платежное пространство, а у них останется влияние, связанное именно с ограничением доступа к каким-то сервисам, в частности PSP (payment service provider)?

Все новые технологии так или иначе поддерживаются не нашими организациями. Сейчас в глазах населения ситуация выглядит так, как будто условный банк разрешил своим клиентам использовать системы мобильных платежей. Но для того чтобы эти системы функционировали, задействована целая инфраструктура, располагающаяся в том числе в странах Евросоюза, которые следят за своими провайдерами услуг, проверяют наличие необходимых сертификатов, лицензий и всего прочего.

Если они по каким-то причинам захотят отключить платежи, они смогут это сделать. Мобильные, бесконтактные платежи и прочее — все будет выключено, потому что многое находится на той стороне. Будут ли они эти рычаги использовать, к чему нам готовиться?

Евгений Ким: После вступления GDPR в силу юридические лица российских компаний, находящиеся в ЕЭЗ, могут быть проверены регулятором наравне с другими европейскими организациями. При этом нельзя исключать, что при ухудшении политических отношений между нашими странами регулятор при проверке российских организаций в ЕЭЗ может быть более субъективным.

Если рассуждать с точки зрения духа закона, то GDPR — это законодательное требование, которое должно привнести позитивный эффект в процессы обработки и защиты ПДн не только внутри ЕЭЗ, но в странах, которые работают с ЕЭЗ. При этом наша задача — убедиться в том, что GDPR гармонично сочетается с нашими локальными требованиями и соответствующие требования своевременно внедрены у наших клиентов.