На чужой территории: как российскому бизнесу защищать данные пользователей
Несоблюдение закона ЕС о персональных данных обошлось для Uber в €1 млн штрафов, Facebook (соцсеть признана в РФ экстремистской и запрещена) — в 0,5 млн фунтов стерлингов. Что следует делать российским игрокам, которые работают на европейском рынке?
Общий регламент по защите данных (GDPR) в Евросоюзе вступил в силу полгода назад. Этого времени хватило бизнесу в России, чтобы пройти стадии отрицания и гнева. Вместе с тем, от перехода к стадии принятия — то есть планированию и внедрению GDPR бизнес останавливает в основном два обстоятельства: неочевидность рисков применения санкций к компаниям в России и сложность однозначного определения периметра экстерриториального применения GDPR. Давайте разберемся, верны ли эти опасения.
Стоит ли бизнесу в России опасаться GDPR-санкций, если еще ни одна российская компания не была оштрафована? Да, определенно стоит. Хотя практические риски во многом зависят от типа бизнеса. Если это B2C сегмент, то риск принципиально выше. Ведь основным триггером рисков санкций являются клиенты, пользователи или работники.
Все чаще в европейских СМИ появляются новости о последствиях несоблюдения европейского регулирования о персональных данных. Например, недавно британский и голландский регуляторы наложили на Uber штрафы, суммарно свыше €1 млн. А ранее Facebook (соцсеть признана в РФ экстремистской и запрещена) оштрафовали на максимально возможные 0,5 млн фунтов стерлингов. И ведь это штрафы, рассчитанные еще по старому регулированию, пределы ответственности по которому были принципиально ниже установленных GDPR. Поэтому в первом полугодии 2019 года нас вероятно ждут новости о наложении действительно «устрашающих» штрафов.
В то же время эксперты разделяют мнение, что европейские регуляторы в ближайший год не приступят к полноценному контролю за неевропейскими компаниями, поскольку сосредоточены над наведением порядок внутри Евросоюза. Действительно, по GDPR были оштрафованы только европейские компании, и нет ярких примеров экстерриториальной ответственности. Однако уже осенью этого года в отношении AggregateIQ, небольшой канадской IT-компании, было вынесено предписание прекратить обработку персональных данных британцев, несовместимую с заявленными целями. С подобной ситуацией могут столкнуться и российские компании. Например, пользователь ВКонтакте пожаловался польскому регулятору на социальную сеть за нарушение его прав. Кроме этого, с учетом геополитической обстановки нельзя исключать риски особого внимания именно к российским компаниям, как со стороны регуляторов, так и клиентов/пользователей.