Российским банкам и сотовым операторам придется выполнять новые требования ЕС о защите данных

7 марта 2018 года

25 мая на территории Евросоюза вступит в силу Общий регламент о защите данных (GDPR), чье действие будет распространяться и на организации, находящиеся за пределами ЕС, включая банки и сотовых операторов, клиенты которых будут использовать в Европе платежные карты и связь в роуминге. Как пишет РБК, об этом на прошедшем в Москве мероприятии «GDPR в России: 100 дней до вступления в силу» сообщил старший юрист мюнхенского офиса юридической фирмы Baker McKenzie Флориан Таннен.

«Каждый банк, который делает карты, которыми можно пользоваться в Европе, подпадает под регламент технически, то есть это все российские банки», - отметил Таннен.

Отметим, что GDPR обязывает компании, которые используют персональные данные лиц, находящихся на территории ЕС, хранить эти данные в обезличенном и зашифрованном виде, обеспечивать их защиту от утечек, не передавать третьим лицам и информировать граждан и органы власти о любой утечке информации в течение 72 часов после обнаружения. Помимо этого, компании должны предоставлять клиентам понятную информацию о правилах обработки их данных, брать согласие на обработку данных, а также предоставлять возможность отказаться от передачи данных без ущерба для совершения действий. Нарушителям требований GDPR грозит штраф в размере до 20 млн евро или 4% годового оборота.

По словам эксперта в области защиты персональных данных PwC в России Дмитрия Бирюкова, выпуск карт международных платежных систем и предоставление услуг роуминга действительно могут обязать компании выполнять требования регламента ЕС.

«Здесь крайне важно смотреть на процессы в конкретной организации. Важно понимать, как организован обмен данными с поставщиками услуг в Европе: как и каким образом эквайеры передают данные российским эмитентам, какова роль международных платежных систем в этих процессах, какие данные передает оператор гостевой сотовой сети в ЕС оператору связи на территории России и др.», - пояснил Бирюков.

По его словам, компаниям, на которые могут распространиться требования GDPR, необходимо провести аудит в сфере обработки данных, после которого им может потребоваться обновление политики обработки и получения согласий на передачу персональных данных, внедрение новых принципов защиты данных, а также обеспечение гражданам «права на забвение» и переносимости данных.

«Кроме того, им может потребоваться внедрить процедуры управления инцидентами в области обработки и защиты персональных данных, учитывающие установленные ЕС сроки предоставления отчетов регулирующим органам. В реальной ситуации набор необходимых шагов будет в той или иной мере отличаться от компании к компании», - подытожил Бирюков.

Ранее представители «Сбербанка», ВТБ и «Альфа Банка» сообщили РБК, что анализируют положения GDPR и готовятся к его вступлению в силу. В частности, «Сбербанк» в конце прошлого года объявил закупку услуг по аудиту собственных практик обработки персональных данных и получению рекомендаций о том, каким образом привести их в соответствие с новыми требованиями.

В свою очередь, пресс-секретарь «ВымпелКома» (бренд «Билайн») Анна Айбашева сообщила, что компания «изучает потенциальное воздействие положений документа на бизнес». В пресс-службе «МегаФона» отметили, что оператор исполняет требования применимого законодательства, в том числе по защите персональных данных, а представитель МТС не ответил на запрос журналистов.

По словам юриста практики по интеллектуальной собственности московского офиса Baker McKenzie Вадима Перевалова, в настоящее время сложно сказать, как GDPR будет работать на практике, поскольку его требования формально распространяются на очень многие компании.