Регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступит в силу 25 мая 2018 года и кардинально изменит способы сбора и использования персональных данных, поэтому европейские (и не только) компании должны полностью пересмотреть свои механизмы обработки клиентской информации. Подчеркнем, что эти требования распространяются и на многие российские компании, которые могут даже и не подозревать об этом; например, отечественный интернет-магазин может оказаться «оператором» клиентских данных посетившего его гражданина ЕС, а потому должен надлежащим образом обрабатывать, хранить и защищать их. Мы попросили специалистов отечественных ИТ-компаний пояснить, кого может реально коснуться закон в России.

Кому следует задуматься?

Андрей Янкин, заместитель директора центра информационной безопасности компании «Инфосистемы Джет», считает, что для большинства российских компаний данная тема не актуальна, но есть организации, которым все же пришлось озаботиться данным вопросом. В первую очередь это «дочки» западных организаций, а также компании, имеющие филиалы в Евросоюзе или предоставляющие сервисные услуги европейским потребителям. Последняя категория не подпадает напрямую под GDPR, но их клиентам необходимо выполнять требования регулятора, и они требуют того же от поставщиков услуг.

«Нормы GDPR конкретно коснутся тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины», – отмечает Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт» и заместитель председателя подкомитета по платежам и информационной безопасности ТПП РФ. К примеру, система «Платон», в которой зарегистрировано около 2 млн личных кабинетов, сразу подпадает под действие GDPR. В сфере внимания окажутся и те, кто намерен предоставлять свои товары и услуги в странах Европейской экономической зоны: использует для их описания европейские языки, ведет заметный (агрессивный) маркетинг в ЕЭЗ, осуществляет мониторинг поведения европейцев, анализируя его с целью подготовки прогнозов, выявления предпочтений и т. п.

По мнению Антона Боженко, архитектора управления пресейла и прототипирования центра компетенций Больших Данных компании «Техносерв», закон коснется еще и тех компаний, которые ведут регистрацию пользователей веб-ресурсов, используют адресный или интернет-маркетинг, обрабатывают большие объемы персональных данных. Например, это могут быть не только транспортные и финансовые компании, но и туроператоры или социальные сети.

Анастасия Казакова, специалист по связям с государственными органами «Лаборатории Касперского», рекомендует обратить внимание на два ключевых момента, которые подскажут, попадает ли компания под действие закона: сфера применения GDPR и определение «персональных данных» и их «обработки». Сфера применения охватывает практически все случаи, когда деятельность компании распространяется не только на территорию ЕС, но и на ее граждан.

Говоря о втором пункте, стоит отметить, что GDPR существенно расширяет определение персональных данных – теперь это любая информация, которая может прямо или косвенно идентифицировать пользователя (имя, фамилия, адрес и т. д.). Более того, закон выделяет особую категорию персональных данных – sensitive personal data, куда входят биометрические данные, указание расовой, религиозной и этнической принадлежности, философские взгляды, членство в профсоюзных и иных некоммерческих ассоциациях, данные о здоровье и сексуальной ориентации. Для обработки таких данных GDPR вводит еще более строгие правила.

«Можно выделить три типа организаций, которых коснется...

Это не вся статья. Полная версия доступна только подписчикам журнала. Пожалуйста, авторизуйтесь либо оформите подписку.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF