Петербургские компании, чьи услуги ориентированы на европейских рынок, не озаботились выполнением требований нового европейского регламента по защите персональных данных — General Data Protection Regulation (GDPR). Спустя почти четыре месяца после принятия GDPR лишь одна из пяти российских компаний, которые подпадают под эти требования, рассматривает возможность их выполнения. Юристы объясняют, что российские компании могут оценивать затраты на выполнение требований GDPR выше, чем риски юридической ответственности за их нарушение.
GDPR, который предоставляет гражданам Евросоюза инструменты для полного контроля над своими персональными данными, вступил в силу 25 мая 2018 года. Регламент предполагает, что защитные меры принимаются независимо от национальности и места жительства субъекта персональных данных. Таким образом, GDPR напрямую затрагивает российский бизнес, чьи услуги ориентированы на европейский или международный рынки. За невыполнение требований GDPR на компании накладывается штраф до €20 млн или до 4% от годового мирового оборота за предыдущий финансовый год — в зависимости от того, что больше.
Под действие GDPR подпадают многие российские компании из самых разных отраслей, в первую очередь это банки, телекоммуникационные компании, медицинские учреждения, экспортеры ресурсов и товаров массового потребления, учебные заведения, а также целый ряд государственных структур. Однако большинство российских и в частности петербургских компаний пока всерьез не озаботилось вопросом соответствия этим требованиям, рассказал "Ъ" замгендиректора ООО "Газинформсервис" (системный интегратор в области безопасности) Александр Погребной.
"Если проанализировать более сотни запросов по направлению GDPR, которые мы получили с начала года, то можно отметить, что только одна из пяти обратившихся организаций всерьез занимается проработкой этого вопроса. В основном к передовикам относятся крупный бизнес и государственные структуры",— говорит господин Погребной. По его словам, если в ближайшее время не будет "громких" наказаний за несоответствие GDPR, то реальных заказов можно ожидать от 150-200 организаций в ближайшие два-три года. Емкость этого рынка на данную перспективу он оценивает в 2-3 млрд рублей.
Из практики "Газинформсервиса", аудит на соответствие GDPR стоит от 1 млн рублей, разработка соответствующей системы защиты информации "под ключ" — 10-30 млн рублей. "Тем компаниям, которые уже обеспечили свое соответствие требованиям 152-ФЗ "О персональных данных", надо выполнять гораздо меньше мероприятий для соответствия GDPR, так как ряд требований дублируется",— отметил господин Погребной.
На внедрение системы защиты информации в соответствии с GDPR уйдет год, рассказал "Ъ" Алексей Митюшов, директор по информационной безопасности финской энергетической компании, которая имеет офисы в Москве и Петербурге. "У нас была организована рабочая группа из специалистов по кибербезопасности, HR-специалистов и юристов. Были разработаны 35 внутренних нормативных документов на основе требований GDPR. Самый главный документ — политика обработки персональных данных. Он принят по аналогии со 152-ФЗ, но учитывает все-таки требования европейских регуляторов",— сказал он.
Юрист практики "Интеллектуальная собственность и информационные технологии" юрфирмы "Борениус" Алексей Грибанов видит несколько причин, почему российские компании не выполняют требования GDPR. "Многие российские компании могут оценивать затраты на выполнение требований GDPR выше, чем риски юридической ответственности за их нарушение. Это связано с тем, что в настоящее время отсутствуют прецеденты наказания российских компаний за нарушение GDPR. Некоторые компании могут рассчитывать, что европейцам может быть сложно привлечь их к ответственности, поскольку они находятся в другой стране и не имеют активов в Европе",— поясняет господин Грибанов.
Кроме того, по его словам, на сегодняшний день GDPR пока не заработал в полной мере. "Некоторые европейские страны все еще не приняли законы, которые дают местным органам власти полномочия, предусмотренные GDPR. В таких случаях эти органы уже получают жалобы граждан со ссылками на GDPR, но пока не могут их рассматривать из-за отсутствия полномочий на уровне национального законодательства",— говорит юрист. Он подчеркивает, что большие штрафы, скорее всего, будут взыскиваться только при самых серьезных нарушениях.