Весной 2016 г. Еврокомиссия приняла новый регулирующий акт Global Data Protection Regulation. Акт регулирует защиту персональных данных граждан стран-членов Европейского Союза. Ключевая для российского бизнеса особенность этого акта в его экстерриториальности. То есть к любому российскому бизнесу, собирающему и обрабатывающему персональные данные хотя бы одного гражданина страны-члена ЕС, могут быть применены GDPR-штрафы.
Штрафы эти очень серьезны — от предупреждения (в случае первого нарушения) до 20 млн. евро (примерно полтора миллиарда рублей) или 4% глобального дохода — в зависимости от того что выше.
GDPR содержит существенное число требований, например, только обеспечение переносимости всех персональных данных (data portability) может вылиться в миллиардные затраты в масштабах страны. Российский бизнес казалось бы имеет альтернативу — просто не предлагать гражданам ЕС свои услуги в России, но как минимум два класса российских компаний точно подпадут под GPDR:
· энергетические и финансовые гиганты, имеющие отделения в Европе;
· интернет-компании, т. к. GPDR распространяется и на мониторинг активности граждан ЕС, а значит банальное использование cookies рекламными сетями уже подводит интернет-индустрию России под GDPR.
Для понимания значимости GDPR-риска проведем грубую оценку возможных потерь для десяти крупнейших компаний российской экономики, которые вероятно подпадут под GDPR: «Яндекс» (интернет-компания), «Альфа-банк» (инвестбанковские активы в Европе), «Газпром» (АЗС в Восточной Европе), «Сбербанк» (банковский холдинг Sberbank Europe), ВТБ (банки в Восточной Европе), «Лукойл» (активы в Восточной Европе), «Роснефть» (активы в Европе), РЖД (представительство в Европе и онлайн-продажа билетов), «Аэрофлот» (представительство в Европе и онлайн-продажа билетов), «ИнтерРАО» (активы в Европе). По данным последнего рейтинга РБК 500 их совокупная выручка достигла 20,145 трлн. руб., соответственно, их суммарный GDPR-риск составляет 806 млрд. руб.
Отметим, что свои товары и услуги в Европе предлагает не один десяток крупных российских бизнесов, в частности, практически каждая крупная финансовая группа имеет свое инвестбанковское подразделение и/или подразделение управления частным капиталом на Кипре или в Великобритании.
Из-за антиофшорного законодательства многие российские бизнесмены становятся резидентами ЕС, получая гражданство либо вид на жительство, что так же подводит их инвестиционные фонды и семейные офисы под GDPR.
Похоже, compliance наносит ответный удар, отвоевывая пошатнувшиеся в последнее время под натиском инцидентов и хакеров позиции. Ограничение корпоративной ответственности в сфере защиты конфиденциальных данных снова станет ключевым вопросом для менеджмента российских организаций. Тем более что среди требований GDPR — раскрытие информации об утечках информации, а значит бизнес увидит реальный масштаб проблем в кибербезопасности. Например, в СМИ Великобритании традиционно широко обсуждается большое количество утечек данных, при этом спрос на специалистов по кибербезопасности в Великобритании, по данным портала ISACA, больше, чем во всех остальных странах ЕС.
Обязанность раскрытия информации об утечках, возможное обсуждение факта утечки в СМИ может принести не меньше ущерба бренду компании и репутации ее руководства, чем финансовые санкции.
GDPR де факто вступает в силу в мае 2018 г., так что время на выполнение требований и повышение реального уровня кибербезопасности еще есть.
Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член ISACA, ASIS, ACFE.