- Регламент, принятый Европейским парламентом, коснется всех компаний, которые имеют выход на европейский рынок, - рассказала "РГ" юрист "Конструктор документов FreshDoc.ru" Алина Тухватуллина. - Но есть оговорки: чтобы быть "подведомственной" Регламенту, организация должна продавать товары или услуги европейцам, используя при этом язык соответствующей страны ЕС или принимая платежи в ее валюте.
Косвенно новые правила затронут и другие страны, чьи компании имеют активы на территории ЕС или ведут бизнес, предполагающий трансграничную передачу и обработку персональных данных граждан ЕС (интернет-торговля, "облачные" услуги и т.п.), уточнил эксперт по информационной безопасности компании КРОК Евгений Дружинин.
По словам эксперта, компании и организации, подпадающие под действие этого закона, должны будут обеспечить соответствие новым требованиям по защите персональных данных, что неминуемо повлечет за собой необходимость внедрения дополнительных технических и организационных мер защиты.
К примеру, правилами предусматривается, что для использования персональных данных должно быть получено согласие пользователя, а в отношении детей до 16 лет обязательное согласие требуется со стороны родителей. "Персональные данные принадлежат пользователю, и он должен иметь возможность упрощения доступа к ним, а также возможность забрать свои данные у одного поставщика и передать их другому, - уточняет Алина Тухватуллина. - Кроме того, уточняется "право на забвение": у пользователей появится возможность стереть данные, ранее предоставленные сервису.
Основной целью новых регламентов является унификация технологии обработки и хранения персональных данных, уверен аналитик "Доктор Веб" Павел Шалин. Он считает, что стандарты были разработаны в первую очередь с акцентом на социальных сетях и облачных технологиях.
За несоответствие требованиям GDPR компании ждут серьезные штрафы. "Оператора, в зависимости от характера нарушения, ждет штраф до 20 миллионов евро", - пояснила Алина Тухватуллина. Компании будут нести и репутационные риски, когда публично станет известно, что у них произошла утечка информации. "А репутационные риски хуже, чем финансовые, - сообщил "РГ" управляющий компании "Телеком-Биржа" Александр Вахтин. - Внедрение новых правил будет болезненно для бюджета компаний. С точки зрения критериев безопасности они пока содержат общие нормы, которые еще не позволяют говорить о реальной информационной защите".
Существенная новация GDPR - это ужесточение ответственности за инциденты и привязка ее к доходу компании. Директор по развитию бизнеса Stack Group Владимир Лебедев уверен, что если в рамках этой директивы в России будут приняты нормативные акты, ужесточающие ответственность подобным образом, то это скажется на инвестициях операторов персональных данных в проекты по защите, а также увеличится спрос на услуги по аутсорсингу защиты персональных данных со стороны профессиональных сервис-провайдеров ИТ-инфраструктуры.
Правила ЕС не являются чем-то принципиально новым, уверенно заявляет ведущий вирусный аналитик ESET Russia Артем Баранов. По его словам, схожие инициативы рассматриваются или уже приняты в России, США, Китае и других странах.
Ряд экспертов полагает, что Европейский регламент о защите персональных данных может вступить в коллизию с действующими российскими нормами. Для соответствия новому законодательству компаниям придется решить массу организационных вопросов. Возможно, ввести многоступенчатую аутентификацию для доступа к сервисам. В России защите личных сведений тоже уделяется серьезное внимание, как рассказала управляющий партнер BLS Елена Кожемякина, все организации и компании любого вида деятельности и собственности в нашей стране являются операторами персональных данных. Причем персональными данными, как сообщил Павел Мельников, являются не имейл или адрес пользователя, а ФИО, должность и дата рождения человека. Каждый человек имеет право отозвать указанную им информацию о себе. "Если вдруг человек передумает и захочет отозвать свое согласие на обработку персональных данных, то для этого ему придется отправить письменный запрос на адрес оператора в порядке, установленном ст. 21 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", - пояснил Павел Мельников. Оператор в течение 30 дней с даты получения отзыва от пользователя должен уничтожить персональные данные субъекта".
По мнению Павла Шалина, российские компании без давления со стороны регуляторов не всегда должным образом заботятся о защите своей информационной инфраструктуры. Новации в законодательстве заставят компании незамедлительно сообщать о кибератаках и компрометации данных. Эксперты сходятся в одном: обязанность информировать об утечках данных должна привести к радикальным мерам защиты обработки персональных данных.