GDPR вступает в силу через полгода: что это значит для российского бизнеса

25 мая 2018 года в Европейском союзе вступает в силу General Data Protection Regulation - GDPR. До этого момента осталось меньше шести месяцев, а большинство российских компаний, которых это касается, ещё не начали готовиться.

Я пишу не для того, чтобы создать панику. Я пишу для того, чтобы обозначить, кого это касается, что реально нужно сделать, и чего делать не нужно.

Кого это касается - честно

GDPR касается любой организации, которая обрабатывает персональные данные граждан ЕС - вне зависимости от того, где сама организация находится. Это означает:

• интернет-магазины, продающие товары европейским покупателям;
• SaaS-сервисы с европейскими пользователями;
• компании с офисами или сотрудниками в странах ЕС;
• российские компании, которые обрабатывают данные европейских партнёров или клиентов в рамках B2B-договоров.

Если у вас нет ни одного европейского пользователя, клиента или сотрудника - GDPR вас не касается. Но если есть хоть один - нужно разобраться.

Важный нюанс: GDPR применяется к данным граждан ЕС, а не к данным, обрабатываемым на территории ЕС. Гражданин Германии, который пользуется вашим российским сервисом через российский IP - его данные попадают под GDPR.

Что GDPR реально требует

Это не просто "подписать бумажки". Ключевые требования:

Законное основание для обработки. Каждая операция с персональными данными должна иметь одно из нескольких законных оснований - согласие, договор, законный интерес и другие. Согласие должно быть явным, информированным и легко отзываемым.

Права субъектов данных. Пользователь имеет право знать, какие данные о нём хранятся, требовать их изменения, требовать удаления ("право на забвение"), требовать передачи данных в машиночитаемом формате.

Уведомление о нарушениях. При утечке данных организация обязана уведомить регулятора в течение 72 часов. В ряде случаев - уведомить самих субъектов данных.

Data protection by design. При разработке новых систем нужно учитывать требования по защите данных изначально, а не добавлять их потом.

Назначение DPO (Data Protection Officer) для ряда организаций. Это не обязательно для всех, но для организаций, обрабатывающих данные в больших объёмах или работающих с чувствительными категориями данных - обязательно.

Что не нужно делать

Не нужно немедленно нанимать юридическую фирму и начинать глобальный проект. Большинство российских компаний, которые формально подпадают под GDPR, работают с небольшим числом европейских пользователей в рамках стандартных SaaS-продуктов. Для них задача решается через обновление политики конфиденциальности, настройку форм согласия и базовые технические меры.

Штрафы по GDPR могут быть значительными (до 4% годового оборота или 20 миллионов евро), но регулятор в первую очередь идёт к крупным игрокам и организациям, которые игнорируют требования системно. Компания, которая делает осознанные усилия по соответствию, находится в принципиально другой позиции, чем та, которая ничего не делала.

С чего начать прямо сейчас

1. Определить, есть ли у вас европейские пользователи, клиенты или сотрудники - и в каком объёме.
2. Провести инвентаризацию: какие персональные данные граждан ЕС вы обрабатываете, где они хранятся, как используются.
3. Проверить, есть ли законное основание для каждой операции с этими данными.
4. Обновить политику конфиденциальности и механизм получения согласия.
5. Проверить, есть ли у пользователей техническая возможность реализовать свои права - запросить данные, изменить, удалить.

Шесть месяцев - достаточно, чтобы привести базовые вещи в порядок. Недостаточно, чтобы перестроить всю архитектуру. Начинать стоит с понимания масштаба задачи.