Фото Mike Segar / Reuters
Принято считать, что требования российского закона о персональных данных довольно жесткие, а его изменения направлены на постепенное «закручивание гаек». Но давайте сравним с США и Европой
Закон о персональных данных в том или ином виде есть в большинстве стран. Мы столкнулись с этим, когда начали активно работать с компаниями из Китая, Сингапура, Австралии, а также странами Латинской Америки, арабского региона и, конечно, Европы. У каждого государства закон о персональных данных называется по-своему, и где-то он выделен отдельно, а в других случаях представляет из себя часть другого закона. Часто вопрос защиты персональных данных и коммуникаций компаний с пользователями попадает под закон о рекламе или в медицинском законодательстве (запрещает разглашать персональные данные пациентов).
Суть закона о персональных данных — это выстраивание отношений между тремя субъектами права: физическими лицами, компаниями и посредниками. Эти и другие понятия почти во всех странах одинаковые и базируются они на конституционных правах граждан этих стран на анонимность и неприкосновенность частной жизни, а также на заключенной в Страсбурге в 1981 году «Конвенции о защите физических лиц при автоматизированной обработке персональных данных».
Отличается же не сам закон, а его правоприменение, потому что практика применения и последующего судопроизводства для бизнеса и простых людей определяют, насколько он удобен.В США защита персональных данных на федеральном уровне регулируется в отдельных отраслях. Например, закон о торговле финансовыми инструментами запрещает публиковать данные, связанные с покупкой акций, закон о страховых агентах запрещает обнародовать информацию о застрахованных людях.
- Uber пытался скрыть атаку хакеров, укравших данные 57 млн клиентов и водителей
Специального федерального закона о персональных данных, который бы регулировал их защиту, в США нет, он есть только в отдельных штатах, например, в Калифорнии, Массачусетсе или в округе Колумбия.Там же, в Кремниевой Долине, Гарварде и Массачусетском Техническом Университете (MIT), сконцентрировано большинство IT-компаний, которые и попадают под действие этого закона.
В Европе за последние два года произошло два громких события: сначала суд в Люксембурге признал недействительным заключенное между ЕС и США соглашение «Безопасная гавань» (Safe Harbour) об обмене данными в коммерческих целях. Оно позволяло крупнейшим компаниям США хранить данные о европейских пользователях на своих серверах, не нарушая законодательство ЕС в сфере защиты персональных данных. Чтобы облачные компании могли легально обрабатывать данные европейских граждан в США, было заключено соглашение US-EU Privacy Shield, представляющее из себя не столько закон, сколько механизм для компаний с обеих сторон, который помогает избежать взаимных претензий.
Документ этот был составлен в США, однако Трамп не особенно спешит окончательно подписывать его. Тем более, как уже говорилось, в США нет единого федерального закона, так что каждый штат хочет иметь возможность вносить свои правки в соглашение. Все это только усложняет работу американских компаний, которые пока вынуждены переносить данные своих пользователей в Европу.
Почему Россия — не Европа
Второе важное европейское событие – новое постановление о защите ПД General Data Protection Regulation (GDPR), которое вступит в силу уже в мае 2018 года. В случае с GDRP, сам закон не идеален, но видно, что над ним трудились многие люди, и в нем учтена экспертиза рынка: там дано больше современных технологических определений (например, в нем фигурирует «дата процессор»). В российской версии до сих пор фигурируют ЭВМ, а в первой редакции были нереализуемые (или не отслеживаемые) пункты: например, территориальный принцип перемещения (не хранения!) информации, когда данные не должны были физически покидать территорию РФ. При этом это технически это контролировать невозможно, так как интернет-провайдер может настроить маршрутизацию трафика, что он будет «ходить» через Амстердам.
- Google под ударом. Размер коллективного иска в Великобритании может превысить $1 млрд
Почему у них получилось, а у нас пока нет? Европейский рынок — один из самых больших и интересных для электронных компаний — китайских, американских или российских, — поэтому важные изменения в сфере защиты персональных данных подталкивают мировые корпорации серьезно относиться к вопросу соблюдения нового европейского постановления. В Европе глобальные вендоры более активно включены в работу по Privacy Shield, поставщики услуг для глобальных вендоров подготовили для них инфраструктуру.
Россию же обошли стороной практически все глобальные вендоры, а наш закон о персональных данных только-только принимает внятную форму, появляются комментарии разных лиц и только по судебной практике становится понятно, что в итоге происходит. Многие российские организации чисто технически не способны соблюдать этот закон. Например, его нарушают ЖЭКи, вывешивающие в подъездах списки должников. Такого рода нарушения происходят в России сплошь и рядом.
Бизнес готовится к новым реалиям
Европейское постановление 2018-го года предоставит пользователям гораздо более широкие права по контролю над собственными данными, чем те, которые на данный момент существуют в США. И некоторые американские корпорации заявляют о готовности соблюдать эти права. Amazon Web Services, например, сообщает на сайте, что «к моменту вступления GDPR в силу 25 мая 2018 года все сервисы AWS будут соответствовать требованиям этого закона». IBM, Microsoft Cloud и другие компании также сообщают о своей готовности встретить новое постановление.
Впрочем, не все IT-гиганты способны быстро подстроиться под новые законы и соглашения. Некоторые CRM-решения, которые используются в глобальных компаниях, разрабатывались еще в начале двухтысячных, когда проблемы защиты персональных данных еще даже не стояло. Поэтому ее решение не заложено в эти CRM на функциональном уровне.
Для мелкого и среднего бизнеса эта проблема еще острее, особенно если сфера его деятельности лежит вне IT. Здесь новые постановления могут в принципе свести на нет все преимущества масштабирования бизнеса, потому что соблюдение законов разных стран потребуют непомерных затрат.
Возьмем, для примера, небольшую американскую пиццерию. Данные о покупателях администраторы пиццерии всегда хранили на американских серверах, маркетологи брали их оттуда и использовали в своих целях — сделать рассылку, провести опрос, поздравить клиентов и прочее. Пиццерия вышла на европейский или российский рынок, и перед администраторами встала задача данные соответствующих покупателей хранить на территории их страны.
Более того, не обязательно выходить на рынок, чтобы попасть под действие местного закона о персональных данных, достаточно иметь клиентов из этой страны, как это бывает с отелями и сервисами бронирования. Если у сайта есть версия на русском языке, домен в зоне .ru (даже если он перенаправляет на .com или ru.domain.com), а также возможность оплаты в рублях, то согласно комментариям Роскомнадзора к «Закону о персональных данных», сайт «ориентирован на работу с российскими клиентами», а значит обязательно должен хранить данные российских клиентов в России.
Что делать? Арендовать сервера и пройти весь документооборот в каждой стране? Найти в каждой стране своего подрядчика, который возьмет на себя решение этих проблем? Для бизнеса это большие расходы.
Те же вопросы стоят перед компаниями, работающими в самых разных сферах: в авиаперевозках, в сфере бронирования отелей, во многих других, в частности, в сфере автоматизации программ лояльности. Главное, на что обращают внимание органы, контролирующие соблюдение законов и соглашений о персональных данных — это на страну, на которую ориентирован бизнес. Если у компании есть версия сайта на французском языке, есть домен во французской зоне fr. и платежи она принимает в евро, то это однозначно говорит о том, что сайт ориентирован на работу с персональными данными европейцев. Значит, компания обязана хранить эти данные в соответствии с европейскими законами.
В России любая компания на сегодняшний день считается оператором персональных данных, ведь как минимум она собирает и обрабатывает данные собственных сотрудников. Но российское законодательство, естественно, нацелено на защиту прав только соотечественников. Полагаю, что уже в самом ближайшем будущем перед большинством компаний встанет вопрос соответствия законам о защите данных всех тех стран, граждане которых становятся клиентами, партнерами или сотрудниками компании.
Новые тренды
Во-первых, растет популярность локальных игроков, приспособившихся к законам своей страны. Например, локальный рынок Китая очень хорошо отреагировал на закрытие в стране Google, Facebook и Twitter. Почти сразу здесь были созданы собственные IT-гиганты, которые впоследствии вышли за пределы страны. В России похожая ситуация с той лишь разницей, что у нас изначально на рынке присутствовали сильные игроки: «Яндекс» со своими продуктами «Такси», «Музыка» и «Карты», Mail.ru и другие. В последние годы политика импортозамещения распространилась и на IT-рынок, например, начали развиваться офисные пакеты. В структуре доходов Microsoft это очень большая доля.
У европейских стран нет столь жестких целей, как у Китая или России, но, преследуя цель защиты персональных данных, они в любом случае стараются лоббировать именно местные компании.
Во-вторых, появляется новое поколение облачных сервисов, которые стараются заменить глобальные сервисы старого образца. Чем дальше, тем выше будет спрос на любое решение, которое изначально, «из коробки» сможет работать с законами о хранении данных сразу многих стран.