Госбанк, возглавляемый Германом Грефом, потратит 67 млн рублей на изучение новых норм Евросоюза по обработке персональных данных

Кирилл Седов

Сбербанк готов заплатить 67,4 млн руб. за аудит собственных практик обработки персональных данных, а также за рекомендации насчет того, как привести их в соответствие с требованиями Евросоюза (ЕС), следует из материалов на сайте госзакупок.

Зачем это Сбербанку

С мая 2018 года в ЕС вступит в силу новый регламент о защите данных (General Data Protection Regulation, GDPR).

В соответствии с ним, компания, например, запрашивая согласие клиента на обработку его данных, обязана указать, в каких целях она собирает эти данные, и в дальнейшем обязана обрабатывать только те данные, которые соответствуют заявленной цели. Сбор данных в иных целях будет серьезным нарушением. Также GDPR предполагает, что компании должны быть готовы предоставить сведения о том, как они распоряжаются данными европейских граждан, а также уничтожить их по запросу. Кроме того, оператор персональных данных должен в течение 72 часов уведомить надзорные органы об утечке таких данных, если она произошла.

Что хочет знать Сбербанк

Банк требует от подрядчика сравнить требования GDPR с требованиями российского законодательства к обработке персональных данных и оценить риски нарушения своими структурами российского и европейского законов, а также потенциальный вред, который может быть причинен в результате таких действий.

Регламент — это «ящик Пандоры», который откроется весной следующего года, предупреждают эксперты. Требуется детально изучить, как будет применяться GDPR на практике, и в чем именно состоят его требования, пока же это «темный лес» для большинства компаний и наблюдателей, объясняет исполнительный директор Heads Consulting Никита Куликов. Сбербанк решил подстраховаться и быть готовым ко всем неожиданностям применения GDPR, для европейских дочек банка данное исследование и его выводы будет фактически руководством к действию, считает он.

Дело в том, что нарушение регламента, в том числе иностранными компаниями, может повлечь за собой серьезные штрафы — до 20 млн евро или до 4% от годовой глобальной выручки в зависимости от того, какая сумма окажется больше.

Совокупный доход группы Сбербанка за 2016 г. составил 492,4 млрд руб., а значит, в потенциальный штраф для российского госбанка может достигать 17 млрд руб.

В связи с присутствием компаний группы Сбербанка в ЕС, необходимо тщательно изучить GDPR и подготовиться к вступлению закона в силу, сообщил «Открытым медиа» представитель банка. Результаты выбора подрядчика будут опубликованы позже, обещает он. Судя по материалам госзакупки, претендентов на выполнение заказа двое — это известные международные консалтинговые компании KPMG и EY.

Защита для всех

Под действие GDPR подпадают не только персональные данные граждан ЕС, он защищает данные всех лиц, находящихся на территории ЕС (резидентов, туристов, беженцев и т. д), отмечает представитель Сбербанка. Поэтому требования GDPR могут распространяться на российскую компанию, даже если она оказывает услуги жителям Евросоюза через интернет, например, как интернет-магазин, отмечает представитель Сбербанка.

Сбербанк попадет под действие GDPR по многим основаниям, уточняет партнер консалтингового агентства по информационной безопасности «Емельянников, Попова и партнеры» Михаил Емельянников.

Во-первых, дочерние банки и подразделения Сбербанка помимо России и Белоруссии работают в десяти европейских странах. Sberbank Europe AG, европейская «дочка» Сбербанка, обслуживает более 673 тысяч корпоративных и частных клиентов, говорится в отчете группы за 2016 г.

Во-вторых, регламент будет распространяться на клиентов Сбербанка, посещающих ЕС и пользующихся там банковскими картами, данных об их транзакциях поступают в Россию для анализа и обработки, рассказывает представитель банка. В-третьих, банк ведет фрод-мониторинг — отслеживает транзакции своих клиентов на предмет мошенничества, в том числе и за пределами России, добавляет Емельянников.

В такой же ситуации окажутся другие российские банки, да и вообще все компании, имеющие дело с данными людей, находящихся в Европе, предупреждает Емельянников.

Закупка Сбербанка — первое публичное подтверждение беспокойства крупных российских компаний по поводу требований европейских регуляторов, отмечает он. Желание разобраться есть и у других компаний, но оно пока никак не проявляется: все понимают, что выполнять требования надо, но в тоже время надеются, что ситуация как-то сама собой наладится, продолжает эксперт.

Представители других российских госкомпаний, ведущих бизнес в Евросоюзе, не ответили «Открытым медиа», как будут готовиться к новым требованиям европейского законодательства о персональных данных.