Кирилл Седов
Сбербанк готов заплатить 67,4 млн руб. за аудит собственных практик обработки персональных данных, а также за рекомендации насчет того, как привести их в соответствие с требованиями Евросоюза (ЕС), следует из материалов на сайте госзакупок.
С мая 2018 года в ЕС вступит в силу новый регламент о защите данных (General Data Protection Regulation, GDPR).
В соответствии с ним, компания, например, запрашивая согласие клиента на обработку его данных, обязана указать, в каких целях она собирает эти данные, и в дальнейшем обязана обрабатывать только те данные, которые соответствуют заявленной цели. Сбор данных в иных целях будет серьезным нарушением. Также GDPR предполагает, что компании должны быть готовы предоставить сведения о том, как они распоряжаются данными европейских граждан, а также уничтожить их по запросу. Кроме того, оператор персональных данных должен в течение 72 часов уведомить надзорные органы об утечке таких данных, если она произошла.
Что хочет знать Сбербанк
Банк требует от подрядчика сравнить требования GDPR с требованиями российского законодательства к обработке персональных данных и оценить риски нарушения своими структурами российского и европейского законов, а также потенциальный вред, который может быть причинен в результате таких действий.
Регламент — это «ящик Пандоры», который откроется весной следующего года, предупреждают эксперты. Требуется детально изучить, как будет применяться GDPR на практике, и в чем именно состоят его требования, пока же это «темный лес» для большинства компаний и наблюдателей, объясняет исполнительный директор Heads Consulting Никита Куликов. Сбербанк решил подстраховаться и быть готовым ко всем неожиданностям применения GDPR, для европейских дочек банка данное исследование и его выводы будет фактически руководством к действию, считает он.
Дело в том, что нарушение регламента, в том числе иностранными компаниями, может повлечь за собой серьезные штрафы — до 20 млн евро или до 4% от годовой глобальной выручки в зависимости от того, какая сумма окажется больше.
Совокупный доход группы Сбербанка за 2016 г. составил 492,4 млрд руб., а значит, в потенциальный штраф для российского госбанка может достигать 17 млрд руб.
В связи с присутствием компаний группы Сбербанка в ЕС, необходимо тщательно изучить GDPR и подготовиться к вступлению закона в силу, сообщил «Открытым медиа» представитель банка. Результаты выбора подрядчика будут опубликованы позже, обещает он. Судя по материалам госзакупки, претендентов на выполнение заказа двое — это известные международные консалтинговые компании KPMG и EY.
Под действие GDPR подпадают не только персональные данные граждан ЕС, он защищает данные всех лиц, находящихся на территории ЕС (резидентов, туристов, беженцев и т. д), отмечает представитель Сбербанка. Поэтому требования GDPR могут распространяться на российскую компанию, даже если она оказывает услуги жителям Евросоюза через интернет, например, как интернет-магазин, отмечает представитель Сбербанка.
Сбербанк попадет под действие GDPR по многим основаниям, уточняет партнер консалтингового агентства по информационной безопасности «Емельянников, Попова и партнеры» Михаил Емельянников.
Во-первых, дочерние банки и подразделения Сбербанка помимо России и Белоруссии работают в десяти европейских странах. Sberbank Europe AG, европейская «дочка» Сбербанка, обслуживает более 673 тысяч корпоративных и частных клиентов, говорится в отчете группы за 2016 г.
Во-вторых, регламент будет распространяться на клиентов Сбербанка, посещающих ЕС и пользующихся там банковскими картами, данных об их транзакциях поступают в Россию для анализа и обработки, рассказывает представитель банка. В-третьих, банк ведет фрод-мониторинг — отслеживает транзакции своих клиентов на предмет мошенничества, в том числе и за пределами России, добавляет Емельянников.
В такой же ситуации окажутся другие российские банки, да и вообще все компании, имеющие дело с данными людей, находящихся в Европе, предупреждает Емельянников.
Закупка Сбербанка — первое публичное подтверждение беспокойства крупных российских компаний по поводу требований европейских регуляторов, отмечает он. Желание разобраться есть и у других компаний, но оно пока никак не проявляется: все понимают, что выполнять требования надо, но в тоже время надеются, что ситуация как-то сама собой наладится, продолжает эксперт.
Представители других российских госкомпаний, ведущих бизнес в Евросоюзе, не ответили «Открытым медиа», как будут готовиться к новым требованиям европейского законодательства о персональных данных.