Помнятся долгие постатейные обсуждения законопроекта в Госдуме, в которых активно принимали участие нынешний глава профильного комитета Анатолий Аксаков и депутат Владислав Резник, предлагавший свои варианты с использованием риск-ориентированного подхода. Вел тему в целом Комитет по безопасности и противодействию коррупции, и в финале дискуссий замглавы комитета (в те времена это был Михаил Гришанков) в коротком докладе эффектно свел все поступившие предложения в единый законопроект.

Прошло более десяти лет. Банки перестроили процедуры работы с ПД клиентов под требования Федерального закона № 152-ФЗ, сами клиенты уже без колебаний ставят галочки в нужных местах заявлений, разрешая обрабатывать свои ПД. Но придется снова серьезно поговорить о ПД.

В следующем году многим банкам необходимо будет соблюдать совершенно новый набор правил управления персональными данными, пришедший из ЕС, — так называемый GDPR (General Data Protection Regulation). Этот свод законов содержит гораздо более строгие правила для обработки ПД граждан ЕС, чем все предыдущие акты, и, что важно, устанавливает значительные штрафы за несоблюдение норм GDPR. Напомним, что наш отечественный Федеральный закон «О персональных данных» появился во многом благодаря Евродирективе о защите данных № 95/46/EC». Нынешний GDPR призван превзойти по жесткости требований Закон № 152-ФЗ. Положения GDPR не требуют появления в ЕС каких-либо дополнительных законодательных актов, они являются обязательными и непосредственно применимыми. Суммы штрафов за нарушения доходят до 20 млн евро (4% оборота), причем в качестве суммы штрафа выбирается большее значение из приведенных двух возможных.

Цели введения GDPR, конечно, благие — предоставить гражданам ЕС больше полномочий по использованию и хранению персональных данных, включая возможности уничтожать (удалять) эти данные у любого оператора ПД. GDPR призван также укрепить взаимное доверие между поставщиками цифровых услуг и клиентами.

Что еще важно? Нормы Закона предполагают их распространение даже на тех, кто каким-то образом затрагивает права и интересы европейцев в отношении ПД. Так, нормы GDPR применятся в отношении компаний, не присутствующих в ЕС, но «нацеливающих» свои услуги на жителей ЕС. Такой «таргетинг» выявляется по использованию языка или валюты стран ЕС, по адаптации продуктов к требованиям потребителей ЕС, по ощутимому (агрессивному) маркетингу в продвижении своих услуг в ЕС. Фиксируется также мониторинг в отношении жителей ЕС, включающий отслеживание поведения людей для последующего анализа и прогнозирования, выявления личных предпочтений и пр. Отметим, что мониторингом европейцев занимаются многие в РФ, не обязательно банки. Сами ПД граждан ЕС уже находятся в руках у многих российских организаций. Так, хорошо известный нам «ПЛАТОН», аккумулирует в личных кабинетах системы 2 млн профилей водителей фур и грузовиков, въезжающих и выезжающих из страны, в том числе, в страны ЕС. Число клиентов «ПЛАТОНА» продолжает расти, а для установления факта начала работы с ПД граждан ЕС достаточно иметь единичный случай — хранить данные одного гражданина ЕС.

Под требования GDPR подпадает и любой клиент российского банка, который «с улицы» зашел в банк, где его идентифицировали, а с паспорта сняли копию. Но вдруг у этого клиента оказывается гражданство ЕС. На невинный вопрос, существуют ли процессы для реагирования на просьбу об удалении/изменении предоставленной копии данных, из банка должен поступить четкий ответ. Иначе — штраф! Нормы GDPR включают права клиента на онлайн-стирание информации и даже право на «перенесение данных» (позволяя клиентам передавать свои ПД другому поставщику услуг — ст. 20 GDPR). Сама возможность переносить данные, конечно, мало что дает для защиты ПД и скорее служит функциональным требованием для социальных сетей и облачных провайдеров. Но вот обеспечивать все это — дело тонкое, а значит, и придраться к этому легко. Видимо, банкам придется разработать «аккуратные» процедуры для реагирования на подобные запросы или попросту отказаться от обслуживания европейцев.

Разумно предположить, что европейцы вряд ли будут пассивно следить за выполнением норм GDPR в России. Позиция ЕС будет проактивной, а огромные штрафы возникли не случайно. Специальные супервайзеры, описанные в Законе, будут «продавливать» GDPR, не дожидаясь симметричных изменений в российском законодательстве. Рычагов для этого много, в том числе в виде санкций. Есть и более привычные для банков рычаги — связанные с доступом к PSP (payment service provider), который легко ограничить. Например, многие новые отечественные технологии платежей не полностью поддерживаются нашими провайдерами. И, если некий банк дал право своим клиентам использовать некие новейшие системы мобильных платежей XYZ-PAY, то, чтобы эти системы функционировали, обычно задействована инфраструктура, располагающаяся в странах ЕС. Из ЕС аккуратно следят за PSP, проверяют наличие необходимых сертификатов, лицензий и прочего. Все это находится в Интернете, и все легко отключить.

В завершение напомним, что требования GDPR вступают в силу 25 мая 2018 года. Нам остается меньше года для подготовки к изменениям.