Дела поважнее. Почему российские компании не защищают личную информацию
Российский бизнес пока не придает серьезного значения Европейскому регламенту по защите персональных данных (GDPR), несмотря на штраф до €20 млн или 4% от глобального годового дохода
Европейский регламент по защите данных (GDPR) действует почти три с половиной месяца. По заявлениям субъектов персональных данных, в Европейском союзе начались первые проверки организаций. Например, в тот день, когда регламент вступил в силу, австрийский активист и юрист Макс Шермс подал три жалобы на общую сумму €3,9 млрд на Facebook (соцсеть признана в РФ экстремистской и запрещена) и ее дочерние компании WhatsApp и Instagram (соцсеть признана в РФ экстремистской и запрещена), а также жалобу на операционную систему Android от Google на сумму €3,7 млрд. По его мнению, поля согласия на обработку персональных данных у этих компаний не дают пользователю свободы выбора на предоставление или непредоставление своих данных, как того требует GDPR (freely given).
Регламент работает по экстерриториальному принципу, а это значит, что соблюдать его должны и компании, находящиеся за пределами Европейской экономической зоны (страны-члены Европейского союза, а также Исландия, Лихтенштейн и Норвегия), если они: 1) обрабатывают персональные данные субъектов, находящихся в Евросоюзе, предоставляя им товары и услуги или осуществляя мониторинг их действий, 2) обрабатывают персональные данные, предоставляя услуги по их обработке организациям, попадающим под действие GDPR.
Российские компании — не исключение, и с учетом огромных штрафов за нарушение регламента (до €20 млн или 4% от глобального годового дохода группы компаний) можно было предположить, что бизнес с большим вниманием отнесется к новым требованиям.
Мы решили проверить эту гипотезу и изучили веб-сайты крупнейших российских компаний, взяв за основу рейтинг Forbes «200 крупнейших частных компаний России» за 2017 год. По меньшей мере четверть из 160 проанализированных организаций попадает под действие GDPR из-за наличия дочерних компаний, представительств и офисов в странах Евросоюза, сайта на языке страны-участницы Евросоюза, с помощью которого пользователи из Европы могут заказать услуги или товары, а также наличия вакансий, на которые могут откликнуться субъекты, находящиеся там. Чаще всего компании собирают ФИО, адрес электронной почты, телефон, логин, IP и cookies с использованием веб-сайтов.
По результатам анализа оказалось, что всего 4 веб-сайта близки к соответствию требованиям GDPR. Из остальных: 83% не предусматривают всплывающее окно для согласия на сбор cookies, у 77% отсутствует возможность получения явного согласия на обработку персональных данных, у 60% недоступна для ознакомления политика конфиденциальности. И это только верхушка айсберга, а ведь GDPR регламентирует не только порядок получения согласия на сайтах компаний, но и внутренние процессы компании по обработке и защите персональных данных.