вторник, 12 июля 2016 г.

GDPR создает риск многомиллиардных штрафов для российского бизнеса

Источник: http://www.pcweek.ru/security/article/detail.php?ID=186667

Весной 2016 Еврокомиссия приняла новый регулирующий акт Global Data Protection Regulation. Акт регулирует защиту персональных граждан стран-членов Европейского Союза. Ключевая для российского бизнеса особенность акта в его экстратерриториальности. А значит к любому российскому бизнесу, собирающему и обрабатывающему персональные данные хотя бы одного гражданина страны-члена ЕС могут быть применены GDPR-штрафы.

Штрафы очень серьезны - от предупреждения (в случае первого нарушения) до 20 миллионов EUR (более миллиарда рублей) или 4% глобального дохода, в зависимости от того  что выше.
    GDPR содержит существенное число требований, например, только обеспечение портабельности всех персональных данных (data portability) может вылиться в миллиардные затраты в масштабах страны. Российский бизнес казалось бы имеет альтернативу - просто не предлагать гражданам ЕС свои услуги в России, но как минимум 2 класса российских компаний точно подпадут под GPDR:
·      энергетические и финансовые гиганты, что имеют отделения в Европе
·      Интернет-компании, так как GPDR распространяется и на мониторинг активности граждан ЕС ("where the processing activities are related to the offering of goods or services to such data subjects, or to the monitoring of the behaviour of such data subjects"), а значит банальное использование cookies рекламными сетями уже подводит Интернет-индустрию России под GDPR.
Для понимания значимости GDPR-риска проведем грубую оценку возможных потерь. Для этого рассчитаем возможные потери для 10-и компаний российской экономики, что вероятно подпадут под GDPR:
1. Яндекс 
2. Альфа-банк (инвестбанковские активы в Европе)
3. Газпром (АЗК в Восточной Европе)
4. Сбербанк (банковский холдинг Сбербанк Europe)
5. ВТБ (банки в Восточной Европе)
6. Лукойл (активы в Восточной Европе)
7. Роснефть (активы в Европе)
8. РЖД (представительство в Европе и он-лайн продажа билетов)
9. Аэрофлот (представительство в Европе и он-лайн продажа билетов)
10.           ИнтерРАО (активы в Европе)
По данным последнего рейтинга РБК 500 их совокупная выручка достигла 20 триллионов 145 миллиардов рублей, соответственно, их GDPR-риск 806 миллиардов рублей.
В список вошли крупнейшие российские компании с европейскими активами + крупнейшая российская Интернет-компания Яндекс. РБК 500 содержит не один десяток крупных российских бизнесов предлагающих свои товары и услуги в Европу, в частности практически каждая крупная финансовая группа имеет свое инвестбанковское и\или wealth management подразделение на Кипре или в Великобритании.
Из-за законодательства по антиоффшоризации многие российские бизнесмены становятся резидентами ЕС получая гражданства либо виды на жительства стран ЕС, что так же подводит их инвестиционные фонды и family office под GDPR.
Похоже, compliance наносит ответный удар, отвоевывая пошатнувшиеся в последнее время под натиском инцидентов и хакеров позиции. Ограничение корпоративной ответственности в сфере защиты конфиденциальных данных снова встанет ключевым вопросом для менеджмента российских организаций.
Тем более, что среди требований GDPR - раскрытие информации об утечках информации, а значит бизнес увидит реальных масштаб проблем в кибербезопасности. Например, в СМИ Великобритании традиционно широко обсуждается  большое количество  утечек данных, при этом спрос на специалистов по кибербезопасности в Великобритании по данным портала ISACA больше чем во всех остальных странах ЕС.
Обязанность раскрытия информации об утечках, возможное обсуждение факта утечки СМИ может принести не меньше ущерба бренду компании и репутации ее руководства чем финансоваые санкции.

GDPR де факто вступает в силу в мае 2018 года, так что время на выполнение требований и повышение реального уровня кибербезопасности еще есть.

Комментариев нет:

Отправить комментарий