Источник: http://www.pcweek.ru/security/article/detail.php?ID=186667
Весной 2016 Еврокомиссия приняла новый регулирующий акт
Global Data Protection Regulation. Акт регулирует защиту персональных граждан
стран-членов Европейского Союза. Ключевая для российского бизнеса особенность
акта в его экстратерриториальности. А значит к любому российскому бизнесу,
собирающему и обрабатывающему персональные данные хотя бы одного гражданина
страны-члена ЕС могут быть применены GDPR-штрафы.
Штрафы очень серьезны - от предупреждения (в случае первого
нарушения) до 20 миллионов EUR (более миллиарда рублей) или 4% глобального
дохода, в зависимости от того что выше.
GDPR
содержит существенное число требований, например, только обеспечение
портабельности всех персональных данных (data portability) может вылиться в
миллиардные затраты в масштабах страны. Российский бизнес казалось бы имеет
альтернативу - просто не предлагать гражданам ЕС свои услуги в России, но как
минимум 2 класса российских компаний точно подпадут под GPDR:
·
энергетические
и финансовые гиганты, что имеют отделения в Европе
·
Интернет-компании,
так как GPDR распространяется и на мониторинг активности граждан ЕС
("where the processing activities are related to the offering of goods
or services to such data subjects, or to the monitoring of the behaviour
of such data subjects"), а значит банальное использование cookies
рекламными сетями уже подводит Интернет-индустрию России под GDPR.
Для понимания значимости GDPR-риска проведем грубую оценку
возможных потерь. Для этого рассчитаем возможные потери для 10-и компаний
российской экономики, что вероятно подпадут под GDPR:
1. Яндекс
2. Альфа-банк (инвестбанковские
активы в Европе)
3. Газпром (АЗК в Восточной Европе)
4. Сбербанк (банковский холдинг
Сбербанк Europe)
5. ВТБ (банки в Восточной Европе)
6. Лукойл (активы в Восточной
Европе)
7. Роснефть (активы в Европе)
8. РЖД (представительство в Европе и
он-лайн продажа билетов)
9. Аэрофлот (представительство в
Европе и он-лайн продажа билетов)
10.
ИнтерРАО
(активы в Европе)
По данным последнего рейтинга РБК 500 их совокупная выручка
достигла 20 триллионов 145 миллиардов рублей, соответственно, их GDPR-риск 806
миллиардов рублей.
В
список вошли крупнейшие российские компании с европейскими активами +
крупнейшая российская Интернет-компания Яндекс. РБК 500 содержит не один
десяток крупных российских бизнесов предлагающих свои товары и услуги в Европу,
в частности практически каждая крупная финансовая группа имеет свое
инвестбанковское и\или wealth management подразделение на Кипре или в Великобритании.
Из-за законодательства по антиоффшоризации многие российские
бизнесмены становятся резидентами ЕС получая гражданства либо виды на
жительства стран ЕС, что так же подводит их инвестиционные фонды и family
office под GDPR.
Похоже, compliance наносит ответный удар, отвоевывая
пошатнувшиеся в последнее время под натиском инцидентов и хакеров позиции.
Ограничение корпоративной ответственности в сфере защиты конфиденциальных
данных снова встанет ключевым вопросом для менеджмента российских организаций.
Тем более, что среди требований GDPR - раскрытие информации
об утечках информации, а значит бизнес увидит реальных масштаб проблем в
кибербезопасности. Например, в СМИ Великобритании традиционно широко
обсуждается большое количество утечек данных, при этом спрос на
специалистов по кибербезопасности в Великобритании по данным портала ISACA
больше чем во всех остальных странах ЕС.
Обязанность раскрытия информации об утечках, возможное
обсуждение факта утечки СМИ может принести не меньше ущерба бренду компании и
репутации ее руководства чем финансоваые санкции.
GDPR де факто вступает в силу в мае 2018 года, так что время
на выполнение требований и повышение реального уровня кибербезопасности еще
есть.
Комментариев нет:
Отправить комментарий