«У регуляторов ЕС много способов испортить жизнь белорусской компании». Говорим с экспертом о GDPR и штрафах в сотни миллионов

Автор: Станислав Иванейко. Фото: Влад Борисевич
8261
02 сентября 2019 в 8:00

В этом году British Airways и Marriott нарвались на запредельные штрафы: $230 и $123 миллиона соответственно. Они поплатились за нарушение регламента GDPR, который обязывает компании, предоставляющие сервисы и услуги гражданам Евросоюза, принимать серьезные меры по защите их персональных данных. Но на корпорации напали хакеры, приватная информация о клиентах авиаперевозчика и сети отелей попала к третьим лицам. Результат — девятизначные суммы штрафов, а впереди еще иски от пострадавших граждан (а их, опять же, сотни миллионов). За комментариями по этим случаям, а также касательно опасности штрафов для белорусских компаний мы обратились к специалисту по защите персональных данных Synesis Stratus Кириллу Шафееву.

Что изменил GDPR и как он касается компаний из Беларуси

— С введением GDPR люди стали просто кликать «Да, согласен» во всплывающем окне на сайте, которое предупреждает о сборе, обработке и хранении их данных. Кажется, что ничего и не изменилось. А как на самом деле?

— Под капотом этой кнопки скрывается огромный перечень действий, которые совершает компания для соответствия GDPR. Еще до него на территории ЕС был отдельный нормативно-правовой акт, который регулировал защиту персональных данных — он действовал с 1995 года. Директива предусматривала некоторые положения, которые теперь заложены в GDPR.

Но тут есть важный нюанс. Директива не имеет прямого действия. А чтобы она получила такой статус в рамках национально-правовой системы, государство должно перенести ее в свою систему. Регламент, чем и является GDPR, как раз имеет статус прямого действия. Любой гражданин ЕС может напрямую ссылаться на GDPR и таким образом защищать свои персональные данные.

Более того, GDPR имеет экстерриториальное действие. Именно поэтому белорусский бизнес так озабочен соответствием GDPR, хоть он и не находится на территории ЕС. Граждане ЕС, чьи данные обрабатывают белорусские компании, тоже могут обратиться к своим регуляторам, если информационные системы белорусских фирм в чем-то уязвимы.

— Что конкретно грозит белорусской компании за нарушение GDPR? Суд европейской страны может обратиться к нашим органам власти, чтобы компанию оштрафовали?

— Все слышали про штрафы, но на практике видов санкций гораздо больше. У европейских регуляторов есть огромное количество способов испортить жизнь белорусской компании. Начнем с блокировки приложения, сервиса или сайта на территории ЕС. В первые месяцы после введения GDPR многие американские медиа не соответствовали регламенту. И они были заблокированы примерно на четыре месяца. Представьте, какая аудитория потеряна.

Такой же сценарий может случиться с белорусской компанией, которая выпускает приложение с обработкой персональных данных граждан ЕС и при этом не соответствует GDPR. Вообще, это очень странно — выходить на рынок и не взаимодействовать с его регуляторами. Если компания извлекает прибыль, то логично играть по местным правилам.

Если говорим о ситуации, когда европейский регулятор хочет именно оштрафовать белорусскую компанию, то подобных механизмов между ЕС и Беларусью нет. Однако в Гражданском кодексе есть институт исполнения иностранных судебных решений — данный вариант хоть и гипотетический, но он существует.

К тому же в нашем законопроекте о персональных данных у будущего полномочного органа по защите прав субъектов данных будет компетенция об участии в работе международных организаций по защите данных. Бытует мнение, что именно через это сотрудничество наладят механизм взаимодействия европейских регуляторов с белорусским.

— Есть ли смысл внедрять GDPR, когда пользователей приложения из ЕС, допустим, 1—2% от общей базы?

— Представим, что компания выпускает приложение, которое обрабатывает медицинские данные. Например, о ВИЧ-инфицированных людях. Если такая информация утечет даже об 1% пользователей из ЕС, то каждый из них столкнется с серьезнейшим нарушением своей приватности. Как следствие, огромный ущерб для этого 1%, огромный ущерб для самой компании — санкции, штрафы, урон репутации. В таком случае, конечно, проще было бы озаботиться о внедрении GDPR.

В чем ошиблись Marriott и British Airways

— На нарушении GDPR уже попались компании, от которых этого вряд ли кто-то ожидал: Marriott, British Airways. Почему их оштрафовали? От хакерских атак никто ведь не застрахован.

— Наиболее показательный пример — Marriott, хоть штраф у нее и меньше, чем у British Airways. Британский регулятор собирается оштрафовать компанию примерно на 110 миллионов евро за следующую штуку. В 2016 году Marriott поглотила другую группу компаний, которая тоже была связана с отельным бизнесом. Потом оказалось, что с 2014-го у этой группы компаний была довольно серьезная уязвимость в системе защиты информации.

В Marriott о ней узнали только в 2018 году, уже после утечки. Она коснулась 339 миллионов пользователей. Там огромное количество информации, которая охраняется банковской тайной, плюс другие персональные данные. У Marriott было два года, с 2016 до 2018, на обнаружение уязвимости. Ее могли выявить при обычном тестировании на проникновение. То есть Marriott должна была уделять внимание не только документальному соответствию GDPR, но и техническим нюансам. А штраф — да, он драконовский.

— Но стопроцентной защиты не существует. Получается, все компании под угрозой не только хакерской атаки, но еще и штрафа за нарушение GDPR?

— Есть важное правило: стоимость всей системы защиты информации не должна превышать стоимость активов, которые она охраняет. Сейчас в мире на защиту данных тратится порядка 100 миллиардов долларов ежегодно. Вместе с тем к 2021 году совокупность всех денежных потерь из-за кибератак достигнет 6 триллионов долларов.

Получается, компании тратят на безопасность гораздо меньше денег, чем рискуют потерять. Поэтому вариант у них только один — максимально качественно относиться к построению системы защиты информации. GDPR устанавливает, что компания должна принять все доступные меры.

— Компания может считать, что хорошо защитила данные, однако хакеры все равно получают к ним доступ. Как регулятор определит «достаточность» принятых мер?

— Это определяет сама компания. Но не стоит недооценивать регуляторов: они приходят с серьезными аудитами и профессионалами. Нужно подтвердить, что компания ответственно подошла к защите данных.

— Деньги идут в бюджет страны, которая штрафует?

— По своей сути это административные штрафы, и пока что они предварительные: упомянутые компании только собираются оштрафовать. Да, все пойдет в бюджет государства. Сами пострадавшие могут в порядке обычного гражданского судопроизводства подать иск о взыскании реального и морального ущерба. Там, конечно, суммы выплат будут не столь крупными, но тем не менее.

Однако важный момент: если все пострадавшие пользователи обратятся с исками о взыскании ущерба, то общая сумма явно превысит тот штраф, который налагает регулятор. Представьте: 339 миллионов пользователей подают иски — ущерб каждого человека оценят явно больше, чем в три евро.

— Получается, компанию сейчас очень легко завалить штрафами. Кроме того, вполне реально обрушить ее акции, уничтожить репутацию.

— Потребительский экстремизм существовал всегда, и компаниям нужно быть к нему готовыми. Понятие приватности в ЕС, да и вообще в мире, занимает важное место в концепции прав человека. Отсюда и столь крупные штрафы.

Что такое сотни миллионов евро штрафа? Для людей и многих компаний, даже крупных, это огромные деньги. А в масштабах British Airways — подумаешь, три-четыре самолета.

Такой штраф не развалит бизнес одного из крупнейших авиаперевозчиков мира. Но он заставит акционеров British Airways на общем собрании задать серьезный вопрос исполнительному директору: каким образом была допущена такая утечка?

Разорить фирму одним штрафом нереально. Четко оговорено, что штраф должен быть соразмерным и урону, и масштабу самой компании или доходам физлица. Допустим, в Австрии человек установит камеру на свой дом и ни с кем это не согласует. Его оштрафуют на пару тысяч евро — в рамках австрийской зарплаты сумма неприятная, но не катастрофическая для человека.

— Штрафы затронули компании с очень громкими именами. Если уж они недостаточно внимания уделяли безопасности, то ситуация в фирмах поменьше, выходит, еще хуже?

— В компаниях поменьше внедрять GDPR проще. Корпорациям уровня British Airways нужно одновременно внедрить GDPR на огромном количестве процессов — это очень долго и дорого, к тому же бизнес не привык тратить на кибербезопасность большие средства.

Почему внедрение GDPR сложное? Все думают, что это лишь документы. На самом же деле появляется триада мер: организационных, технических и юридических.

Вы строите процессы, делаете документы, закупаете оборудование и софт. Бизнесу размером где-то до ста человек внедрить GDPR будет гораздо дешевле и быстрее, чем авиакомпании или сети отелей.

Что планируется в Беларуси

— Евросоюз сейчас впереди других регионов по требованиям к защите персональных данных? GDPR можно считать лучше других регламентов и законов? 

— GDPR — просто первый успешный пример обеспечения приватности на столь крупной территории. В отдельных странах сейчас появляются похожие регламенты. Так, в Калифорнии с 1 января следующего года вступает в силу California Consumer Privacy Act. Это очень серьезный документ, к которому начинает готовиться не только европейский, но и белорусский бизнес. В той же России, например, есть закон о защите персональных данных, а у нас на утверждении находится закон «О персональных данных».

— Этот белорусский документ повторяет принципы GDPR или как-то отличается от него?

— Разработчики закона ссылались на 108-ю Конвенцию Совета Европы — первый документ на территории Европы, который регулировал обработку персональных данных. С выходом GDPR эта Конвенция претерпела изменения и стала похожа на новый регламент. Я не сравнивал бы напрямую белорусский документ и GDPR, но схожие моменты у них есть. Основные права, заложенные в GDPR, сохранены. Например, появится нашумевшее право на забвение.

Почему в ЕАЭС еще нет аналога GDPR

— Не проще ли странам нашего региона — СНГ или ЕАЭС — подписать единый документ, а не создавать отдельные регламенты? 

— История европейской интеграции насчитывает уже более полувека, и в рамках этого общего рынка нужно обеспечивать единое движение информации. Даже страны ЕС долго шли к подобному регулированию.

В СНГ таких правовых процессов пока не наблюдается — интеграция налажена не настолько сильно. По своей сути к Евросоюзу ближе ЕАЭС, подразумевающий свободное движение товаров, труда и капитала в рамках стран сообщества. Однажды здесь придут и к регулированию информации.

Смысл GDPR: гражданин условной Литвы не должен себя чувствовать ущемленным в правах, когда находится в Португалии, а португалец не должен быть ущемленным в Австрии и так далее.

— Пока что не слышно историй о белорусских компаниях, которые попались на нарушении GDPR. Или случаи были, просто их замалчивают?

— Замять такую историю было бы невозможно. Европейские регуляторы постоянно выкладывают пресс-релизы, где рассказывают, как хотят кого-то оштрафовать или уже это сделали.

Но GDPR — не только штраф или документы. Уже сейчас европейские партнеры отказываются от сотрудничества с белорусскими компаниями, которые не соответствуют регламенту. Обычно проводится аудит информационной безопасности. Если результаты неудовлетворительны, европейская компания, скорее всего, откажется от сотрудничества. А для белорусских компаний это потеря огромного сегмента рынка.

— Истории с British Airways и Marriott испугали остальные компании? На ваш взгляд, другие громкие случаи будут?

— Если какая-то компания прочитала об огромных штрафах и начала быстро вводить GDPR, то ее, может быть, еще пронесет. Но опять же: внедрение идет долго. Так что в ближайшие год-полтора, думаю, мы еще узнаем о серьезных штрафах. К тому же для представителей бизнеса многие моменты по GDPR остаются непонятными.

— Долгое внедрение — о каких сроках речь? Недели, месяцы? 

— К примеру, в одном из наших проектов на это понадобилось пять месяцев. Но там мы внедряли GDPR не отдельно, а в рамках создания системы комплексной защиты, чтобы заодно соответствовать требованиям 62-го приказа ОАЦ «О некоторых вопросах технической и криптографической защиты информации». Именно на соответствие GDPR компания сопоставимых размеров потратит примерно 3—4 месяца.

Для белорусской компании есть важный момент: многое зависит от того, обрабатывает ли она данные только граждан ЕС или же граждан ЕС, а также самих белорусов. Во втором случае придется учитывать и требования 62-го приказа ОАЦ, и GDPR.

— Что вообще посоветуете белорусским компаниям в связи с GDPR и появлением других похожих регламентов?

— Очень часто встречается заблуждение: «GDPR — только документы». Это совсем не так, и прописанная политика конфиденциальности не решит ваши вопросы. GDPR начинается с технологии. Представим белорусскую компанию, которая хочет выводить свой продукт на европейский рынок. Ей нужно в первую очередь задуматься о принципе построения системной архитектуры приложения так, чтобы все основы информационной безопасности были заложены изначально.

Так что главный совет — уделять внимание технологии и архитектуре защиты информации. И еще надеяться, что программисты смогут сделать систему без уязвимостей — по крайней мере, нужны постоянные тесты, причем от сторонних компаний. Понятно, что стопроцентной защиты нет. Это как шутка врачей: нет здоровых, есть недообследованные. То же касается и пользователей. Необходимо понимать, что их обращения — это вопрос не вероятности, а времени.

Читайте также:

27" 5120 x 2880 IPS, глянцевый, несенсорный, Intel Core i5 7500 3800 МГц, 8 ГБ, Fusion Drive 1000 ГБ, видеокарта AMD Radeon Pro 570 4 ГБ, Mac OS, цвет серебристый
Снят с продажи

Библиотека Onliner: лучшие материалы и циклы статей

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by