Где я?
ББ-Home > Бизнес-Среда > Бизнес в окружении > GDPR: игра на выбивание

GDPR: игра на выбивание

Эффект от вступления GDPR в силу оказался сродни кругам, расходящимся по воде от брошенного камня – прилетело всем.

В отличие от России умная Европа не стала требовать от компаний переноса персональных данных своих граждан на территорию ЕС. Она сделала проще: отныне каждый, кто не выполнит/нарушит требования закона, распространяющегося и касающегося персональных данных их гражданам, будет иметь дело с юрисдикцией ЕС. И она к нарушителям обещает быть суровой.

Не праздный вопрос: В какой мере GDPR окажется дискриминирующей мерой и поспособствует снижению конкуренции на рынках ЕС? 

Физики

Хотя россияне и не являются гражданами ЕС (новость для вас?), но уже успели глотнуть свежести относительной свободы и справедливости, занесенной к нам ветрами, дующими с Запада.

GDPR распространяется на граждан ЕС и на компании, которые с ними работают, где бы они сами ни находились. И эти компании, очевидно, в целях экономии решили унифицировать подход и начали уведомительную рассылку о новой политике конфиденциальности всем своим клиентам без исключения, какого бы роду-племени и места жительства они ни были.

Поэтому и почтовые ящики россиян в последние месяцы испытали на себе повышенную нагрузку, вызванную настойчивыми напоминаниями компаний всех мастей, к которым они имели или имеют какое бы то ни было отношение, обновиться их на новых условиях.

Вряд ли компании для этих целей (уведомления, получения согласия и пр.) будут каким-то образом разделять свои хранилища персональных данных клиентов в зависимости от их принадлежности ЕС или отсутствия таковой. Но GDPR требует раскрытия информации о любых утечках данных в течение 72 часов. И если компания столкнется с такой проблемой, ее клиенты также должны быть поставлены об этом в известность, что их данные были скомпрометированы. Следовательно, ее клиенты – российские граждане также вправе ожидать, что получат подобные уведомления. Исходя из того же принципа «неразделения», каким бизнес руководствовался, выполняя необходимые действия в рамках комплайенса.

⇒ ББ-Знание ⇒ Их опыт ⇒ 13 фактов, которые надо знать о GDPR

Несомненно, случись что-то подобное, ЕС не станет на защиту попранных кем-то приватных прав россиян. И они не вправе будут ссылать на GDPR, требуя наказать виновных и заслать им энную сумму в качестве компенсации. (Поэтому сразу предупреждаем: заработать не получится, не надейтесь.) Но в целом, как видится, эффект будет положительным.

Юрики

Для бизнеса не все так безоблачно. Выполнять требования закона должна любая компания, в какой бы юрисдикции она ни была, если она для той или иной цели собирает и обрабатывает персональные данные граждан ЕС. Естественно, касается это и российских компаний.

Не секрет, что подготовившихся из них к новым условиям ведения бизнеса с европейскими клиентами единицы, если таковые на сегодняшний день вообще есть. Дело в том, что далеко не все компании из других стран, которые ведут более широкую и активную деятельность в ЕС, могут похвастаться, что прошли всю процедуру комплайенса от А до Я и теперь им море по колено. Про российский же бизнес, который и на русском языке с трудом законы читает, и говорить не приходится. Хотите доказательств. Постарайтесь вспомнить, приходило ли вам в последнее время письмо на заданную тему хотя бы от одной российской компании? Представляется, что очень вряд ли. Вот то-то и оно!

Закон же говорит предельно четко: за существенные нарушения компании грозит штраф до 20 млн евро или до 4% от мирового годового оборота в зависимости от того, что окажется больше (правда, предельно расплывчатым пока остается понимание того, какие нарушения будут заслуживать столь серьезной кары). Окажутся 20 млн больше 4%, возьмут 20 млн, перевесят 4% – прощения просим, гоните 4%. Для какой российской компании 20 млн евро – не деньги? Таких сегодня в России по пальцам можно сосчитать.

Насколько угроза окажется серьезной, насколько регулятор и правосудие окажутся последовательными и непреклонными, пока говорить рано. Но даже если по причине «недосягаемости» российская компания сможет каким-то образом увернуться и избежать уплаты штрафа, то дальнейшую жизнь в ЕС она себе определенно осложнит. Да и в России тоже.

⇒ Новости ⇒ Анонсы ⇒ GDPR: прибытие 25 мая 2018 года

Поэтому можно предположить, что в средне- и долгосрочной перспективе для нерадивых и небольших компаний закон окажется дискриминирующим. В первом случае это хорошо. Чистота рядов способствует поддержанию здоровой конкуренции, к чему, кстати, в России никак привыкнуть не могут. Во втором же случае – плохо, потому что будет вести к усилению рыночной власти крупных компаний, говоря простым языком, к дальнейшей монополизации.

В сухом остатке

Несколько слов об этической стороне нового порядка. По сути, GDPR породил узаконенную волну скрытого шантажа. С одной стороны, «черные метки» получил весь бизнес, которые работает с Европой: или так, или никак. Время на подготовку было, но, как это часто и бывает в таких делах (обратитесь к российскому опыту, он богат на примеры), ровно было на бумаге, да забыли про овраги.

Никто за это время подробно не прописал процедур комплайенса, не уточнил все нюансы перехода, не прояснил неясности, которых в законе масса. В результате на сегодняшний день значительная доля даже европейских компаний оказалась не готовой к работе в новых условиях. Не говоря уже про бизнес остального мира.

С другой стороны, «черные метки» получили и граждане. В том числе и российские, которых закон не касается, но, как уже было сказано выше, которых бизнес решил причесать под одну гребенку.

Одни нашли в этих письмах хороший знак. Они получили напоминание от компаний, про которых давно забыли или которые им больше не интересны, получив таким образом возможность отписаться от их рассылок и снять излишнюю нагрузку со своих почтовых ящиков.

Но обратная сторона этой рассылки заключается в том, что если вы проигнорировали какое-то письмо или, что еще хуже, по той или иной причине его не заметили, а информация из данного источника является для вас потенциально интересной и ценной, вы, скорее всего, больше не станете получать такую рассылку.

Поэтому GDPR заставляет нас всех быть бдительнее и внимательнее к тому, с кем мы имеем дело и на какой предмет. И в этом его плюс.

В связи с этим вывод напрашивается предельно простой. Не манкировать требованиями европейских законодателей, брать ноги в руки и бегом приводить свои бизнес-процессы в соответствие с требованиями GDPR, уведомлять своих европейских, а заодно и всех остальных клиентов о том, что вы готовы жить и работать по-новому, и что им придется с этим смириться, если они хотят продолжать иметь с вами дела. К их же пользе.

Если, конечно, вы сами собираетесь иметь с ними дело. Если нет, спите спокойно, GDPR не лишит вас 4% годового дохода. Или 20 млн евро.


Серия «Бизнес в окружении»: краткие и регулярные срезы окружающей среды, в которой приходится действовать бизнесу с учетом ее недоброжелательности и враждебности.

Top