GDPR vs ФЗ-152
25 мая 2018 года вступили в силу обновленные правила обработки персональных данных – GDPR. Причем тут российский бизнес? Рассказываем ниже, что за зверь – GDPR, в чем разница между европейской аббревиатурой и родным ФЗ-152, и какие последствия нас ждут.
Что такое GDPR
GDPR или General Data Protection Regulation – это закон, принятый Европейским Союзом, который призван урегулировать процесс обработки персональных данных и сделать его прозрачным. Помимо требований непосредственно к обработке, он включает в себя стандарты защиты, передачу персональной информации о гражданах ЕС и содержит перечень штрафов за несоблюдение закона.
Под персональными данными GDPR понимает любую информацию о пользователе, которая позволяет так или иначе идентифицировать его – включая и IP-адрес. В отдельную категорию «особых персональных данных» выносится расовая и конфессиональная принадлежность, биометрические, генетические и физиологические показатели, информация, относящаяся к здоровью, политические убеждения, сексуальная ориентация и половая жизнь.
Согласно документу, с вышеперечисленной информацией имеют дело два типа организаций – контролеры и обработчики. Последние занимаются собственно обработкой данных, а контролер – их источником, который проверяет корректность исполнения всего процесса. Компания может быть одновременно и обработчиком, и контролером: например, она может обрабатывать данные клиентов и проверять обработку персданных собственных сотрудников.
Помимо того, что компании обязаны получить согласие на обработку, пользователи имеют право узнать, обрабатывают ли их данные, что это за данные, за какой период и зачем это нужно компаниям. Они также вправе прекратить обработку и полностью удалить данные о себе – это касается не только поисковиков, но и любой другой компании, которая эти данные обрабатывает.
При чем тут российский бизнес
GDPR актуален для всех компаний, которые работают на территории ЕС и/или обрабатывают персональные данные граждан европейских стран. Вообще отказаться от работы с гражданами ЕС смогут не все: под действие закона попадут не только компании, имеющие европейские подразделения, но и интернет-компании, поскольку регламент распространяется и на мониторинг онлайн-активности пользователей из ЕС. Это значит, что простое использование cookies рекламными сетями уже заставляет соответствовать GDPR.
Впрочем, ФЗ-152 тоже принуждает иностранные компании, например, хранить персональные данных граждан РФ только на расположенных в России серверах.
ФЗ-152 и GDPR
Оба закона относятся к защите персональных данных физических лиц, поэтому и цели у них одинаковые:
Цель GDPR (Статья 1):
Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных.
Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных.
Цель 152 ФЗ (Статья 2):
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Главные отличия GDPR от ФЗ-152 мы решили вынести в таблицу:
Итого: GDPR распространяется не на все отечественные компании, в отличие от ФЗ-152, он определяет право на перенос данных – то есть передача между компаниями персональных данных пользователя по его запросу, и требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения – с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению. Существует список регулирующих органов – вот он, а их, в свою очередь, проверяет European Data Protection Board. Также необходимо проинформировать субъектов персональных данных, чьи интересы и безопасность могут быть затронуты.
Как подготовиться к GDPR
На первый взгляд, GDPR и ФЗ-152 похожи, и российским компаниям, работающим в ЕС, вроде как будет довольно просто соответствовать европейским нормам. На самом деле, нет – требования законов совпадают частично, и провести хотя бы минимальный аудит обработки персданных нужно обязательно.
Крупным компаниям придется автоматически выгружать все документы и записи, содержащие персональные данные конкретного человека, изо всех информационных систем и бумажных архивов. Это необходимо для обеспечения прав на доступ (статья 15), забвение (статья 17) и на перенос данных (статья 20). Обращаем ваше внимание, что к персональным данным GDPR относит и онлайн-идентификаторы вроде cookies или IP-адресов.
Пошаговая инструкция по переходу на GDPR:
- Проанализировать процессы обработки персональных данных. Отдельное внимание нужно уделить проверке фактов: попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых персданных.
- Проверить, соответствуют ли бизнес-процессы базовым требований GDPR. Сюда можно отнести и обязательные уведомления об обработке, и наличие ответственного за процесс, и налаженные схемы реагирования на запросы субъектов персданных, сокращение количества собираемых данных, возможность переноса персональных данных и т.д.
- Если будут найдены несоответствия GDPR (а они, скорее всего, будут найдены), устранить их.
Штраф за хотя бы одно нарушение составляет минимум 2% от оборота либо 10 млн евро (виновный платит сумму, которая больше). Пока штрафной регламент для неевропейских компаний не прописан, поэтому вам либо запретят обрабатывать данные и, следовательно, работать с европейскими заказчиками, либо оштрафуют европейскую компанию контролера, которая этот же штраф по контракту взыщет с вас. Поэтому забить и работать как работали раньше обойдется гораздо дороже, чем быть законопослушным. В конце концов, эта инициатива нацелена на то, чтобы обезопасить ваших клиентов. А клиентов надо любить.
Из практического, GDPR требует возможность
1) выгрузить данные из личного кабинета
2) удалить данные из личного кабинета.
Ага, стало более-менее понятно. Спасибо.
и еще спросить разрешения их хранить, а без этого хранить нельзя
Интересно, а как понять целесообразность поддержки GDPR для мобильного приложения? Если к примеру я у себя на сервере храню ФИО юзера, его номер телефона и информацию о приобретенной лицензии на ПО?
P.S.: я не юрист, а разработчик! Мне сложно понять юридические тонкости, потому и решил спросить, чтоб после не было мучительно больно )))
если покупатель европейский, то вы обязаны поддерживать GDPR
В локализованном приложении, покупатель может быть откуда угодно
и что? Повторю, если покупатель - гражданин Европы, то вы обязаны соблюдать. А уж локальное у вас приложение или нет, это GDPR неинтересно. Да хоть на бумаге!
Ну так я и не спорю. Задал здесь вопрос, получил внятный ответ
Комментарий удален модератором