{"id":13710,"url":"\/distributions\/13710\/click?bit=1&hash=50db11a9591bcc2b3c368ef206e8be1bfa71b94e4a12552ca4d858c954157b79","title":"\u041a\u0430\u043a \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u043f\u0430\u0437\u043b\u044b, \u043d\u043e\u0432\u043e\u0441\u0442\u0438 \u0438 \u0438\u043d\u0432\u0435\u0441\u0442\u0438\u0446\u0438\u0438?","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"d36a44f7-e311-5ac9-95ed-4a8208550d01","isPaidAndBannersEnabled":false}

GDPR vs ФЗ-152

25 мая 2018 года вступили в силу обновленные правила обработки персональных данных – GDPR. Причем тут российский бизнес? Рассказываем ниже, что за зверь – GDPR, в чем разница между европейской аббревиатурой и родным ФЗ-152, и какие последствия нас ждут.

Что такое GDPR

GDPR или General Data Protection Regulation – это закон, принятый Европейским Союзом, который призван урегулировать процесс обработки персональных данных и сделать его прозрачным. Помимо требований непосредственно к обработке, он включает в себя стандарты защиты, передачу персональной информации о гражданах ЕС и содержит перечень штрафов за несоблюдение закона.

Под персональными данными GDPR понимает любую информацию о пользователе, которая позволяет так или иначе идентифицировать его – включая и IP-адрес. В отдельную категорию «особых персональных данных» выносится расовая и конфессиональная принадлежность, биометрические, генетические и физиологические показатели, информация, относящаяся к здоровью, политические убеждения, сексуальная ориентация и половая жизнь.

Согласно документу, с вышеперечисленной информацией имеют дело два типа организаций – контролеры и обработчики. Последние занимаются собственно обработкой данных, а контролер – их источником, который проверяет корректность исполнения всего процесса. Компания может быть одновременно и обработчиком, и контролером: например, она может обрабатывать данные клиентов и проверять обработку персданных собственных сотрудников.

Помимо того, что компании обязаны получить согласие на обработку, пользователи имеют право узнать, обрабатывают ли их данные, что это за данные, за какой период и зачем это нужно компаниям. Они также вправе прекратить обработку и полностью удалить данные о себе – это касается не только поисковиков, но и любой другой компании, которая эти данные обрабатывает.

При чем тут российский бизнес

GDPR актуален для всех компаний, которые работают на территории ЕС и/или обрабатывают персональные данные граждан европейских стран. Вообще отказаться от работы с гражданами ЕС смогут не все: под действие закона попадут не только компании, имеющие европейские подразделения, но и интернет-компании, поскольку регламент распространяется и на мониторинг онлайн-активности пользователей из ЕС. Это значит, что простое использование cookies рекламными сетями уже заставляет соответствовать GDPR.

Впрочем, ФЗ-152 тоже принуждает иностранные компании, например, хранить персональные данных граждан РФ только на расположенных в России серверах.

ФЗ-152 и GDPR

Оба закона относятся к защите персональных данных физических лиц, поэтому и цели у них одинаковые:

Цель GDPR (Статья 1):

Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных.

Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных.

Цель 152 ФЗ (Статья 2):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Главные отличия GDPR от ФЗ-152 мы решили вынести в таблицу:

Итого: GDPR распространяется не на все отечественные компании, в отличие от ФЗ-152, он определяет право на перенос данных – то есть передача между компаниями персональных данных пользователя по его запросу, и требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения – с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению. Существует список регулирующих органов – вот он, а их, в свою очередь, проверяет European Data Protection Board. Также необходимо проинформировать субъектов персональных данных, чьи интересы и безопасность могут быть затронуты.

Как подготовиться к GDPR

На первый взгляд, GDPR и ФЗ-152 похожи, и российским компаниям, работающим в ЕС, вроде как будет довольно просто соответствовать европейским нормам. На самом деле, нет – требования законов совпадают частично, и провести хотя бы минимальный аудит обработки персданных нужно обязательно.

Крупным компаниям придется автоматически выгружать все документы и записи, содержащие персональные данные конкретного человека, изо всех информационных систем и бумажных архивов. Это необходимо для обеспечения прав на доступ (статья 15), забвение (статья 17) и на перенос данных (статья 20). Обращаем ваше внимание, что к персональным данным GDPR относит и онлайн-идентификаторы вроде cookies или IP-адресов.

Пошаговая инструкция по переходу на GDPR:

  • Проанализировать процессы обработки персональных данных. Отдельное внимание нужно уделить проверке фактов: попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых персданных.
  • Проверить, соответствуют ли бизнес-процессы базовым требований GDPR. Сюда можно отнести и обязательные уведомления об обработке, и наличие ответственного за процесс, и налаженные схемы реагирования на запросы субъектов персданных, сокращение количества собираемых данных, возможность переноса персональных данных и т.д.
  • Если будут найдены несоответствия GDPR (а они, скорее всего, будут найдены), устранить их.

Штраф за хотя бы одно нарушение составляет минимум 2% от оборота либо 10 млн евро (виновный платит сумму, которая больше). Пока штрафной регламент для неевропейских компаний не прописан, поэтому вам либо запретят обрабатывать данные и, следовательно, работать с европейскими заказчиками, либо оштрафуют европейскую компанию контролера, которая этот же штраф по контракту взыщет с вас. Поэтому забить и работать как работали раньше обойдется гораздо дороже, чем быть законопослушным. В конце концов, эта инициатива нацелена на то, чтобы обезопасить ваших клиентов. А клиентов надо любить.

0
8 комментариев
Написать комментарий...
Pavel Osadchuk

Из практического, GDPR требует возможность
1) выгрузить данные из личного кабинета
2) удалить данные из личного кабинета.

Ответить
Развернуть ветку
Виталий Подольский

Ага, стало более-менее понятно. Спасибо.

Ответить
Развернуть ветку
Volc O'Hara

и еще спросить разрешения их хранить, а без этого хранить нельзя

Ответить
Развернуть ветку
Виталий Подольский

Интересно, а как понять целесообразность поддержки GDPR для мобильного приложения? Если к примеру я у себя на сервере храню ФИО юзера, его номер телефона и информацию о приобретенной лицензии на ПО?

P.S.: я не юрист, а разработчик! Мне сложно понять юридические тонкости, потому и решил спросить, чтоб после не было мучительно больно )))

Ответить
Развернуть ветку
Volc O'Hara

если покупатель европейский, то вы обязаны поддерживать GDPR

Ответить
Развернуть ветку
Виталий Подольский

В локализованном приложении, покупатель может быть откуда угодно

Ответить
Развернуть ветку
Volc O'Hara

и что? Повторю, если покупатель - гражданин Европы, то вы обязаны соблюдать. А уж локальное у вас приложение или нет, это GDPR неинтересно. Да хоть на бумаге!

Ответить
Развернуть ветку
Виталий Подольский

Ну так я и не спорю. Задал здесь вопрос, получил внятный ответ

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Читать все 8 комментариев
null