GDPR vs ФЗ-152

25 мая 2018 года вступили в силу обновленные правила обработки персональных данных – GDPR. Причем тут российский бизнес? Рассказываем ниже, что за зверь – GDPR, в чем разница между европейской аббревиатурой и родным ФЗ-152, и какие последствия нас ждут.

В закладки

Что такое GDPR

GDPR или General Data Protection Regulation – это закон, принятый Европейским Союзом, который призван урегулировать процесс обработки персональных данных и сделать его прозрачным. Помимо требований непосредственно к обработке, он включает в себя стандарты защиты, передачу персональной информации о гражданах ЕС и содержит перечень штрафов за несоблюдение закона.

Под персональными данными GDPR понимает любую информацию о пользователе, которая позволяет так или иначе идентифицировать его – включая и IP-адрес. В отдельную категорию «особых персональных данных» выносится расовая и конфессиональная принадлежность, биометрические, генетические и физиологические показатели, информация, относящаяся к здоровью, политические убеждения, сексуальная ориентация и половая жизнь.

Согласно документу, с вышеперечисленной информацией имеют дело два типа организаций – контролеры и обработчики. Последние занимаются собственно обработкой данных, а контролер – их источником, который проверяет корректность исполнения всего процесса. Компания может быть одновременно и обработчиком, и контролером: например, она может обрабатывать данные клиентов и проверять обработку персданных собственных сотрудников.

Помимо того, что компании обязаны получить согласие на обработку, пользователи имеют право узнать, обрабатывают ли их данные, что это за данные, за какой период и зачем это нужно компаниям. Они также вправе прекратить обработку и полностью удалить данные о себе – это касается не только поисковиков, но и любой другой компании, которая эти данные обрабатывает.

При чем тут российский бизнес

GDPR актуален для всех компаний, которые работают на территории ЕС и/или обрабатывают персональные данные граждан европейских стран. Вообще отказаться от работы с гражданами ЕС смогут не все: под действие закона попадут не только компании, имеющие европейские подразделения, но и интернет-компании, поскольку регламент распространяется и на мониторинг онлайн-активности пользователей из ЕС. Это значит, что простое использование cookies рекламными сетями уже заставляет соответствовать GDPR.

Впрочем, ФЗ-152 тоже принуждает иностранные компании, например, хранить персональные данных граждан РФ только на расположенных в России серверах.

ФЗ-152 и GDPR

Оба закона относятся к защите персональных данных физических лиц, поэтому и цели у них одинаковые:

Цель GDPR (Статья 1):

Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных.

Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных.

Цель 152 ФЗ (Статья 2):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Главные отличия GDPR от ФЗ-152 мы решили вынести в таблицу:

Итого: GDPR распространяется не на все отечественные компании, в отличие от ФЗ-152, он определяет право на перенос данных – то есть передача между компаниями персональных данных пользователя по его запросу, и требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения – с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению. Существует список регулирующих органов – вот он, а их, в свою очередь, проверяет European Data Protection Board. Также необходимо проинформировать субъектов персональных данных, чьи интересы и безопасность могут быть затронуты.

Как подготовиться к GDPR

На первый взгляд, GDPR и ФЗ-152 похожи, и российским компаниям, работающим в ЕС, вроде как будет довольно просто соответствовать европейским нормам. На самом деле, нет – требования законов совпадают частично, и провести хотя бы минимальный аудит обработки персданных нужно обязательно.

Крупным компаниям придется автоматически выгружать все документы и записи, содержащие персональные данные конкретного человека, изо всех информационных систем и бумажных архивов. Это необходимо для обеспечения прав на доступ (статья 15), забвение (статья 17) и на перенос данных (статья 20). Обращаем ваше внимание, что к персональным данным GDPR относит и онлайн-идентификаторы вроде cookies или IP-адресов.

Пошаговая инструкция по переходу на GDPR:

  • Проанализировать процессы обработки персональных данных. Отдельное внимание нужно уделить проверке фактов: попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых персданных.
  • Проверить, соответствуют ли бизнес-процессы базовым требований GDPR. Сюда можно отнести и обязательные уведомления об обработке, и наличие ответственного за процесс, и налаженные схемы реагирования на запросы субъектов персданных, сокращение количества собираемых данных, возможность переноса персональных данных и т.д.
  • Если будут найдены несоответствия GDPR (а они, скорее всего, будут найдены), устранить их.

Штраф за хотя бы одно нарушение составляет минимум 2% от оборота либо 10 млн евро (виновный платит сумму, которая больше). Пока штрафной регламент для неевропейских компаний не прописан, поэтому вам либо запретят обрабатывать данные и, следовательно, работать с европейскими заказчиками, либо оштрафуют европейскую компанию контролера, которая этот же штраф по контракту взыщет с вас. Поэтому забить и работать как работали раньше обойдется гораздо дороже, чем быть законопослушным. В конце концов, эта инициатива нацелена на то, чтобы обезопасить ваших клиентов. А клиентов надо любить.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Максим Красильников", "author_type": "self", "tags": [], "comments": 8, "likes": 6, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 42581, "is_wide": false, "is_ugc": true, "date": "Wed, 25 Jul 2018 17:15:42 +0300" }
{ "id": 42581, "author_id": 188891, "diff_limit": 1000, "urls": {"diff":"\/comments\/42581\/get","add":"\/comments\/42581\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/42581"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

8 комментариев 8 комм.

Популярные

По порядку

Написать комментарий...
1

Из практического, GDPR требует возможность
1) выгрузить данные из личного кабинета
2) удалить данные из личного кабинета.

Ответить
0

Ага, стало более-менее понятно. Спасибо.

Ответить
0

и еще спросить разрешения их хранить, а без этого хранить нельзя

Ответить
0

Интересно, а как понять целесообразность поддержки GDPR для мобильного приложения? Если к примеру я у себя на сервере храню ФИО юзера, его номер телефона и информацию о приобретенной лицензии на ПО?

P.S.: я не юрист, а разработчик! Мне сложно понять юридические тонкости, потому и решил спросить, чтоб после не было мучительно больно )))

Ответить
0

если покупатель европейский, то вы обязаны поддерживать GDPR

Ответить
0

В локализованном приложении, покупатель может быть откуда угодно

Ответить
0

и что? Повторю, если покупатель - гражданин Европы, то вы обязаны соблюдать. А уж локальное у вас приложение или нет, это GDPR неинтересно. Да хоть на бумаге!

Ответить
0

Ну так я и не спорю. Задал здесь вопрос, получил внятный ответ

Ответить

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления
{ "page_type": "default" }