GDPR vs ФЗ-152

25 мая 2018 года вступили в силу обновленные правила обработки персональных данных – GDPR. Причем тут российский бизнес? Рассказываем ниже, что за зверь – GDPR, в чем разница между европейской аббревиатурой и родным ФЗ-152, и какие последствия нас ждут.

GDPR или General Data Protection Regulation – это закон, принятый Европейским Союзом, который призван урегулировать процесс обработки персональных данных и сделать его прозрачным. Помимо требований непосредственно к обработке, он включает в себя стандарты защиты, передачу персональной информации о гражданах ЕС и содержит перечень штрафов за несоблюдение закона.

Под персональными данными GDPR понимает любую информацию о пользователе, которая позволяет так или иначе идентифицировать его – включая и IP-адрес. В отдельную категорию «особых персональных данных» выносится расовая и конфессиональная принадлежность, биометрические, генетические и физиологические показатели, информация, относящаяся к здоровью, политические убеждения, сексуальная ориентация и половая жизнь.

Согласно документу, с вышеперечисленной информацией имеют дело два типа организаций – контролеры и обработчики. Последние занимаются собственно обработкой данных, а контролер – их источником, который проверяет корректность исполнения всего процесса. Компания может быть одновременно и обработчиком, и контролером: например, она может обрабатывать данные клиентов и проверять обработку персданных собственных сотрудников.

Помимо того, что компании обязаны получить согласие на обработку, пользователи имеют право узнать, обрабатывают ли их данные, что это за данные, за какой период и зачем это нужно компаниям. Они также вправе прекратить обработку и полностью удалить данные о себе – это касается не только поисковиков, но и любой другой компании, которая эти данные обрабатывает.

GDPR актуален для всех компаний, которые работают на территории ЕС и/или обрабатывают персональные данные граждан европейских стран. Вообще отказаться от работы с гражданами ЕС смогут не все: под действие закона попадут не только компании, имеющие европейские подразделения, но и интернет-компании, поскольку регламент распространяется и на мониторинг онлайн-активности пользователей из ЕС. Это значит, что простое использование cookies рекламными сетями уже заставляет соответствовать GDPR.

Впрочем, ФЗ-152 тоже принуждает иностранные компании, например, хранить персональные данных граждан РФ только на расположенных в России серверах.

Оба закона относятся к защите персональных данных физических лиц, поэтому и цели у них одинаковые:

Цель GDPR (Статья 1):

Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных.

Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных.

Цель 152 ФЗ (Статья 2):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Главные отличия GDPR от ФЗ-152 мы решили вынести в таблицу:

Итого: GDPR распространяется не на все отечественные компании, в отличие от ФЗ-152, он определяет право на перенос данных – то есть передача между компаниями персональных данных пользователя по его запросу, и требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения – с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению. Существует список регулирующих органов – вот он, а их, в свою очередь, проверяет European Data Protection Board. Также необходимо проинформировать субъектов персональных данных, чьи интересы и безопасность могут быть затронуты.

На первый взгляд, GDPR и ФЗ-152 похожи, и российским компаниям, работающим в ЕС, вроде как будет довольно просто соответствовать европейским нормам. На самом деле, нет – требования законов совпадают частично, и провести хотя бы минимальный аудит обработки персданных нужно обязательно.

Крупным компаниям придется автоматически выгружать все документы и записи, содержащие персональные данные конкретного человека, изо всех информационных систем и бумажных архивов. Это необходимо для обеспечения прав на доступ (статья 15), забвение (статья 17) и на перенос данных (статья 20). Обращаем ваше внимание, что к персональным данным GDPR относит и онлайн-идентификаторы вроде cookies или IP-адресов.

Пошаговая инструкция по переходу на GDPR:

• Проанализировать процессы обработки персональных данных. Отдельное внимание нужно уделить проверке фактов: попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых персданных.

• Проверить, соответствуют ли бизнес-процессы базовым требований GDPR. Сюда можно отнести и обязательные уведомления об обработке, и наличие ответственного за процесс, и налаженные схемы реагирования на запросы субъектов персданных, сокращение количества собираемых данных, возможность переноса персональных данных и т.д.

• Если будут найдены несоответствия GDPR (а они, скорее всего, будут найдены), устранить их.

Штраф за хотя бы одно нарушение составляет минимум 2% от оборота либо 10 млн евро (виновный платит сумму, которая больше). Пока штрафной регламент для неевропейских компаний не прописан, поэтому вам либо запретят обрабатывать данные и, следовательно, работать с европейскими заказчиками, либо оштрафуют европейскую компанию контролера, которая этот же штраф по контракту взыщет с вас. Поэтому забить и работать как работали раньше обойдется гораздо дороже, чем быть законопослушным. В конце концов, эта инициатива нацелена на то, чтобы обезопасить ваших клиентов. А клиентов надо любить.