Обзор законодательства
GDPR и 152-ФЗ: сходства, отличия, регламенты
Персональные данные человека в российском законодательстве защищаются 152-ФЗ «О персональных данных», который был принят в 2006 году. В правовом поле Европейского союза корректность сбора и обработки ПДн регулируется законом General Data Protection Regulation, сокращенно GDPR, который пришел в 2018 на смену директивы 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении данных». Каждый из актов имеет свои особенности, которые необходимо учитывать компаниям, работающим на территориях России и Европы.
Регламент GDPR
General Data Protection Regulation – закон, который был принят ЕС для урегулирования процессов сбора, обработки и хранения персональных данных. Включает стандарты защиты ПДн, нормы передачи информации о жителях Евросоюза и штрафы за нарушение норм акта.
Персональные данные в GDPR – это любая информация о человеке, которая позволяет прямо или косвенно его идентифицировать, включая онлайн-идентификаторы IP-адрес, cookie. В законе выделяется категория «особые персональные данные», включающая:
— принадлежность к расе и конфессии;
— биометрические, физиологические и генетические данные;
— информация о здоровье;
— политические убеждения;
— половая жизнь и сексуальная ориентация.
Согласно регламенту GDPR жители ЕС должны не только давать согласие на обработку ПДн, но и могут узнать у компании, обрабатывает ли она их данные, какого рода эти данные, как долго идет обработка и с какой целью. В случае, если человек захочет прекратить обработку своих данных или уничтожить данные о себе, он может попросить об этом компанию.
В GDPR выделены два типа организаций: обработчики и контролеры. Обработчики данные обрабатывают, а контролеры их поставляют и проверяют корректность исполнения процесса обработки. Компания может одновременно являться и контролером, и обработчиком для разных групп персданных.
Требования 152-ФЗ
В России личную информацию человека защищает 152-ФЗ «О персональных данных». Подробно о законе и его регламентах портал «Закон 152» писал ранее.
Закон защищает права и свободы человека при обработке его персональных данных. В ФЗ указаны принципы и условия обработки ПДн, права человека, чьи данные обрабатывают, обязанности оператора персданных, порядок контроля за процедурой обработки и ответственность за нарушение закона.
Персональными данными 152-ФЗ считает любую информацию, которая может прямо или косвенно идентифицировать личность человека. Определяющими факторами являются ситуации, при которой данные были получены, с какой целью обработаны, были ли какие-либо дополнения. То есть, в каких-то случаях информация будет относиться к персональным данным, а в каких-то – нет.
Обработка персональных данных осуществляется на основании согласия человека, чьи ПДн обрабатываются.
Работу с персданными осуществляет оператор. Он собирает, обрабатывает и хранит ПДн. Оператором может быть организация, госорган или индивидуальный предприниматель, который работает с данным, исходя из специфики деятельности, и обычный человек, который создал форум и запрашивает данные для регистрации в нем.
Сравнение законов
GDPR и 152-ФЗ «О персональных данных» преследуют одинаковую цель – защитить персональные данные человека при их сборе, обработке и передаче. У законопроектов много схожих требований, но есть и отличия.
| № п/п | Требование | GDPR | 152-ФЗ |
| 1 | |||
| 4 | Наличие Политики конфиденциальности | + | + |
| 5 | Право на забвение | + | + |
| 6 | Наличие в компании сотрудника, ответственного за хранение ПДн |
+ |
+ |
| 7 | Уведомление человека об утечке ПДн | + | — |
| 8 | Размещение серверов и дата-центров оператора на территории страны, данные граждан которой собираются, обрабатываются и хранятся |
— |
+ |
| 9 | Перенос данных по запросу человека | + | — |
Из таблицы следует, что законы отличаются в нескольких аспектах. В отличие от 152-ФЗ GDPR не требует от организаций-операторов располагать серверы на своей территории. К требованиям, которые предъявляет GDPR и которых нет у закона «О персональных данных», относятся перенос персональных данных человека другому оператору по его запросу и обязательное уведомление регулирующих органов об утечках в течение 72 часов с момента обнаружения. В документе должны быть указаны риски, которым может быть подвержен человек, и списком мер, которые необходимо предпринять для их устранения.
Соблюдение обоих законов
Соблюдать правила GDPR должны компании, которые работают в Европе, имеют там представительства или обрабатывают данные ее жителей. То есть под действие закона попадают не только организации, имеющие в ЕС офисы, но и интернет-компании со всего мира, поскольку GDPR предусматривает контроль за действиями европейских пользователей в сети.
Выполнять правила закона «О персональных данных» должны все юридические и физические лица, которые собирают, хранят и обрабатывают ПДн россиян. При этом, каждый оператор, работающий с персданными россиян, обязан размещать серверы в России.
Штрафы за несоблюдение законов
За несоблюдение закона «О персональных данных» операторам может грозить как дисциплинарная, так и уголовная ответственности. Подробнее об этом портал «Закон 152» писал ранее.
Нарушители GDPR могут заплатить штраф, который может быть рассчитан двумя способами. Компанию могут оштрафовать на сумму до 20 млн евро, либо в размере 4% от мирового ее оборота за прошлый год. В зависимости от того, какая сумма будет большей, такую и заплатит организация-нарушитель.