Персональные данные: GDPR против ФЗ 152

Персональные данные: GDPR против ФЗ 152

Идейно два этих нормативных акта имеют много общего, но в реальности обеспечить соответствие одновременно им обоим не так просто, как кажется.

Персональные данные: GDPR против ФЗ 152

Начать стоит с того, что конкретного ответа на вопрос «что такое персональные данные?» в тексте закона 152 нет. Сведения, необходимые для трактовки российского законодательства, можно почерпнуть из международных соглашений. Определение ПД лежит в контексте каждой конкретной ситуации.

В международном законодательстве первоисточником определения является Конвенция о защите физических лиц при автоматизированной обработке персональных данных — СДСЕ N 108 (Конвенция 108). Именно там дано наиболее обстоятельное определение ПД:

«Персональные данные означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»)». Согласно директиве от 1995 года в Европе определение персональных данных было немного расширено — к ним были причислены различные пользовательские идентификаторы. Впоследствии Working party 29 (WP29), или рабочая группа по статье 29, в своем Opinion 4/2007 на 26 листах уточнила определение персональных данных и с примерами пояснила, что к ним относится, а что нет.

Российская судебная практика последние 12 лет только стремится к этим положениям, в то время как в Евроре они известны уже более 10 лет.

Относительно недавно принятый GDPR еще больше расширил понятие персональных данных, теперь к ним относится вообще вся идентифицирующая информация. Даже оператор, предоставляющий IP-транзит для другого провайдера, может являться оператором персональных данных. Вероятно, те же определения со временем интегрируются и в российский 152-ФЗ. 

Так в чем же отличия?

GDPR предусматривает сразу несколько ролей в процессе обработки персональных данных. Контролер призван определять цели и средства обработки персональных данных. Именно он совершает работу с субъектом, публикует Политику конфиденциальности (Privacy Policy). Процессором является любой оператор пользовательской аналитики, хостинг, облачный сервис и тому подобное, то есть тот, кто непосредственно обрабатывает эти данные. Между этими двумя операторами должно быть соглашение на обработку данных (определенное в параграфе 3 статьи 28 GDPR). И все они в равной степени будут нести ответственность за нарушения.

Персональные данные: GDPR против ФЗ 152

В отличие от GDPR, 152-ФЗ рассматривает только одного оператора персональных данных. Он может дать поручение на обработку другому оператору персональных данных, но в любом случае административную ответственность понесет только первый оператор. И в этом заключается серьезная проблема 152-ФЗ.

В России достаточными считаются меры, которых явно недостаточно для Европы. В некотором смысле у нас защита ПД осуществляется «на бумажке», в то время как в Европе их защищают в реальности. Чтобы, например, взаимодействовать с европейскими клиентами, нужно дополнительно получать согласие на обработку и подписывать с контрагентами специальные условия, по которым передаются обязательства по GDPR. Загвоздка в том, что в России подписать такие соглашаются лишь отдельные компании.

А что с проверками? Как это происходит в реальности?

В России проверки на соответствие 152-ФЗ проходят… поверхностно. Фактически у сервиса все может быть визуально хорошо, но на практике процессы совсем не соответствуют закону. 

Персональные данные: GDPR против ФЗ 152

С GDPR все иначе — не получится отделаться документами. В данный момент в Европе на базе ISO 27001 разрабатывается сертификация, подтверждающая, что компания в любой момент соответствует GDPR.

С позиции этого закона каждое взаимодействие участников процесса обработки ПД должно быть задокументировано. Например, есть сервис Интернета вещей, созданный группой компаний. Внутри холдинга производителя есть разработчик железа, софта и тому подобного и формируются свои взаимосвязи с точки зрения обработки персональных данных. Отдельные компании холдинга могут быть холдерами процессов обработки или совместными контролерами персональных данных. По каждой категории персональных данных эти роли могут отличаться, так что компаниям нужно о многом договориться. Если какая-то связь здесь будет нарушена, появятся риски получить большие штрафы.

В нынешних реалиях, если компания хочет выйти на европейский рынок или просто на всякий случай соответствовать GDPR, начинать надо с понимания функционирования Privacy by design. Если вкратце, то принцип Privacy by design состоит в том, что приватность закладывается на этапе создания решения. Этот принцип лежит в основе GDPR и, вероятно, со временем перекочует и в ФЗ 152.

А что там с практикой?

Политика обработки ПД в организации должна учитывать все их источники: заявителей, пользователей технически связанных услуг, по которым оператор связи является агентом, пользователей сайтов и приложений, работников операторов связи, учредителей, совет директоров, сотрудников подрядчиков и тому подобное — то есть всех физических лиц, с которыми работает (сотрудничает) компания.

Важно также учитывать абсолютно все системы, которые работают с данными пользователей — системы идентификации на устройствах, биллинговые системы, CRM, корпоративные чаты и электронную почту (это далеко не весь список). 

Следует учесть, что если при скрытии некоторых информационных систем персональных данных (ИСПДн) от Рос­комнадзора возможная ответственность ниже, чем ее изначальное документирование, то по GDPR риски как раз складываются по-иному.

Персональные данные: GDPR против ФЗ 152В последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *