Сравнение законодательства: GDPR и ФЗ-152

21 Мая 2018

В мае 2018 году вступили в силу обновленные правила обработки персональных данных, установленные Общим регламентом по защите данных или GDRP (General Data Protection Regulation). Разберемся, какие последствия могут быть для российских компаний, чем отличается GDPR от ФЗ-152.

фз152 gdpr

Кому актуально?

Прежде всего, нужно разобраться, кому актуален GDPR: возможно, именно для вашей фирмы нашумевший регламент неактуален, то нет причин для беспокойства. Новый регламент актуален для всех компаний (независимо, где находится организация — внутри ЕС или за его пределами), обрабатывающих персональные данные граждан европейских стран. Если ваше учреждение обрабатывает личную информацию хотя бы одного гражданина страны-члена ЕС, оно должно соответствовать принятому постановлению.

Регламент GDPR содержит существенное число требований, например, обеспечение переносимости всех персональных данных (data portability), что может вылиться в миллиардные затраты в масштабах страны.

Казалось бы, можно просто не предоставлять гражданам ЕС никаких услуг, тогда проблема решиться сама собой. Но не все так просто. Как минимум, под действие регламента попадут финансовые, энергетические учреждения, имеющие отделения в Европе, а также Интернет-компании, поскольку регламент распространяется на мониторинг активности граждан ЕС, а это значит, что простое использование Cookies рекламными сетями уже заставляет соответствовать действующему постановлению ЕС.

ФЗ-152 также принуждает иностранные организации к определенным действиям, например, хранить личные данные граждан РФ только на серверах, расположенных в России. Требования ФЗ-152 полностью соблюдает Xelent, предоставляя услуги виртуального ЦОД.

Что общего между ФЗ-152 и GDPR?

Оба закона относятся к защите данных физических лиц, поэтому цели у них одинаковые:

Цель GDPR (Статья 1):

Данный закон устанавливает правила, относящиеся к защите физических лиц в связи с обработкой персональных данных, а также правила, связанные со свободным движением персональных данных.

Данный закон защищает фундаментальные права и свободы физических лиц и в частности их право на защиту персональных данных.

Цель 152 ФЗ (Статья 2):

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну

Отличия вкратце

GDPR — объемный документ, поэтому мы выделили некоторые отличия от ФЗ-152 (таблица 1).

Таблица 1. Отличия GDPR от ФЗ-152 вкратце

  ФЗ-152 GDPR
Актуально для России Да Не для всех
Право знать о порядке обработки Да Да
Право на забвение Да Да
Право на перенос Нет Да
Необходимость уведомлять об утечках ПДн Нет Да
Cookies и IP-адреса считаются ПДн Нет Да

Из этой таблицы следует, что постановление ЕС актуально не для всех учреждений (см. выше), оно определяет право на перенос информации (чего не предусматривает ФЗ-152) и он требует уведомлять об утечках ПДн, что также не требуется ФЗ-152.

Как подготовиться к GDPR?

На первый взгляд кажется, что законы GDPR и ФЗ-152 похожи, а российским компаниям, работающим в ЕС, будет довольно просто соответствовать европейским нормам.

Однако требования законов совпадают лишь частично, поэтому необходимо провести хотя бы минимальный аудит процессов, связанных с обработкой личной информации. Если какие-либо несоответствия будут выявлены, потребуется перестройка этих процессов.

Регламент GDPR вступил в силу 25 мая 2018 года. Если предприятие не готово к нему, самое время обследовать данные с процессами компании, чтобы определить потенциальные риски.

Если организация уже решила вопросы обеспечения защиты персональных данных в соответствии с российским законодательством (ФЗ-152), больших проблем быть не должно: ведь учреждение уже знает, где, как обрабатывается информация. Останется только обратить внимание на специфические требования Общего регламента по защите данных. Например, на необходимость оповещать регулирующие органы о нарушениях, связанных с персональными данными в течение 72 часов после обнаружения такого нарушения, а также на обеспечение возможности переноса личной информации. Эти правила действуют и у нас при аренде облачного сервера и оказании других услуг.

Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Крупным учреждениям придется автоматически находить, выгружать все документы и записи с конкретными персональными данными конкретного человека из всех информационных систем, бумажных архивов. Это необходимо для обеспечения прав на доступ (статья 15), забвение (статья 17) и на перенос данных (статья 20).

К персональным данным в постановлении Европейского союза относят и онлайн-идентификаторы вроде Cookies или IP-адресов. Предприятиям нужно пересмотреть процессы, связанные с использованием цифровых технологий.

Алгоритм следующий:

  1. Проанализировать процессы обработки персональных данных. Нужно проверить, попадает ли компания под требования GDPR по территориальному признаку, принципу принадлежности или по составу обрабатываемых ПДн.
  2. Проверить, соответствуют ли бизнес-процессы базовым требований GDPR. Сюда можно отнести (помимо того, что было перечислено) наличие уведомлений об обработке, назначение ответственного за обработку, налаженные процессы по реагированию на запросы субъектов ПДн, сокращение количества собираемых данных, возможность переноса личной информации и т. д.
  3. Если будут найдены несоответствия GDPR, устранить их.

Если произошло ЧП

Согласно постановлению, в случае чрезвычайного происшествия (например, утечки информации) компания должна уведомить контролирующий орган в течение 72 часов, предоставив отчет о рисках для физических лиц и о принятых мерах по снижению этих рисков. Нужно проинформировать субъектов персональных данных, чьи интересы и безопасность могут быть затронуты.

Штрафы

Несоблюдение требований GDPR сулит штрафами до €20 млн. или 4% от мирового оборота компании за прошлый финансовый год — в зависимости от того, какая сумма больше. Контролирующий орган может наложить запрет на обработку персональных данных, что даже страшнее, чем блокировка счета. Для Интернет-компаний приостановление обработки персональных данных будет означать приостановление бизнеса.

Есть хорошие новости: с контролирующими органами можно судиться. Без тщательной подготовки оспорить нарушения будет сложно, но все же можно.

Выводы

Новый регламент коснется не всех компаний, но мы рекомендуем провести аудит бизнес-процессов (особенно Интернет-компаниям), чтобы убедиться, что, либо компания соответствует GDPR, либо этот регламент не актуален для конкретного предприятия.

Получить консультацию специалиста
Персональный ассистент
Cloud.Xelent