Вход
Регистрация

Персональные данные по-русски и по-европейски

Персональные данные по-русски и по-европейски

Персональные данные по-русски и по-европейски

О том, что в России действует Закон о защите персональных данных, мы знаем давно. Население уже в курсе, что любая информация, которая может идентифицировать человека, включая даже номер телефона, регламентируется специальными нормами и требует особенного внимания. В конце концов, собрать персональные данные может и обычная форма обратной связи, которая сегодня есть почти на каждом интернет-сайте.

Европейский нормативный акт, регламентирующий работу с персональными данными, GDPR (General Data Protection Regulation) принят только весной 2018 года. Но, так как касается он сразу 28 стран, расположенных совсем близко к нашим границам, провериться на соответствие его нормам не помешает.

Причем тут мы?

GDPR – нормативный акт, принятый Европейским Союзом и касающийся стран, которые входят в его состав. Казалось бы, российских компаний он может коснуться только в том случае, если они работают на территории Европы. Но интернет – безграничен. А это значит, что в случае получения или обработки данных любого гражданина стран ЕС, компания автоматически попадает под действие закона наших западных соседей по континенту. 

Поэтому проверка готовности к соблюдению норм GDPR актуальна для любой компании, и не только российской, но даже американской или китайской.

Сходства

И российский ФЗ-152, и европейский GDPR имеют практически одно и то же назначение – охрану прав граждан в части, касающейся сбора, хранения и обработки их персональных данных. Схож и основной набор требований, которые они предъявляют к тем, кто занят сбором и обработкой подобной информации.

Скорее всего, ваша компания уже подготовилась к работе с персональными данными по нормам российского ФЗ-152 и потому знает, собирает ли она такую информацию, где она хранится, как и кем обрабатывается. Реализованы наверняка и требования касающихся общих для обоих законов норм: права субъектов персональных данных на информацию, о порядке обработки такой информации и о праве на забвение.  Наконец, решен вопрос и с назначением лица, ответственного за работу с подобными материалами.

Что стоит проверить

Казалось бы, отечественным компаниям, работающим на европейских рынках, нечего опасаться, если они уверены в своей «чистоте» по российским правилам. Но, увы, успокаиваться преждевременно. Как всегда, главное кроется в деталях. А они достаточно сильно отличаются друг от друга. Поэтому тем, кто уже работает или только собирается выходить на рынки западных соседей России, стоит провести небольшой анализ. 

Проверить следует:

  • попадает ли деятельность компании под действие GDPR по территориальному признаку, принадлежности (месту учреждения и юрисдикции) и составу персональных данных, которые собираются и обрабатываются в компании;

  • соответствуют ли бизнес-процессы компании требованиям GDPR.

А теперь давайте разбираться в деталях более подробно. Принципиальных отличий ФЗ-152 от GDPR всего три, поэтому обнаружить их в своей деятельности не так уж сложно.

Переносимость данных

В отличие от ФЗ-152, GDPR требует обеспечить переносимость данных. Это заметная новация, которая впервые введена как раз в европейском регламенте. Означает она право субъекта данных (то есть человека, к которому эти данные относятся) потребовать бесплатно передать электронную копию этих данных от одной компании к другой. 

К примеру, человек пользуется онлайн-сервисом который при регистрации собрал его персональные данные. В один прекрасный момент пользователь принимает решение от него отказаться, воспользовавшись аналогичным. 

В этом случае, он волен потребовать, чтобы первый сервис передал второму его персональные данные. На практике это будет означать право человека не заполнять заново анкету на сайте сервиса, просто сославшись на собственные данные, расположенные на сайте конкурента.  Чаще всего реализацию такого права можно встретить, когда вместо регистрации какой-либо сайт предлагает войти с использованием аккаунта Google, Facebook или какого-либо другого проекта.

Проверять соответствие бизнес-процессов компании на соответствие GDPR необходимо для того, чтобы обеспечить именно такую возможность. 

Формат и способ хранения данных, возможность их использования сторонними организациями, наличие у вашей корпоративной системы API и средств связи, позволяющих обеспечить защищенное подключение сторонней организации – вот что стоит проверить для обеспечения переносимости данных.

Уведомление об утечках

GDPR требует от операторов персональных данных уведомлять регулирующие органы Евросоюза об утечках персональных данных. Делать это нужно в течение 72 часов с момента обнаружения инцидента. 

Таким образом, вы обязаны обеспечить и контроль сохранности персональных данных, и возможность оперативно уведомить их субъекта о случившихся инцидентах. Более того, субъектов данных придется уведомить и о том, каким именно рискам подвергает их и их данные каждая конкретная утечка. Потребуются и рекомендации о том, каким образом можно сократить из-за возникшего инцидента риски.

Также
по теме
Стоит сказать, что факторов способствующих утрате персональных данных немало. Это могут быть компьютерные вирусы, о которых мы писали ранее, ошибки в программном обеспечении или банальный человеческий фактор. 

В нашем предыдущем материале вы можете узнать о методах и эффективных средствах противодействия кибератакам. Не стоит игнорировать также и существующие программные решения в области информационной безопасности.

Куки

Да, речь идет о файлах cookies. Дело в том, что они, как и IP-адреса, признаются GDPR персональными данными (в ФЗ-152 такой нормы нет). Таким образом, если ваш сайт обрабатывает такие файлы (а это происходит наверняка), то он автоматически попадает под действие европейского нормативного акта. Ведь зайти на ваш сайт и «наследить» на нем может любой пользователь, в том числе и резидент стран ЕС.

Выход из ситуации вы наверняка уже видели на множестве сайтов – специальное окошечко, в котором содержится текст, излагающий политику компании в области обработки файлов cookies. Разместить такую информацию на своем сайте нужно обязательно.

Как видим, ситуация может оказаться непростой. Компаниям, использующим для работы с данными собственную инфраструктуру, действительно стоит провести внутренний аудит, чтобы убедиться в отсутствии противоречий с обоими законами.

Куда проще придется тем, кто пользуется услугами дата-центров и облачных провайдеров. Подавляющее большинство из них уже обеспечили соответствие своих систем и сервисов требованиям как российского, так и европейского законодательства. Но поинтересоваться лишний раз не помешает. Доверяй, но проверяй.

Как государственные органы охраняют персональные данные

Очень громкий скандал вокруг утечки персональных данных разразился еще до принятия GDPR, в 2015 году. Тогда была взломана корпоративная система крупнейшей в мире сети гостиниц Hilton. В результате были скомпрометированы данные о 350 тысячах банковских карт клиентов компании. Мало того, через 9 месяцев история повторилась вновь. На этот раз утекла информация о более чем 360 тыс. кредиток.

Тогда Hilton отделался штрафом в 700 тыс. долларов. Сегодня гостиничный оператор, в соответствии с нормами GDPR, расплатился бы за свою безалаберность кругленькой суммой в 420 миллионов. 

«Отметился» на ниве нарушений GDPR (не исключено, что в этом случае мог быть использован и российский ФЗ-152) и «Яндекс». Правда, вина поисковика была косвенной, и отделался он легким испугом. 

4 июля 2018 года из Google Документы утекли в Сеть данные. Робот «Яндекса» сделал то, что и должен был – проиндексировал их. Российской (а вернее нидерландской, потому что в структуре собственников поискового сервиса имеется и европейское юридическое лицо) компании повезло – об инциденте быстро стало известно, и информация из выдачи была оперативно удалена. Обошлось без штрафа. Правда, «Яндекс» вынужден был сообщить о неприятном для себя случае и изрядно оконфузился.

В России таких громких случаев увы, неизвестно. Наверное, случись прецеденты, и волна мошеннического спама, которой подвергаются все без исключения граждане, была бы не такой масштабной. Ведь в большинстве таких разводов используются как раз персональные данные. Но нельзя сказать, что государственные органы равнодушны к проблеме. Штрафы за нарушение норм ФЗ-152 повышаются регулярно, а Роскомнадзор периодически отчитывается о блокировке сайтов, на которых можно свободно «пробить человека» по номеру телефона или адресу.

Самое читаемое

1362 | SoftPowerИмпортозамещение: итоги года 1339 | SoftPowerСофт персоны. Чем пользуется основатель и генеральный директор агентства iTrend Павел Житнюк 1328 | SoftPowerРешаем задачи малого бизнеса 1101 | SoftPowerКогда технологии пугают 993 | SoftPowerКитайская грамота 936 | SoftPowerКак российские геймдевы покоряют мир 825 | Новости вендоровTrimble представил SketchUp 2020 737 | Новости SyssoftCommvault наградил «Системный софт» по результатам 2019 года 669 | Новости SyssoftУспешно купленный софт сохраняет несколько сотен нервных клеток 584 | Новости вендоров«Системный софт» подтвердил статус Premier в партнерской программе Cisco 201 | Акции и скидкиОбновления Delphi, C++Builder и RAD Studio вновь доступны для всех 196 | Акции и скидкиAltium объявляет о скидках на два популярных продукта 138 | Записи вебинаровМетоды моделирования местности. Зачем это нужно? 61 | Анонсы вебинаровПереход на IaaS. Почему, зачем и как - опыт реальных проектов 15 | Новости Syssoft14 принципов «Системного софта»