GDPR vs 152-ФЗ: битва двух якодзун
Законодатели разных стран обращают все больше внимания на уютный интернет: идет борьба с медиапиратством, пропагандой разных видов, распространением запрещенных товаров. Переход всех сфер жизни в интернет и объемы попадающих в него личных сведений, которые могут больно ударить по гражданам, породил еще одну тенденцию – защиту персональных данных (ПД) физических лиц. Желание государства отрегулировать эту сферу – вполне закономерно. Давайте сравним отечественные и европейские подходы к защите права людей на приватность.
Основные понятияГлавные нормативные документы, о которых пойдёт речь — принятый в 2006 году российский федеральный закон №152 и европейский общий регламент по защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года. Наше законодательство рассматривает персональные данные, как любые сведения, относящиеся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПД), предоставляемые физическим или юридическим лицам. Вводится и понятие оператора ПД: он определяет цели и содержание обработки и осуществляет ее. Обработка – любое действие, совершаемое с персональными данными.
Вводящиеся в GDPR понятия очень похожи, но есть и серьезные отличия. Само определение персональных данных и их характеристик в GDPR гораздо шире использующегося в российском законе. Это сделано для того, чтобы исключить разночтения и спорные моменты, если не понятно, относится информация к ПД или нет. Например, в GDPR есть понятия «Контролёр» (controller) и «Обработчик» (processor), а в 152-ФЗ мы сталкиваемся только с операторами ПД, по крайней мере, в той статье, где даются термины и определения. Согласно GDPR, контролёры определяют цели и средства обработки персональных данных, а обработчики от их имени и по поручению занимаются непосредственно обработкой.
Кого коснётся 152-ФЗ и GDPR?
В смысле экстерриториальности российское законодательство похоже на европейское – в определениях из 152-ФЗ нет ограничений на юрисдикцию. Иными словами, иностранная компания тоже может попасть под действие соответствующих нормативов. С отечественным законом все понятно – практически все российские юрлица работают с персональными данными. А вот попадает ли российское юрлицо под каток GDPR – вопрос хороший.
Есть три сценария: первый – наличие у компании или организации представительства на территории ЕС, что вынуждает соблюдать GDPR. При этом совершенно необязательно иметь зарубежный офис, достаточно абонентского почтового ящика, банковского счета или присутствия на территории ЕС представителя организации, с которым заключён устный или письменный договор. Второй – продажа товаров и услуг находящимся на территории ЕС физическим лицам. Это может затронуть авиакомпании и сервисы по продаже билетов, туристические агентства или интернет-магазины, даже если они работают в России и представительства в ЕС не имеют. Третий сценарий – мониторинг поведения находящихся на территории ЕС физических лиц. Сюда может входить сбор cookies или IP, статистики использования сайтов через платформы Google или Яндекс.
Если ваш случай попадает хотя бы под один сценарий, требования GDPR придётся выполнять — закон экстерриториален.
Как не нарушить закон?
Говоря о персональных данных, мы имеем в виду два больших блока — правильная их обработка и защита. В организации должен быть ответственный за обработку ПД – этот пункт общий в российских и европейских нормативах. В GDPR есть понятие Data protect officer – он подчиняется высшему руководству компании, но в отличие от 152-ФЗ, эту задачу может решать сторонний подрядчик (юридическое лицо).
В нашей стране организации обязаны привести процессы обработки персональных данных в соответствие с законодательством РФ: проектировать и внедрять системы защиты и подавать в Роскомнадзор уведомления о том, что организация – оператор персональных данных. Необходимо получить у субъектов ПД согласие (в т.ч. при передаче их ПД третьим лицам), подготовить и опубликовать на сайте соответствующие положения и, согласно 242-ФЗ, обеспечить нахождение баз персональных данных на территории РФ (242-ФЗ).
Здесь возникает ещё одно серьёзное отличие, GDPR не требует обязательного хранения персональных данных на территории стран Евросоюза. Хотя европейский регламент во многом перекликается с российским законодательством, в части трансграничной передачи ПД и построения информационных систем есть серьезные отличия — она возможна только в те страны, которые, по мнению Евросоюза, адекватно защищают персональные данные. Россия и США, например, в этот список не входят и выходом здесь может стать прописанное в GDRP определение компании, которая адекватно защищает персональные данные. Если вы сумеете доказать, что провели организационно-технические мероприятия и обладаете всеми необходимыми средствами защиты, можно подписать соглашение, разрешающее передачу ПД из ЕС в Россию. Согласно 152-ФЗ, трансграничная передача разрешена во все страны, которые присоединились к конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также в ряд неприсоединившихся государств, обеспечивающих защиту ПД.
Российское законодательство допускает сбор персональных данных в объеме, соответствующем целям обработки и их хранение в течение срока, соответствующего целям обработки. С точки зрения GDPR, есть несколько законных оснований для обработки ПД: контракт, согласие, публичный, жизненный или легитимный интерес. Они во многом пересекаются с прописанными в 152-ФЗ основаниями — для большинства можно найти соответствующие аналоги, хотя формулировки различны. Лучше всего, конечно, заключить с субъектом некий контракт (договор), потому что согласие, например, можно отозвать в одностороннем порядке.
Более подробно стоит остановиться на легитимном интересе, поскольку такого понятия в отечественном законодательстве нет. Это основание мы используем, когда не осталось иных возможностей. Оно применяется, если общественный и/или корпоративный интерес объективно выше, чем права субъекта. Например, для сбора и обработки аналитики на сайтах, когда мы не можем использовать другие варианты. При этом субъекта необходимо уведомить, а также придётся обеспечить прозрачность и законность обработки.
Каковы требования к средствам защиты?
Одним из ключевых отличий GDPR от 152-ФЗ – защита персональных данных исходя из рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и вероятен – вести обработку нельзя. Придётся запустить процесс оценки воздействия на персональные данные (DPIA), применяя организационные и технические меры до тех пор, пока ситуация не улучшится.
В российском законодательстве есть только понятие уровня защищенности персональных данных. Оно зависит от их типа, количества и наличия недекларированных возможностей в системном и прикладном ПО. При этом даются конкретные указания об использовании сертифицированных средств защиты (в первую очередь это 21-й приказ ФСТЭК), а у GDPR таких подзаконных актов нет.
Очень важный момент — принципы Privacy by Design & Privacy by default или принципы Анны Кавукян. Они означают, что обрабатывающие ПД информационные системы должны по умолчанию обеспечивать защиту ПД. Если ваш сервис, например, по умолчанию не использует HTTPS, возможна компрометация — такого быть не должно, шифрование следует включить без необходимости поиска опции в настройках. В информационные системы на превентивной основе должны быть внедрены средства защиты приватности, задействованные по умолчанию. Максимальную приватность необходимо обеспечить без ущерба для функциональности на всем протяжении жизненного цикла ПД – придётся обеспечить удаление данных по требованию пользователя.
Какова ответственность за нарушения?
Роскомнадзор может прийти в любую организацию с проверкой по результатам систематического наблюдения или на основании заявления физического лица. Есть ещё плановые проверки, список которых выложен на основном сайте ведомства, а также на сайтах региональных и территориальных подразделений — его стоит регулярно проверять. Если организация не уведомила Роскомнадзор, что является оператором ПД, от проверок это её не спасёт, как не поможет и формальное заполнение готового пакета документов, скачанного из интернета — специалисты ведомства работают тщательно, обязательно проверят информационные системы и выяснят реальное положение дел. Передача персональных данных в принадлежащее третьей стороне защищённое облако также не поможет — именно оператор задает цель обработки ПД и он же несёт ответственность за нарушения.
Последствия нарушения очень серьезные: блокировка сайта организации, крупные штрафы для юридических и для должностных лиц, приостановка деятельности компании на срок до 90 суток, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью на срок от 2-х до 5-и лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно, организация понесёт репутационные потери.
У нарушившей GDPR российской организации также возникнут проблемы – огромные штрафы. Если в России по различным статьям уголовного и гражданского кодекса виновные заплатят до трехсот тысяч рублей, в Европе нет ограничений по суммам — содрать могут до 4% годового оборота компании. Тот факт, что надзорный орган расположен за границей, сути дела не меняет — в случае отказа платить, Евросоюз будет вводить серьезные санкции в отношении организации-нарушителя и даже физических лиц: блокировать счета на территории ЕС, запрещать въезд в страны ЕС для должностных лиц и т.д. Закон вступил в силу только 25 мая, но штрафы уже начали выписывать, хотя крупных дел пока не было. Тут лучше перестраховаться, поэтому многие российские крупные интернет-сервисы весной и летом обновляли политики конфиденциальности, сайты и мобильные приложения, приводя обработку ПД в соответствие с GDPR.
Выводы
Глобальная социальная значимость сети огромна, поэтому государства станут все тщательнее регулировать пересылку и обработку байтов. Соблюдать придется не только законы в своей юрисдикции — экстерриториальность уходит в прошлое.
Будет играть роль экономическая значимость и политический вес государства – в Евросоюзе живёт 511 миллионов человек и российские компании кровно в этом рынке заинтересованы, а потому не могут игнорировать европейские законы. Им придётся иметь дело с 28 надзорными органами в 28 странах вместо одного Роскомнадзора. Это непросто, но у ЕС достаточно ресурсов, чтобы отлеживать нарушения, поэтому лучше не рисковать. У Роскомнадзора ресурсов тоже немало, и это ведомство к нам гораздо ближе, так что забывать про 152-ФЗ небезопасно.
Опубликовано 06.11.2018