В Евросоюзе обработку персональных данных регулирует небезызвестная директива GDPR. В России за это отвечает ФЗ-152 «О персональных данных». Мы расскажем о требованиях, которые предъявляют эти положения к работе с ПД на рынках РФ и Европы.
Европейский подход
GDPR в Европе работает с 25 мая 2018 года. Под его действие попадают все компании (интернациональные в том числе), которые хранят или обрабатывают персональные данные граждан Евросоюза.
Что считать ПД по GDPR?
Персональными считаются данные, по которым можно установить личность владельца – пользователя сервиса (хотя бы косвенно): ФИО, домашний адрес, IP-адрес, логин на каком-либо сайте и другие идентификаторы. Сюда же относится информация, касающаяся социальной или культурной принадлежности.
Еще в GDPR выделена особая категория конфиденциальных данных. Она включает религиозные убеждения гражданина, его биометрические показатели, а также медицинские сведения.
Требования к операторам данных
Получать согласие на обработку данных. Обрабатывать персональные данные без согласия их владельца запрещено. При этом нельзя считать согласием молчание или бездействие пользователя. Также оператор должен сообщить, с какой целью используется собираемая информация.
Защищать персональные данные. Компания-обработчик обязана защитить ПД от кражи, повреждения или подмены. Поэтому сведения должны шифроваться, а их распространение – контролироваться.
Назначать сотрудников по защите данных. Они управляют бизнес-процессами, касающимися работы с ПД, и следят за соблюдением требований GDPR. Это особенно важно, если организация проводит масштабные исследования или обрабатывает большие объемы конфиденциальных сведений (например, медицинских записей).
Обеспечивать право на забвение. Обработчик обязан удалить ПД пользователя по запросу, если это требование не идет вразрез с интересами сообщества или другими правами жителей ЕС.
Уведомлять представителей регулятора об утечках данных. Об уязвимости нужно сообщить в течение трех дней с момента обнаружения «бреши».
В РФ работу компаний с ПД клиентов и пользователей регулирует ФЗ-152 «О защите персональных данных». Он обязателен для исполнения всеми компаниями, зарегистрированными в России, а также филиалами иностранных организаций.
Что считать ПД по ФЗ-152?
Определение ПД в ФЗ-152 похоже на то, что дает GDPR: персональными данными считается любая информация, с помощью которой можно установить личность человека (номер телефона, номер банковской карты и так далее).
Требования к операторам данных
Получать согласие на обработку ПД. Дополнительно оператор ПД должен сообщить пользователю, какая информация о нем собирается и в каких целях применяется. Например, на нашем сайте все это прописано в политиках конфиденциальности.
Без согласия человека можно обрабатывать только ПД из открытых источников.Однако здесь нужно соблюдать осторожность, так как были прецеденты (по решению верховного и арбитражного судов нашей страны), когда данные в открытом доступе по разным причинам оказывались запрещены для обработки.
Собирать только ту информацию, которая необходима для работы предоставляемого сервиса. Собирать и хранить данные «на всякий случай» запрещено. По этой причине владелец интернет-магазина не имеет права просить у пользователей сканы паспортов.
Удалять или обезличивать более ненужные ПД. Оператор должен уничтожить неактуальные данные или обновить и уточнить данные, в которых есть ошибки.
Штрафы за нарушение требований закона разные для физических и юридических лиц и варьируются от 1000 до 75 тыс. рублей. Например, физическое лицо получит штраф в 3–5 тыс. рублей за обработку ПД без согласия владельца. Юрлицу то же нарушение обойдется в 30–75 тыс. рублей.
Чем поможет облачный провайдер
В обоих законах – российском ФЗ-152 и европейском GDPR – сказано, что оператор может делегировать обработку ПД третьей стороне (если владелец персональных данных на это согласен).
Часто в роли третьей стороны выступает IaaS-провайдер. Он предоставляет инфраструктуру с полным набором технических и административных систем защиты персональных данных. Например, эту услугу предоставляем мы в «ИТ-ГРАД». Она называется «Облако ФЗ-152».
У нас защищенный хостинг, в основе которого оборудование таких компаний, как Dell, NetApp, Juniper, Cisco и др. Система снабжена программно-аппаратным комплексом шифрования. Такая инфраструктура снижает юридические риски компаний.
Сервис «Облако ФЗ-152» подходит как для отечественных, так и для иностранных организаций. Все они получают возможность работать с клиентами из РФ в полном соответствии с законом и обеспечивать высокий уровень защищенности персональных данных пользователей.
RSS
