25 мая вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). В России также существует документ, защищающие персональные данные пользователей (ПД) – 152-ФЗ «О персональных данных», который, по мнению большинства юристов, является калькой со старой европейской директивы о защите ПД, на смену которой и пришел GDPR.
Поскольку 152-ФЗ работает уже более 10 лет, российские компании научились корректно выполнять его требования. И некоторые организации полагают, что реализация требований GDPR не потребуют от них особых усилий. Попробуем разобраться, так ли это на самом деле.
Две большие разницы
«Несмотря на то, что оба документа касаются защиты и обработки ПД, у GDPR и 152-ФЗ скорее больше различий, чем сходства», – считает адвокат, партнер Центра Цифровых Прав Саркис Дарбинян.
- Для GDPR определена экстерриториальная область действия (обработка ПД граждан Евросоюза вне зависимости от физического расположения оператора) и под его положения попадают некоторые российские компании (гостиницы, операторы связи, банки, транспортные компании и пр.), а 152-ФЗ «работает» лишь в России. 152-ФЗ не дает четкого определения понятия «персональные данные». Поэтому трактовка закона во многом зависит от позиции Роскомнадзора и судов, которые в каждом конкретном случае определяют, подпадает ли распространение данных под правовую охрану согласно этому закону. В GDPR ПД определены намного четче и положения Регламента, которые собрали в себя богатую практику Европейского суда, покрывают широкий перечень ПД. К примеру, IP-адреса, которые собирают и обрабатывают веб-сервисы, а также данные cookie полностью подпадают под обработку ПД. В отличие от 152-ФЗ, GDPR разделяет всех обработчиков на две категории – контролеров («капитаны») и процессоров («матросы»). Они имеют разный объем полномочий, обязанностей и обеспечивают процессы, связанные с хранением, передачей и обработкой данных. В российском же законе все сложно. Почти невозможно отделить объем полномочий и обязанностей разных обработчиков.
- Еще одно важное отличие – это прозрачность право применения и всего процесса обработки ПД. Очевидно, что основной задачей закона является не наказание и штрафование нарушителей, а обучение и повышение уровня грамотности обработчиков, чтобы данные хранились безопасно и с соблюдением прав субъекта. «Если посмотреть на деятельность Роскомнадзора, то, к сожалению, мы не наблюдаем никакой разъяснительной и профилактической работы с отраслью. Регулятор уже давно превратился в карательной орган, основной задачей которого является лишь наказание», – рассказывает Саркис Дарбинян. По его словам, GDPR задает новый стандарт прозрачности процесса для владельцев данных, обязывая их уведомлять регулятора и пользователей о любых утечках ПД, а также имеет понятный регламент действий при подобных инцидентах.
- В GDPR появилось право субъекта на «переносимость данных», в 152-ФЗ такой нормы нет. «Требование важное и «проблемное», поскольку не все информационные системы на текущий момент позволяют сделать такую операцию просто», – объясняет руководитель экспертного направления Solar Security Андрей Прозоров.
Правильной дорогой идем
Саркис Дарбинян убежден, что GDPR имеет большое влияние на изменение подходов к обработке персональных данных во всем мире. «Мы видим, как он меняет политику и бизнес-процессы многих российских компаний, которые теперь вынуждены принимать во внимание Регламент для того, чтобы сохранить контракты с европейскими партнерами и свое присутствие на рынке ЕС», – подчеркивает адвокат.
Андрей Прозоров полагает, что в ближайшее время и 152-ФЗ будет актуализирован и иметь много общего с GDPR.