IT-Град логотип
Мобильное меню Мобильное меню

Регулирование работы с персональными данными в России и Европе

Безопасность
Павел Игнатьев
01.10.2018
Количество просмотров
8241
В Евросоюзе обработку персональных данных регулирует небезызвестная директива GDPR. В России за это отвечает ФЗ-152 «О персональных данных». Мы расскажем о требованиях, которые предъявляют эти положения к работе с ПД на рынках РФ и Европы.

Европейский подход

GDPR в Европе работает с 25 мая 2018 года. Под его действие попадают все компании (интернациональные в том числе), которые хранят или обрабатывают персональные данные граждан Евросоюза.

Что считать ПД по GDPR?

Персональными считаются данные, по которым можно установить личность владельца – пользователя сервиса (хотя бы косвенно): ФИО, домашний адрес, IP-адрес, логин на каком-либо сайте и другие идентификаторы. Сюда же относится информация, касающаяся социальной или культурной принадлежности.

Еще в GDPR выделена особая категория конфиденциальных данных. Она включает религиозные убеждения гражданина, его биометрические показатели, а также медицинские сведения.

Требования к операторам данных

Получать согласие на обработку данных.Обрабатывать персональные данные без согласия их владельца запрещено. При этом нельзя считать согласием молчание или бездействие пользователя. Также оператор должен сообщить, с какой целью используется собираемая информация.

  • Защищать персональные данные. Компания-обработчик обязана защитить ПД от кражи, повреждения или подмены. Поэтому сведения должны шифроваться, а их распространение – контролироваться.
  • Назначать сотрудников по защите данных. Они управляют бизнес-процессами, касающимися работы с ПД, и следят за соблюдением требований GDPR. Это особенно важно, если организация проводит масштабные исследования или обрабатывает большие объемы конфиденциальных сведений (например, медицинских записей).
  • Обеспечивать право на забвение. Обработчик обязан удалить ПД пользователя по запросу, если это требование не идет вразрез с интересами сообщества или другими правами жителей ЕС.
  • Уведомлять представителей регулятора об утечках данных. Об уязвимости нужно сообщить в течение трех дней с момента обнаружения «бреши».

Нарушения требований директивы GDPR караются крупными штрафами. Они могут достигать 20 миллионов евро или 4% годового оборота организации. Первые иски в суд появились в день начала работы регламента – пользователи обвинили в нарушениях ИТ-гигантов Facebook и Google. Но пока к компаниям санкции не применялись. Регулятор хотел дать организациям адаптироваться к новым реалиям.

Как обрабатывать ПД в России

В РФ работу компаний с ПД клиентов и пользователей регулирует ФЗ-152 «О защите персональных данных». Он обязателен для исполнения всеми компаниями, зарегистрированными в России, а также филиалами иностранных организаций.

Что считать ПД по ФЗ-152?

Определение ПД в ФЗ-152 похоже на то, что дает GDPR: персональными данными считается любая информация, с помощью которой можно установить личность человека (номер телефона, номер банковской карты и так далее).

Требования к операторам данных

  • Получать согласие на обработку ПД. Дополнительно оператор ПД должен сообщить пользователю, какая информация о нем собирается и в каких целях применяется. Например, на нашем сайте все это прописано в политиках конфиденциальности.
  • Без согласия человека можно обрабатывать только ПД из открытых источников. Однако здесь нужно соблюдать осторожность, так как были прецеденты (по решению верховного и арбитражного судов нашей страны), когда данные в открытом доступе по разным причинам оказывались запрещены для обработки.
  • Собирать только ту информацию, которая необходима для работы предоставляемого сервиса. Собирать и хранить данные «на всякий случай» запрещено. По этой причине владелец интернет-магазина не имеет права просить у пользователей сканы паспортов.
  • Удалять или обезличивать более ненужные ПД. Оператор должен уничтожить неактуальные данные или обновить и уточнить данные, в которых есть ошибки.

Штрафы за нарушение требований закона разные для физических и юридических лиц и варьируются от 1000 до 75 тыс. рублей. Например, физическое лицо получит штраф в 3–5 тыс. рублей за обработку ПД без согласия владельца. Юрлицу то же нарушение обойдется в 30–75 тыс. рублей.

Чем поможет облачный провайдер

В обоих законах – российском ФЗ-152 и европейском GDPR – сказано, что оператор может делегировать обработку ПД третьей стороне (если владелец персональных данных на это согласен).

Часто в роли третьей стороны выступает IaaS-провайдер. Он предоставляет инфраструктуру с полным набором технических и административных систем защиты персональных данных. Например, эту услугу предоставляем мы в «ИТ-ГРАД». Она называется «Облако ФЗ-152».

У нас защищенный хостинг, в основе которого оборудование таких компаний, как Dell, , Juniper, Cisco и др. Система снабжена программно-аппаратным комплексом шифрования. Такая инфраструктура снижает юридические риски компаний.

Сервис «Облако ФЗ-152» подходит как для отечественных, так и для иностранных организаций. Все они получают возможность работать с клиентами из РФ в полном соответствии с законом и обеспечивать высокий уровень защищенности персональных данных пользователей.

Средняя оценка: 0, всего оценок: 0
Поделиться
Telegram Icon Vk Icon

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Решения
Балансировка нагрузки в облаке IaaS
05.09.2017
Количество просмотров
4162

Балансировка нагрузки в облаке IaaS

Виртуальная инфраструктура в облаке гарантирует стабильную производительность, доступность и надежность, однако, чтобы достичь таких результатов, недостаточно мощной аппаратной платформы и качественного программного обеспечения. Когда виртуальных машин очень много, нагрузка на физические хосты может стать неравномерной и для ее ручного контроля требуется слишком много человеческих ресурсов. Корпоративные облачные провайдеры используют такие инструменты балансировки нагрузки, как, например, VMware DRS (Distributed Resource Scheduler).
Процессы
Как экспортировать виртуальные машины в vCloud Director, не прерывая рабочий процесс — «ИТ-ГРАД»
19.09.2017
Количество просмотров
4730

Как экспортировать виртуальные машины в vCloud Director, не прерывая рабочий процесс — «ИТ-ГРАД»

При работе в виртуальном окружении нередко возникает задача экспортировать виртуальные машины. Как это сделать в vCloud Director, не прерывая рабочий процесс, – рассмотрим в данной статье.
Истории успеха
Azoft: как IaaS-облака помогают в проектах по сервисной разработке
09.11.2017
Количество просмотров
3631

Azoft: как IaaS-облака помогают в проектах по сервисной разработке

Azoft — сервисная компания с 15-летней историей в разработке серверных, мобильных и веб-приложений для бизнеса. Начав в 2002 году с создания программных решений для крупных клиентов из игровой индустрии и телекома, сегодня компания оказывает не только услуги разработки на заказ, но и занимается перспективными исследованиями в области IT.
Закрыть модальное окно

Ошибка отправки заявки

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.