IT-Град логотип
Мобильное меню Мобильное меню

Регулирование работы с персональными данными в России и Европе

Безопасность
Павел Игнатьев
01.10.2018
Количество просмотров
6118
В Евросоюзе обработку персональных данных регулирует небезызвестная директива GDPR. В России за это отвечает ФЗ-152 «О персональных данных». Мы расскажем о требованиях, которые предъявляют эти положения к работе с ПД на рынках РФ и Европы.

Европейский подход

GDPR в Европе работает с 25 мая 2018 года. Под его действие попадают все компании (интернациональные в том числе), которые хранят или обрабатывают персональные данные граждан Евросоюза.

Что считать ПД по GDPR?

Персональными считаются данные, по которым можно установить личность владельца – пользователя сервиса (хотя бы косвенно): ФИО, домашний адрес, IP-адрес, логин на каком-либо сайте и другие идентификаторы. Сюда же относится информация, касающаяся социальной или культурной принадлежности.

Еще в GDPR выделена особая категория конфиденциальных данных. Она включает религиозные убеждения гражданина, его биометрические показатели, а также медицинские сведения.

Требования к операторам данных

Получать согласие на обработку данных.Обрабатывать персональные данные без согласия их владельца запрещено. При этом нельзя считать согласием молчание или бездействие пользователя. Также оператор должен сообщить, с какой целью используется собираемая информация.

  • Защищать персональные данные. Компания-обработчик обязана защитить ПД от кражи, повреждения или подмены. Поэтому сведения должны шифроваться, а их распространение – контролироваться.
  • Назначать сотрудников по защите данных. Они управляют бизнес-процессами, касающимися работы с ПД, и следят за соблюдением требований GDPR. Это особенно важно, если организация проводит масштабные исследования или обрабатывает большие объемы конфиденциальных сведений (например, медицинских записей).
  • Обеспечивать право на забвение. Обработчик обязан удалить ПД пользователя по запросу, если это требование не идет вразрез с интересами сообщества или другими правами жителей ЕС.
  • Уведомлять представителей регулятора об утечках данных. Об уязвимости нужно сообщить в течение трех дней с момента обнаружения «бреши».

Нарушения требований директивы GDPR караются крупными штрафами. Они могут достигать 20 миллионов евро или 4% годового оборота организации. Первые иски в суд появились в день начала работы регламента – пользователи обвинили в нарушениях ИТ-гигантов Facebook и Google. Но пока к компаниям санкции не применялись. Регулятор хотел дать организациям адаптироваться к новым реалиям.

Как обрабатывать ПД в России

В РФ работу компаний с ПД клиентов и пользователей регулирует ФЗ-152 «О защите персональных данных». Он обязателен для исполнения всеми компаниями, зарегистрированными в России, а также филиалами иностранных организаций.

Что считать ПД по ФЗ-152?

Определение ПД в ФЗ-152 похоже на то, что дает GDPR: персональными данными считается любая информация, с помощью которой можно установить личность человека (номер телефона, номер банковской карты и так далее).

Требования к операторам данных

  • Получать согласие на обработку ПД. Дополнительно оператор ПД должен сообщить пользователю, какая информация о нем собирается и в каких целях применяется. Например, на нашем сайте все это прописано в политиках конфиденциальности.
  • Без согласия человека можно обрабатывать только ПД из открытых источников. Однако здесь нужно соблюдать осторожность, так как были прецеденты (по решению верховного и арбитражного судов нашей страны), когда данные в открытом доступе по разным причинам оказывались запрещены для обработки.
  • Собирать только ту информацию, которая необходима для работы предоставляемого сервиса. Собирать и хранить данные «на всякий случай» запрещено. По этой причине владелец интернет-магазина не имеет права просить у пользователей сканы паспортов.
  • Удалять или обезличивать более ненужные ПД. Оператор должен уничтожить неактуальные данные или обновить и уточнить данные, в которых есть ошибки.

Штрафы за нарушение требований закона разные для физических и юридических лиц и варьируются от 1000 до 75 тыс. рублей. Например, физическое лицо получит штраф в 3–5 тыс. рублей за обработку ПД без согласия владельца. Юрлицу то же нарушение обойдется в 30–75 тыс. рублей.

Чем поможет облачный провайдер

В обоих законах – российском ФЗ-152 и европейском GDPR – сказано, что оператор может делегировать обработку ПД третьей стороне (если владелец персональных данных на это согласен).

Часто в роли третьей стороны выступает IaaS-провайдер. Он предоставляет инфраструктуру с полным набором технических и административных систем защиты персональных данных. Например, эту услугу предоставляем мы в «ИТ-ГРАД». Она называется «Облако ФЗ-152».

У нас защищенный хостинг, в основе которого оборудование таких компаний, как Dell, , Juniper, Cisco и др. Система снабжена программно-аппаратным комплексом шифрования. Такая инфраструктура снижает юридические риски компаний.

Сервис «Облако ФЗ-152» подходит как для отечественных, так и для иностранных организаций. Все они получают возможность работать с клиентами из РФ в полном соответствии с законом и обеспечивать высокий уровень защищенности персональных данных пользователей.

Средняя оценка: 0, всего оценок: 0
Поделиться
Telegram Icon Vk Icon

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Новости рынка
Эффект GDPR: как новый регламент повлиял на IT-экосистему
23.10.2018
Количество просмотров
3592

Эффект GDPR: как новый регламент повлиял на IT-экосистему

С приходом GDPR многие компании поменяли свои политики конфиденциальности и реализовали дополнительные механизмы работы с персональными данными пользователей. Но ряду организаций сделать это не удалось, и им пришлось свернуть бизнес. Посмотрим, почему так получилось.
Решения
Гиперконвергентная инфраструктура (HCI) – инновации и оперативность
03.09.2020
Количество просмотров
5017

Гиперконвергентная инфраструктура (HCI) – инновации и оперативность

Ранее мы рассказывали об HCI-инфраструктуре VMware. Она обладает широкими возможностями, обеспечивает интегрированный подход, позволяя создать единую систему из разрозненных компонентов. Настало время поговорить о плюсах и минусах HCI и особенностях для облаков.
Истории успеха
Кейс, облака IaaS «ИТ-ГРАД» на службе «КОРУС Консалтинг»
03.06.2016
Количество просмотров
2504

Кейс, облака IaaS «ИТ-ГРАД» на службе «КОРУС Консалтинг»

О пользе и востребованности облачных технологий, задачах, с которыми сегодня справляются облака, мы решили поговорить с одним из лидеров российского рынка системной интеграции — компанией «КОРУС Консалтинг», которая около года использует IaaS-облако «ИТ-ГРАД» для решения задач собственных клиентов.
Закрыть модальное окно

Ошибка отправки заявки

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.