Меж ФЗ-152 и GDPR

Исполнительный директор Центра цифровых прав сказал о европейском Общем регламенте по защите данных и о том, необходимо ли исполнять его русским компаниям.
 

25 мая исполнится год, как вступил в силу принятый странами Евросоюза Общий регламент по защите данных (General Data Protection Regulation). Исполнительный директор Центра цифровых прав Денис Лукаш сказал Computerworld о том, что такое GDPR, необходимо ли исполнять его русским компаниям и почему сделать это им в любом случае будет тяжело.

— Каковы главные принципы GDPR?

Законность, справедливость, прозрачность обработки индивидуальных данных, ограничение использования данных целями обработки и целями целостности хранимых данных, минимизация использования, точность, подотчетность. Некие из их отлично знакомы русским гражданам благодаря 152-ФЗ (федеральный законПраво на забвение и право на переносимость, хотя это не принципы, их тоже стоить упомянуть.

— Достаточно размытые формулировки. Как они будут работать?

Четкости тут нет, но она и не думала. Регламент — юридический документ, а не технический. Понятие индивидуальных данных дается достаточно обширно. Регламент думал как на техническом уровне нейтральный акт.

Непонятно, как Право на переносимость будет реализовываться. Оно предполагает возможность выгрузки данных в неком формате. Но неясно, что же это все-таки за формат, что с ним созодать, куда данные можно перенести.

Право на забвение — понятие юридическое. Диспозиция будет толковаться из баланса личного и общественного права.

— Что такое индивидуальные данные «по GDPR»?

Это неважно какая информация, относящаяся к идентифицированному либо неидентифицируемому лицу. Все идентификаторы, включая совокупа причин — био, психических экономических и остальных, по которым можно найти то либо другое лицо, к примеру присваиваемый онлайновый номер. Ранее использовалось наиболее узенькое понятие, без указаний на онлайн-идентификаторы; GDPR его расширил.

В 152-ФЗ это понятие еще наиболее узко. На данный момент, спустя десятилетие, приходим к осознанию, которое было заложено европейцами. Роскомнадзор тоже считает, что любые идентификаторы — это индивидуальные данные.

Для определения индивидуальных данных необходимо исходить из контекста и осознавать, вправду ли эти данные относятся к физическому лицу, есть ли там какие-либо идентифицирующие физическое лицо признаки. Скажем, если на веб-сайте есть регистрация по электрической почте, то данная электрическая почта относится к индивидуальным данным, так как служит для отделения 1-го физического лица от другого для совершения с ним каких-либо юридически важных действий. Либо если установлен сервис с метрикой, которая считывает деяния юзеров. Идентификаторы, которые передаются на веб-сайт статистического сервиса, тоже будут являться индивидуальными данными. В Data Protection Directive это уже было, ну и Роскомнадзор согласен с сиим. При работе со статистикой, в особенности с привлечением посторониих сервисов, мы должны это осознавать и декларировать, что собираем, непременно созодать схемы потоков индивидуальных данных.

Интересно, что по GDPR психический тест для малыша содержит индивидуальные данные, поэтому что эти данные в совокупы относятся к определенному ребенку. Роскомнадзор собственного представления о этом не высказал. В Европе тенденция признать такие вещи индивидуальными данными прослеживалась и ранее. думаю, в Рф тоже к этому придут.

— Чем GDPR различается от предыдущей ему директивы Data Protection Directive? Для чего пригодился регламент?

В Евросоюзе есть два вида актов — директивы и регламенты. Регламенты неотклонимы и имеют прямое действие на местности ЕС. Директивы — нет. страны, делая упор на Data Protection Directive, делали национальные документы и перестраивали в допустимых рамках положения директивы, как им было комфортно, включая ответственность, как им было комфортно. Общей практики в ЕС не было, плюс задачи с приватностью скапливались. Потому и приняли регламент, неотклонимый на всей местности ЕС. Невзирая на разницу в местных законодательствах, все споры в итоге будут решаться в Европейском суде с учетом GDPR. И штрафы будут устанавливаться единообразно.

Ещё на Info-Vsem.Ru: Опосля биткойна

— Какие сдерживающие меры приняты кроме штрафов?

Особенных различий от директивы тут нет. Но количество нарушений и надзорных мероприятий сделалось больше. Это, к примеру, обязанность докладывать о утечках индивидуальных данных и созодать оценку соответствия на субъекта индивидуальных данных, публиковать определенные сведения. Надзорные мероприятия стали весомее: вырос вес воззвания субъекта индивидуальных данных

— Как GDPR влияет на Россию?

действие GDPR экстерриториально. Хоть Роскомнадзор и не согласен, но, если желаете продавать на местности ЕС, будьте добры учесть GDPR. Если ваш Рынок ограничен Россией, наверняка, регламент не страшен, но наверное найдутся партнеры, которые откажутся с вами работать, потому что работают с европейцами, для таковых — русских — партнеров вы также должны соответствовать GDPR. Если есть желание идти в Европу либо работать с международными компаниями в Рф, нужно все это учесть.

Допустим, вы предоставляете сервисы статистики, пасмурные базы данных и т. п. Перед заключением сотрудничества с вами у вас поинтересуются, соответствуете ли вы GDPR. Если нет, могут и отрешиться.

Если вы предоставляете свои услуги в Европе, но зарегистрированы в Рф, то впрямую вас, может, не накажут, не достанут, но могут применить санкции, к примеру по ограничению доступа к веб-сайтам либо разделегированию доменов. Схожих мер пока нет, но они прорабатываются. Могут быть личные меры против генерального директора, что создаст ему задачи при посещении государств Евросоюза.

Предпосылкой соблюдать GDPR могут стать требования инвесторов либо даже требования работников самих компаний, к примеру тех, которые заняты в сфере информационной сохранности и рассчитывают на вероятное расширение собственных возможностей.

В целом делать GDPR полезно: соответствуя регламенту, вы соответствуете большинству интернациональных требований, кроме, быть может, требований по локализации данных (они, к слову, есть не только лишь в Рф). 152-ФЗ проще GDPR. Увлекательна разница меж ними: 152-ФЗ просит по большей части защищать индивидуальные данные, в то время как GDPR — права субъектов индивидуальных данных, защита индивидуальных данных уже следствие.

— Наша родина движется в сторону такового осознания индивидуальных данных?

В Рф на данный момент есть различные подходы, но уйти от Конвенции 108+ (подписанная государствами — членами Союза Европы «Конвенция о защите физических лиц при автоматической обработке индивидуальных данных». — М.С.) мы не можем. Для гармонизации нашего и евро законодательства необходимо отдать больше прав субъектам индивидуальных данных, перенести административную ответственность на лицо, осуществляющее обработку по поручению, убрать согласие на передачу третьим лицам. Но самое основное — повысить защиту муниципальных информационных систем, привести ее к соответствию хотя бы с действующими аспектами ФСТЭК. Это проблематично, а поэтому наше орган, который выступает за то, чтоб двигаться в этом направлении. Вообщем, у него на то могут быть собственные обстоятельств: по GDPR надзорные органы должны быть независимы, владеть большенными возможностями, иметь выборного, а не назначенного главу. Может быть, в Роскомнадзоре стремятся расширить свои возможности, как, к примеру, это происходит с так именуемым суверенным Руинтернетом.

— Как по шагам перестроить работу организации, чтоб она не нарушала GDPR?

Русским компаниям в почти всех вариантах все придется созодать с нуля, если процессы выстроены по 152-ФЗ. Но тех, у кого по 152-ФЗ все верно, весьма не достаточно. Некие делают видимость соблюдения регламента на бумажках, но это просто рассчитывается. Сперва нужно честно посмотреть на то, что есть в компании. Если все отлично структурировано и прописано, поглядите на то, как соблюдаются права субъектов согласно GDPR. Дальше необходимо пересмотреть ПО. В согласовании с GDPR, приватность обязана начинаться еще на шаге проектирования такового ПО. Опосля подготовительного анализа необходимо составить оценку действия на субъекта индивидуальных данных. Для тех, у кого не достаточно опыта схожей работы, это единственный путь избежать либо хотя бы понизить количество ошибок. Оценку лучше созодать даже тогда, когда по GDPR она не неотклонима. К тому же есть возможность навести ее в европейский надзорный орган, который может, хотя и не стремительно, отдать полезные советы: вы не будете теряться в гипотезах. Оценка остается как документ, который будет подтверждать соответствие GDPR.

Ещё на Info-Vsem.Ru: Эрик Шмидт уходит из совета директоров Alphabet

Дальше необходимо составить нужные политики и процедуры. Можно привлечь профессионала, который проверит все документы либо поможет с их созданием на базе вашей оценки. Опосля выполнения всех пт, к слову, вы сможете найти, что все равно не будете соответствовать GDPR. Может быть, стоит пошевелить мозгами о изменении бизнес-стратегии. В общем, процедура сложная, но опосля прохождения всех мытарств у вас покажется опыт; в предстоящем разрабатывать бизнес-процессы, надлежащие GDPR, станет легче.

Принципиально, что Наша родина не считается государством, которая обеспечивает адекватную защиту индивидуальных данных европейцев, в то время как Европа нам ее обеспечивает. Из-за этого тоже появляются трудности. В целом вы сможете соответствовать GDPR, но наше же законода мешает этому проявиться полностью. Так, из-за части 5 статьи 18 152-ФЗ и из-за «закона Яровой» операторы должны в отдельных вариантах хранить данные юзеров на местности Рф.

— Европа не закончит сотрудничать с Россией?

Наша родина сама теряет малый ИТ-бизнес, который желает работать с Европой. На данный момент выбор таковых бизнесменов — регистрировать компании в Европе, так легче. Из-за этого теряем налоговые поступления. Почти все обращаются к нам за консультацией по GDPR, намереваясь уйти в Европу еще до того, как в РФ покажется другой сценарий нужной легализации.

— Есть ли в мире аналоги GDPR? Как в остальных странах складывается регулирование индивидуальных данных?

У продвинутых стран есть подобные акты с определенными отличиями. Развивающиеся страны большей частью их копируют.

В США много различных законов в данной для нас области, в том числе и на уровне штатов. Калифорнийский акт — один из самых серьезных. Он делает упор не на штрафе, а на компенсации морального вреда, обычно в спектре 100-750 долл. для 1-го затронутого субъекта. В Великобритании с видом на Brexit подготовили акт, напоминающий GDPR, но там ряд статей уделен и государственной сохранности.

В Китае ориентируются на защиту страны, а не на права человека.

Если гласить о странах СНГ, то в Белоруссии совершенно нет соответственного федерального закона. А вот в Армении он приближен к европейским понятиям.

У Рф собственный путь. На мой взор, нам необходимо легализовать оборот огромных данных. Хорошо, с проработкой всех рисков. необходимо приблизить 152-ФЗ к Конвенции 108+. К слову, США в целом тоже не обеспечивают европейцам адекватную защиту, но у их с ЕС есть особенный контракт на данную тему, так что бизнес может не страшиться. У нас же до него пока никому нет дела. Средний и малый бизнес совершенно не учитывают: мы живем пока интересами страны и компаний.

Источник

Агрегатор новостей 24СМИ

загрузка

Источник

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *