Контакты
Подписка 2024

Обзор GDPR

Константин Саматов, 28/01/19

Настоящая аналитическая записка содержит обзор Общего Регламента по защите персональных данных (General Data Protection Regulation, GDPR) Евросоюза и его сравнительный анализ с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Авторы:

samatov_m Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова
rubleva Екатерина Рублева, заместитель директора Аналитического центра Уральского центра систем безопасности
zavedenskaya Анастасия Заведенская, аналитик аналитического центра Уральского центра систем безопасности


Защита
персональных данных в Российской Федерации

Российская нормативно-правовая база в области защиты персональных данных

На момент проведения анализа в Российской Федерации действовали нормативно-правовые акты и методические документы, регламентирующие порядок обработки и защиты персональных данных (ПДн):

Табл. 1. Нормативно-правовые акты и методические документы в области защиты ПДнтаблица 1.1

таблица 1.2

Выполнение оператором требований по защите персональных данных

При построении системы защиты персональных данных следует основываться на нормативно-правовых актах, перечисленных выше. Основные требования по обеспечению безопасности ПДн изложены в Федеральном законе от 27.07.2006 № 152 «О персональных данных» (далее по тексту — №152-ФЗ), их конкретизация приведена в других подзаконных актах.

В соответствии с указанными нормативными документами, для защиты ПДн оператор, осуществляющий обработку ПДн в рамках действующего Российского законодательства, обязан провести следующие мероприятия:

1. Обеспечить выполнение требований №152-ФЗ:

  • отправить уведомление о намерении осуществлять обработку ПДн в Роскомнадзор, за исключением случаев, предусмотренных в ч. 2 ст. 22 №152-ФЗ;
  • назначить лицо, ответственное за организацию обработки ПДн;
  • определить цели обработки ПДн;
  • составить перечень обрабатываемых ПДн;
  • определить правовое основание обработки ПДН;
  • составить перечень действий (способов обработки) ПДн;
  • определить есть ли трансграничная передача или нет;
  • разработать и провести мероприятия по защите ПДн и т.д.
2. При обработке ПДн без использования средств автоматизации выполнить требования Постановления Правительства РФ от 19.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее по тексту - ПП № 687):

  • проинформировать лиц, осуществляющих обработку ПДн без использования средств автоматизации, о факте обработки ими ПДн, категориях, обрабатываемых ПДн, об особенностях и правилах обработки;
  • составить типовые формы документов, информация в которых предполагает или допускает включение в них ПДн, в соответствии с требованиями ПП № 687;
  • выполнять все условия ведения журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска лица на территорию, на которой находится оператор, или в иных аналогичных целях;
  • вести раздельную обработку ПДн при несовместимости целей обработки;
  • определить в отношении каждой категории ПДн места хранения;
  • составить перечень лиц (именно лиц, а не должностей), осуществляющих обработку ПДн либо имеющих к ним доступ;
  • принять меры, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним;
  • составить перечень лиц, ответственных за реализацию мер по обеспечению безопасности.
3. Провести оценку уровня защищенности принадлежащих ему информационных систем персональных данных (далее по тексту – ИСПДн) в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее по тексту - ПП №1119):
  • определить тип ИСПДн в зависимости от категории обрабатываемых ПДн в соответствии с таблицей:

     

    Табл. 2. Типы ИСПДн в зависимости от категории обрабатываемых ПДнтаблица 2

  • определить, обрабатываются в ИСПДн ПДн только сотрудников предприятия, или же в ней обрабатываются ПДн лиц, не работающих в организации;
  • определить количество субъектов ПДн, данные которых обрабатываются в ИСПДн (более или менее 100 000 субъектов ПДн);
  • определить тип угроз безопасности ПДн, актуальных для ИСПДн, согласно таблице: 

     

    Табл. 3. Типы актуальных угроз для ИСПДнтаблица 3

Согласно ПП №1119, оператор определяет актуальность угроз безопасности ПДн самостоятельно, на основании разработанной Модели угроз.

Для ИСПДн устанавливаются четыре уровня защищенности ПДн. В соответствии с установленными характеристиками, оператор определяет уровень защищенности.

4. Реализовать комплекс правовых, организационных и технических мер, предусмотренных подзаконными нормативно-правовыми актами.

  • С учётом установленного уровня защищенности ПДн выполнить требования к защите ПДн при их обработке в ИСПДн из ПП № 1119 согласно таблице: 

     

    Таб. 4. Требования для обеспечения уровня защищенноститаблица 4

  • Определить состав и содержание организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований, согласно приказу ФСТЭК России № 21. В случае, если обработка производится в ГИС или МИС, провести уточнение перечня мер согласно приказу ФСТЭК России № 17. Если для обеспечения безопасности ПДн используются средства криптографической защиты информации, уточнить состав и содержание организационных и технических мер согласно приказу ФСБ России от 10.07.2014 № 378.
  • Создать и внедрить систему защиты ПДн в соответствии со сформированным набором организационных и технических мер защиты. Определить порядок и процедуры обработки и защиты ПДн в организационно-распорядительных документах организации.
  • Производить оценку эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности не реже 1 раза в 3 года [п.6 Приказа ФСТЭК России от 18.02.2013 №21].

Обзор нововведений Регламента ЕС (GDPR)

Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 годи «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» 25 мая 2018 года была отменена. На её замену пришёл Общий регламент по защите данных (General Data Protection Regulation, сокращённо GDPR), принятый 27 апреля 2016 года.

GDPR вносит свои изменения в защиту физических лиц в отношении обработки их персональных данных.

Территориальная сфера применения

GDPR имеет экстерриториальную сферу применения. Действие регламента распространяется на:

1. Компании, зарегистрированные на территории ЕС, независимо от места проведения самой обработки.

2. Компании, на зарегистрированные на территории ЕС, если:

  • производится предложение товаров/услуг гражданам или резидентам ЕС;
  • производится мониторинг действий граждан или резидентов ЕС.

3. Компании, зарегистрированные в странах, следующих законодательству ЕС, на основании международных договоров.

Для того, чтобы понять предлагает ли компания свои товары или услуги лицам, находящимся на территории ЕС, следует установить очевидность намерения, то есть волеизъявление компании считать себя заключившей договор с любым лицом, находящимся на территории ЕС, акцептовавшим её оферту. По GDPR одними из признаков намерений является использование веб-сайтом функционала на языке государства – члена ЕС и производство расчёта цен в валюте государства – члена ЕС с возможностью заказа, либо упоминание потребителей или пользователей, находящихся на территории ЕС.

Под мониторингом понимается отслеживание лиц в сети Интернет с дальнейшим применением или потенциальной возможностью применения различных технологий по обработке ПДн для анализа, либо прогнозирования предпочтений, личностных характеристик, особенностей поведения.

Компании, не зарегистрированные в ЕС, обязаны в форме письменного документа назначить представителя ЕС, когда выполняется хотя бы одно из условий:

  • обработка происходит постоянно;
  • обрабатываются в крупных размерах специальные категории персональных данных;
  • обрабатываются персональные данные, связанные с судимостями или преступлениями;
  • существует высокий риск нарушения прав и свобод человека.

Представителем может стать физическое или юридическое лицо, расположенное в стране ЕС, в которой находятся субъекты данных. Его задача от имени компании взаимодействовать с властями ЕС и гражданами, выполнять указания компании. Он точно так же привлекается к ответственности за нарушения.

Лица, осуществляющие обработку ПДн

GDPR вносит новые понятия такие, как контролер и процессор.

Контролер (англ. controller) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных. В случае, когда цели и средства обработки определяются правом Евросоюза или государства-члена, контролер, или критерии для его назначения, могут быть установлены правом Евросоюза или государства-члена.

Процессор (обработчик, англ. processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.

В том случае, если два или более контролеров совместно определяют цели и средства обработки, они являются совместными контролерами. Они должны прозрачным способом (см. п. 4 Таблица 5) определить свои соответствующие функциональные обязанности на предмет соблюдения обязательств.

Договоренность должна надлежащим образом отражать соответствующие роли и взаимоотношения контролеров, действующих совместно по отношению к субъектам данных. Существенные условия договоренности должны быть доступны для субъектов данных. Независимо от условий договоренности, субъект данных может осуществлять свои права в отношении каждого контролера.

Между процессором и контролером должен существовать договор, либо иной правовой акт, содержащий:

  • предмет и период, в течение которого осуществляется обработка;
  • характер и цель обработки;
  • тип ПДн и категории субъектов данных;
  • обязанности и права контролера;
  • обязательства соблюдать конфиденциальность.

Контролер должен удостовериться, что процессор применяет технические и организационные меры, отвечающим требованиям и обеспечивающие защиту прав субъекта данных.

Процессор не должен привлекать другого процессора без предварительного письменного оформленного специального или общего разрешения контролера. Процессор должен проинформировать контролера о любых предполагаемых изменениях. Контролер имеет возможность высказать возражения против любых изменений.

Если процессор нарушает требования GDPR в отношении определения целей и средств обработки, то этот процессор должен рассматриваться в качестве контролера применительно к такой обработке, в том числе в случае наложения штрафа.

Обработка и хранение ПДн

Принципы обработки ПДн обновлены, но в целом аналогичны Директиве 95/46/ЕС:

  • правомерность, справедливость и прозрачность/транспарентность;
  • целевое ограничение;
  • минимизация данных;
  • точность;
  • ограниченность хранения;
  • целостность и конфиденциальность.

Добавляется понятие о прозрачности обработки и обязанность компании быть готовой подтвердить выполнение требований законодательства по защите ПДн.

Правомерность обработки и согласие субъекта ПДн

Основания для обработки остались такими же, как и в Директиве 95/46/ЕС:

  • согласие субъекта данных;
  • заключение договора;
  • выполнение юридических обязательств;
  • защита жизненных интересов субъекта данных;
  • выполнение общественных интересов или осуществление официальных полномочий;
  • обеспечение законных интересов компании.

В GDPR появилась статья про обработку, не требующую идентификации. Если при использовании обрабатываемых ПДн невозможно идентифицировать (определить) субъекта данных, то обработку таких данных можно производить. При этом права субъекта к таким данным не применяются, за исключением случая, когда субъект предоставил дополнительную информацию, которая теперь позволяет его определить. Компания должна быть способна подтвердить, что возможности идентифицировать субъекта нет.

Установлены конкретные требования к согласию субъекта ПДн. Согласие на обработку должно быть представлено отдельно от других условий и согласий. Оно должно быть изложено в конкретной и понятной форме, легкодоступным языком. Согласие должно быть дано на основании активных действий, а не «по умолчанию» или путем бездействия. Субъект данных должен иметь возможность отозвать своё согласие так же легко, как и дать его.

Отдельным пунктом вынесено согласие ребенка. За детей, не достигший 16 лет, согласие должно давать лицо, осуществляющее родительские функции или функции опеки. Государства могут законодательно предусмотреть меньший возраст при условии, что он не будет ниже 13 лет.

 Информация, передаваемая субъекту ПДн

 GDPR расширяет перечень обязательных данных, которые компания должна предоставить субъекту данных, в момент получения ПДн, для поддержания справедливости и транспарентности обработки (см. раздел 3).

Список информации, обязательной к предоставлению:

  • сведения о компании, производящей обработку;
  • данные о лице, ответственном за защиту ПДн, там, где это применимо;
  • цели и правомерность основания обработки;
  • информация об иных получателях информации, если таковые имеются;
  • сведения о трансграничной передаче;
  • срок хранения ПДн, если возможно;
  • информация о праве доступа, исправления, удаления, возражения, ограничения обработки и права на переносимость субъекта ПДн;
  • информация о праве отзыва согласия субъектом ПДн
  • информация о праве подачи жалобы в надзорный орган;
  • обязательно ли предоставление ПДн субъектом;
  • наличие автоматизированного принятия решения.

 Право субъекта на доступ к данным

При обращении субъекта данных компания обязана предоставить ему сведения следующего характера:

  • цели обработки;
  • категории обрабатываемых данных;
  • информация об иных получатели ПДн;
  • срок хранения ПДн, если возможно, либо критерии определения этого срока;
  • информация о праве доступа, исправления, удаления, возражения, ограничения обработки и права на переносимость субъекта ПДн;
  • информация о праве подачи жалобы в надзорный орган;
  • данные об источнике информации, связанной с ПДн, если она получены не от субъекта данных;
  • информация о применении автоматизированного принятия решения.

При запросе субъекта, компания также обязана предоставить ему копию обрабатываемых ПДн субъекта, в том числе в электронной форме.

Право субъекта на изменение, удаление ПДн

 GDPR делает акцент на правах субъекта данных, давая к ним обширные разъяснения.

Компания обязана при обращении субъекта исправить или дополнить неточные данные. Должна быть реализована возможность удаления ПДн в случаях, когда:

  • ПДн больше не нужны для заявленных целей;
  • субъект данных отозвал согласие;
  • не имеется правовой аргументации, мешающей запросу субъекта на удаление;
  • ПДн обработаны неправомерно;
  • имеются правовые обязательства по удалению в законодательстве страны компании;
  • согласие было дано в детском возрасте.

 Право на переносимость данных

 Нововведением GDPR является понятие о переносимости данных.

При осуществлении автоматизированной обработки на основании согласия субъекта ПДн или договора, по требованию субъекта компания обязана предоставить ему касающиеся его данные, в структурированном виде, в том числе в машиночитаемом формате. Компания обязана беспрепятственно передать ПДн субъекта по его запросу другим организациям, если это технически осуществимо.

Защита ПДн и уведомление об утечке информации

 GDPR вносит понятия защиты «by design» и «by default».

Первое («by design») означает защиту ещё на этапе проектирования/разработки для осуществления принципов обработки данных, например, псевдонимизация. Псевдонимизацией является такая обработка данных, когда ПДн не могут быть соотнесены с субъектом данных без использования дополнительной информации. Дополнительная информация должна храниться отдельно от самих данных с применением мер, обеспечивающих их защиту. По сути, псевдонимизация аналогична предусмотренному Российским законодательством процессу обезличивания.

Второе («by default») означает защиту по умолчанию, компания должна обеспечить обработку ПДн с максимальной защитой конфиденциальности (например, данные должны обрабатываться короткий период хранения с ограниченной доступностью). То есть, по умолчанию, личные данные не становятся доступными для неопределенного количества людей.

Должны применяться технические и организационные меры, обеспечивающие надлежащий уровень безопасности, на основании рисков (например, риск случайного или преднамеренного удаления, потери, изменения и т.д. данных).

В случаях утечки ПДн, компания обязана сообщить о происшествии надзорному органу, за исключением случаев, когда эта утечка ПДн едва ли обернется рисками для прав и свобод лиц. Рекомендуемый срок — в течении 72 часов после обнаружения. В уведомление необходимо включить:

  • сведения о характере утечки. Сведения о категории и количестве ПДн, если возможно;
  • данные лица, ответственного за защиту, или контактные данные пункта, где может быть получена подробная информация;
  • возможные последствия утечки;
  • меры, предпринятые или предполагаемые к принятию, по устранению утечки и смягчению последствий.

По GDPR надзорный орган назначается в каждой стране соответствующими нормативно-правовыми актами.

Взаимодействовать с надзорным органом государства – члена ЕС должен представитель компании, назначенный в этом государстве. Уведомление об утечке ПДн рекомендуется направлять в надзорный орган государства, в котором расположен представитель ЕС. По GDPR, в случаях, когда компания учреждена в нескольких государствах-членах ЕС, или значительное число субъектов данных находятся в более чем в одном государстве, в действиях по проверке соответствия требованиям участвуют надзорные органы каждого государства. При этом даётся чёткое указание, что, по мере возможности, надзорные органы должны действовать совместно.

По GDPR процесс действий Российских компаний без представительства в ЕС не раскрыт. Логично предположить, что надзорный орган государства, чьи субъекты ПДн пострадали от утечки, должен действовать совместно с Роскомнадзором. Но этот момент остаётся спорным.

Компания должна документировать любые утечки ПДн, их последствия, а также предпринятые меры по устранению последствий.

Компания должна сообщить об утечке ПДн субъекту персональных данных, в разумный срок, за исключением случаев, когда:

  • проблема не приведёт к высоким рискам для прав и свобод субъекта;
  • данные были зашифрованы;
  • предпринятые меры исключают возможные риски правам и свободам субъекта;
  • для сообщения требуются несоразмерные усилия (в этом случае уведомление возможно через средства массовой информации).

 Учетные записи обработки данных

Компания обязана вести учётные записи процессов обработки данных в письменной, в том числе электронной, форме. Учётные записи должны содержать:

  • наименование, реквизиты компании и, когда применимо, представителя компании в ЕС, лица, ответственного за защиту данных;
  • цели обработки;
  • описание субъектов данных и категорий, обрабатываемых ПДн;
  • сведения об иных получателях, которым были или будут раскрыты ПДн;
  • сведения о трансграничной передаче;
  • Предусмотренные сроки удаления ПДн, когда это возможно;
  • сведения о применяемых технических и организационных мерах безопасности, когда это возможно.

Компания не обязана вести учётные записи, если в ней менее 250 сотрудников, и она выполняет следующие условия:

  • осуществляемая обработка не может привести к возникновению рисков для прав и свобод субъекта данных;
  • обработка носит случайный характер;
  • не обрабатываются специальные категории ПДн;
  • не обрабатываются ПДн, связанные с судимостями или правонарушениями.

 Оценка воздействий на защиту ПДн

В GDPR выделена отдельная статья, посвященная «оценке воздействия на защиту данных» (англ. Data protection impact assessment, DPIA). Для выполнения предусмотренных в ней требований нужно определить степень важности каждого конкретного бизнес-процесса, связанного с обработкой ПДн, посредством оценки ущерба, нанесенного в период сбоя в работе.

На Рисунке показан алгоритм DPIA по GDPR 

samatov_gdpr_ris2

Рис. Алгоритм оценки воздействия на защиту ПДн

Если обработка может повлечь за собой высокий риск для прав и свобод субъектов ПДн, компания, до начала обработки, обязана провести оценку воздействия на защиту ПДн предполагаемых бизнес процессов, связанных с обработкой. Если компания производит постоянный мониторинг субъектов или обрабатывает в большом количестве специальные категории данных, а также ПДн, касающиеся осуждённых и правонарушителей, то она обязана провести оценку.

В оценку воздействия как минимум нужно включить:

  • описание предусмотренных операций по обработке ПДн;
  • оценку необходимости и соразмерности операций обработки по отношению к заявленным целым обработки;
  • оценку рисков для прав и свобод субъектов ПДн;
  • меры по обеспечению защиты ПДн.

GDPR не указывает, как конкретно должен проходить процесс DPIA. Главное, чтобы структура оценки воздействия включала приведённый ранее минимум. В опубликованных разъяснениях по DPIA Рабочей группой по вопросам защиты физических лиц при обработке персональных данных (WP29), в состав которой входят представители органов по защите данных государств-членов ЕС, есть некоторые рекомендации по проведению DPIA. С 25 мая 2018 года WP29 была заменена на Европейский совет по защите данных (European Data Protection Board, EDPB).

Орган по защите данных в Великобритании (Information Commissioner’s Office, ICO) также даёт свои рекомендации по проведению DPIA на сайте, где, например, можно найти образец шаблона DPIA.

Оценка воздействия должна обеспечивать, в том числе, подтверждение соблюдения требований GDPR.

 Ответственный за защиту данных

 В GDPR есть отдельный раздел об Офицере по защите данных (англ. Data protection officer). Если организация является органом власти или учреждением, или производит постоянный мониторинг субъектов, или обрабатывает в большом объеме специальные категории данных, а также ПДн, касающиеся осуждённых и правонарушителей, то она обязана назначить Офицера по защите данных. Иначе, назначение делается на усмотрение компании или на основании законов её государства. Компания должна опубликовать реквизиты Офицера по защите данных.

 Условия наложения штрафов

 Для усиления обязательности соблюдения норм, GDPR вводит штрафы за любые нарушения.

На принятие решения о наложении и размере штрафа влияют:

  • характер, тяжесть и продолжительность нарушения. Количество пострадавших субъектов данных и размер понесенного ущерба;
  • по неосторожности или преднамеренно ли совершенно нарушение;
  • меры, предпринятые для смягчения ущерба;
  • использованные меры по защите данных;
  • прошлые нарушения;
  • степень сотрудничества с надзорным органом;
  • категории затронутых нарушением ПДн;
  • как стало известно о нарушении, например, было ли произведено уведомление об утечке;
  • иные отягчающие или смягчающие факторы.

Если было нарушено несколько положений, то общий размер административного штрафа не должен превышать размер, установленный для самого тяжкого нарушения.

1. Административные штрафы в размере до 10 миллионов Евро или в размере до 2% от годового оборота компании за весь предыдущий финансовый год, в зависимости от того, какая сумма больше, накладываются за нарушение требований в следующих сферах:

  • обработка ПДн ребёнка;
  • обработка, не требующая идентификации;
  • защита при проектировании и по умолчанию;
  • совместная обработка с другими компаниями;
  • назначенные представители компании;
  • отчётные записи;
  • обеспечение безопасности обработки ПДн;
  • уведомления об утечках;
  • оценка воздействий процессов обработки на защиту данных;
  • требования к Офицеру по защите данных.

2. Административные штрафы в размере до 20 миллионов Евро или в размере до 4% от годового оборота компании за весь предыдущий финансовый год, в зависимости от того, какая сумма больше, накладываются за нарушение требований в следующих сферах:

  • принципы обработки;
  • правомерность обработки;
  • согласие субъекта на обработку ПДн;
  • специальные категории;
  • права субъекта;
  • трансграничная передача.

Ключевые отличия требований GDPR от №152-ФЗ

 Сравнительный анализ показал, что GDPR и № 152-ФЗ достаточно схожи. Основные отличия GDPR заключаются в:

  • уточнённом перечне ПДн;
  • назначении представителя в ЕС;
  • списке информации, передаваемой субъекту, касательно процесса обработки;
  • процессе оценки воздействия на защиту данных (DPIA);
  • защите «by design» и «by default»;
  • праве субъекта ПДн на переносимость данных в машиночитаемом формате;
  • требования к согласию субъекта ПДн на обработку данных в части использования легкодоступного языка, конкретных обязательств в части детей, отделения от других обязательств.
  • требованиях к обработке ПДн детей;
  • конкретизированном списке информации необходимой для ведения учётных записей по обработке ПДн;
  • уведомлении об утечке ПДн надзорного органа и субъекта ПДн;
  • жёстких наказаниях (крупные штрафы) за невыполнение требований.

Сравнительный анализ №152-ФЗ и GDPR (табл. 5)

Требование №1 "Сведения, отнесенные к ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу

Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно.

К ПДн относится: имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн-идентификатор) или один или несколько показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица

Уточнённый перечень данных, относящихся к ПДн

 

Требование №2 "Лицо, выполняющее обработку"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Лицо, осуществляющее обработку персональных данных по поручению оператора

Контролер (англ. controller) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных.

Процессор (англ. processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера

Оператор аналогичен контролеру.

Лицо, осуществляющее обработку персональных данных по поручению оператора, аналогично процессору

 

Требование №3 "Совместная обработка данных"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта данных, на основании заключаемого с этим лицом договора или иного правового акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки ПДн. В поручении оператора должны быть определены перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн.

Лицо, осуществляющее обработку по поручению оператора, не обязано получать согласие субъекта на обработку данных.

В случае, если оператор поручает обработку другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором

В том случае, если два или более контролеров совместно определяют цели и средства обработки, они являются совместными контролерами.

Между процессором и контролером должен существовать договор, либо иной правовой акт.

Контролер должен удостовериться, что процессор применяет технические и организационные меры, отвечающим требованиям и обеспечивающие защиту прав субъекта данных.

Если процессор нарушает требования GDPR в отношении определения целей и средств обработки, то этот процессор должен рассматриваться в качестве контролера применительно к такой обработке, в том числе в случаи наложения штрафа

GDPR вносит понятие совместных контролеров, т.е. компании, совместно занимающееся обработкой, и обязательство открытого для субъекта данных соглашения, включающего роли и обязанности каждой компании - контролера.

Лицо, осуществляющее обработку ПДн по поручению, в обоих документах должно действовать на основании правовых актов и соблюдать все обязанности и требования по защите данных. За исключением факта, что по GDPR в некоторых случаях ответственным за нарушение требований к обработке будет являться процессор, т.е. лицо, осуществляющее обработку по поручению оператора

 

Требование №4 "Принципы обработки ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия
  1. Законная и справедливая основа.
  2. Ограничение достижением конкретных, заранее определенных и законных целей.
  3. Не допускается объединение баз данных ПДн, обработанных в целях, несовместимых между собой.
  4. ПДн должны отвечать целям их обработки.
  5. ПДн должны соответствовать заявленным целям и не должны быть избыточными.
  6. Точность, достаточность, актуальность ПДн. Возможность удаления или уточнения неполных, или неточных данных.
  7. Хранение не дольше, чем этого требуют цели обработки ПДн. ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей
    1. Правомерность, справедливость и прозрачность/транспарентность;
    2. целевое ограничение;
    3. минимизация данных;
    4. точность;
    5. ограниченность хранения;
    6. целостность и конфиденциальность

1 пункт №152-ФЗ аналогичен пункту a) из GDPR, за исключением понятия прозрачности обработки данных. Принцип прозрачности (транспарентости) требует, чтобы любые сведения и сообщения, относящиеся к обработке ПДн, были легко доступны субъекту ПДн и ясны для понимания, а также, чтобы использовался чёткий и простой язык.

2 и 4 пункты аналогичны пункту b); 5 – c); 6 – d); 7 – e).

№152-ФЗ в 3 пункте делает уточнение для баз данных. Пункт f) GDPR закреплён в Российском законодательстве в отдельных статья и является также обязательным.

GDPR обязывает организации быть готовыми предоставить обоснование соответствия требованиям

 

Требование №5 "Условия обработки ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия
  1. Согласие субъекта ПД.
  2. На основании международных договоров РФ или законов, возложенных законодательством РФ функций, полномочий и обязанностей.
  3. Участие лица в судопроизводстве или в целях исполнения судебного акта.
  4. Исполнение полномочий федеральных органов.
  5. Исполнение договора.
  6. Защита жизненно важных интересов субъекта ПДн.
  7. Осуществление прав и законных интересов организации, либо для достижения общественно значимых целей.
  8. Деятельность средств массовой информации либо иная творческая деятельность.
  9. Статистические или иные исследовательские цели.
  10. ПДн, сделаны общедоступными субъектом.
  11. ПДн подлежат опубликованию или обязательному раскрытию в соответствии с ФЗ
  1. Согласие субъекта данных;
  2. исполнение договора;
  3. выполнение юридических обязательств;
  4. защита жизненных интересов субъекта данных;
  5. выполнение общественных интересов или осуществление официальных полномочий;
  6. обеспечение законных интересов организации

Условия для обработки сопоставимы.

GDPR позволяет государствам закреплять более конкретные положения для применения норм

 

Требование №6 "Требования к согласию субъекта ПДн на обработку ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Субъект даёт согласие на обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку может быть дано в любой позволяющей подтвердить факт его получения форме.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Обязанность предоставить доказательство получения согласия возлагается на оператора.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных

Контролер должен быть способен подтвердить, что субъект данных согласен на обработку ПДн

Если согласие субъекта данных дается в виде письменного заявления, которое также касается других вопросов, запрос о согласии должен быть представлен способом, который четко отличен от других вопросов в понятной и легкодоступной форме, с использованием ясного и простого языка.

Субъект данных должен иметь право в любое время отозвать согласие. Прежде чем давать согласие, субъект данных должен быть проинформирован об этом. Процедура отзыва согласия должна быть такой же простой, как и процедура предоставления согласия.

Согласие должно быть предоставлено по доброй воле.

Обработка ПДн ребенка является правомерной, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является правомерной на основании согласия лица, осуществляющего родительские функции или функции опеки

GDPR даёт уточнения по согласию, а именно:

  • использовать в согласии легкодоступный язык;
  • отделить согласие от других соглашений и обязательств;
  • избавиться от настроек дачи согласия «по умолчанию»
  • молчание не является согласием, нужны активные действия по даче согласия;
  • процесс отзыва должен быть прост, как и его дача (поставить галочку – убрать галочку);
  • должна быть представлена информация о возможности отзыва согласия.

В GDPR даётся конкретное обязательство к согласию для детей младше 16 лет

 

Требование №7 "Специальные категории данных"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами

ПДн, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения, либо членство в профсоюзе, а также обработка генетических данных, биометрических данных для однозначной идентификации физического лица, данных касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

Обработка персональных данных, связанных с уголовными приговорами и правонарушениями или связанных с мерами безопасности осуществляется только под контролем официального органа, либо когда обработка разрешена правом государства

Определение специальных категорий аналогично, за исключением рассмотрения ПДн, относящихся к уголовным делам и правонарушениям, в отдельной статье

 

Требование №8 "Права субъекта данных"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия
  • Право субъекта персональных данных на доступ к его персональным данным.
  • Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
  • Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.
  • Право на обжалование действий или бездействия оператора
  • Получение информации субъектом данных при сборе ПДн.
  • Право субъекта данных на доступ к данным.
  • Право на исправление данных.
  • Право на удаление данных.
  • Право на ограничение обработки.
  • Право на переносимость данных.
  • Право на возражение

GDPR требует прозрачность обработки от операторов, поэтому при передаче ПДн на обработку субъект данных должен получить всю информацию из перечня, приведённого в разделе 2.5.

По GDPR компания обязана предоставить субъекту персональных данных по запросу копию его ПДн, в том числе в электронном виде, и реализацию права на переносимость (см. раздел 2.8).

В остальном права субъектов персональных данных в №152-ФЗ и GDPR аналогичны

 

Требование №9 "Обязанности оператора при сборе ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию об обработке

В том случае, если персональные данные, собираются от субъекта данных, контролер должен, в момент получения персональных данных, предоставить субъекту информацию об обработке

В №152-ФЗ предоставление информации перед обработкой происходит по запросу субъекта данных. GDPR обязывает передать информацию (см. раздел 2.5) до начала обработки в любом случае

 

Требование №10 "Принятие решений на основании исключительно автоматизированной обработки"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения

Субъект данных должен иметь право не подчиняться решению, основанному исключительно на автоматизированной обработке, включая составление профиля, которое порождает правовые последствия, касающиеся его.

За исключением случаев, когда принятие решения:

    1. является необходимым для заключения или исполнения договора;
    2. дозволено правом законодательства;
    3. основывается на прямом согласии субъекта данных.

В случаях, связанных с согласием и договором, контролер данных должен применять надлежащие меры для защиты прав и свобод субъекта данных и законных интересов, как минимум, конкретное информирование субъекта данных, права запросить вмешательство контролера, права выражать точку зрения, а также оспаривать решение.

Решения не должны основываться на особых категориях ПДн, за некоторым исключением

В GDPR добавляется, что принятие решения на основании автоматизированной обработки возможно при заключении договора, а не только по согласию субъекта данных или по разрешению законодательством.

И по GDPR, и по №152-ФЗ субъект данных может выразить свою точку зрения и заявить своё возражение в отношении принятого решения

 

Требование №11 "Меры по обеспечению безопасности ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Обеспечение безопасности ПДн достигается:

        1. определением угроз безопасности;
        2. применением организационных и технических мер по обеспечению безопасности персональных данных;
        3. применением сертифицированных средств защиты информации;
        4. оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
        5. учетом машинных носителей персональных данных;
        6. обнаружением фактов НСД к ПДн и принятием мер;
        7. восстановлением персональных данных, модифицированных или уничтоженных вследствие НСД;
        8. установлением правил доступа к ПДн, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
        9. контролем за принимаемыми мерами по обеспечению безопасности данных и уровня защищенности ИСПДн

Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а также характер, объем, контекст и цели обработки, вероятностное возникновение рисков и опасности для прав и свобод физических лиц, организация должна осуществлять соответствующие технические и организационные меры, обеспечивающие надлежащий уровень безопасности соразмерный рискам.

Каждый контролер должен вести учетные записи обработки данных, находящейся под его ответственностью.

При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе риски, которые представляет собой сама обработка, в особенности риски от случайного или неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к ПДн переданным, сохраненным либо или иным образом обработанным.

Меры обеспечивающие надлежащий уровень безопасности соразмерный рискам, включая, среди прочего, следующее:

  1. псевдонимизация и криптографическая защита персональных данных;
  2. средства для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
  3. средства своевременного восстановления доступности и доступа к персональным данным в случае природного или технического инцидента;
  4. процедура регулярной проверки и оценки эффективности технических и организационных мер, обеспечивающая безопасность обработки.

В тех случаях, когда тип обработки данных, в частности при использовании новых технологий, а также принимая во внимание характер, объем, контекст и цели обработки, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролер должен, до этой обработки, осуществить оценку воздействия предусмотренных операций обработки на защиту ПДн.

Защита данных для определенных целей/случаев и по умолчанию

Оба документа требуют обеспечения безопасности ПДн, приводя минимальные наборы технических и организационных мер.

GDPR делает уточнения к обязательному ведению учетных записей по процессу обработки, за исключением некоторых случаев (см. раздел 2.10). Обязательна оценка воздействия предполагаемых процессов обработки на безопасность данных (см. раздел 2.11).

По GDPR при построении систем безопасности должна быть произведена оценка рисков, что аналогично разработке модели угроз.

GDPR вносит требования к защите при проектирование и по умолчанию (англ. by design, by default) (см. раздел 2.9).

По GDPR организация обязана в случаях утечки сообщать о ней в надзорный орган и субъекту данных (см. раздел 2.9)

 

Требование №12 "Лица, ответственные за организацию обработки ПДн"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Оператор назначает лицо, ответственное за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

      1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о ПДн, в том числе требований к защите персональных данных;
      2. доводить до сведения работников оператора положения законодательства РФ о ПДн, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
      3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов

Организация должна назначить Офицер по защите персональных данных в определённых случаях.

В иных случаях организации могут, или, если этого требует право государства, должны назначить Офицера по защите персональных данных.

Офицер по защите персональных данных должен назначаться на основе профессиональных качеств и, в том числе, на основе экспертных знаний в сфере права защиты данных и практики, а также способности осуществления поставленных перед ним задач.

Офицер по защите персональных данных может являться сотрудником контролера или процессора, или осуществлять задачи на основании договора об оказании услуг.

Субъекты данных могут обращаться к Офицеру по защите персональных данных относительно всех вопросов, связанных с обработкой их ПДн, а также связанных с осуществлением их прав.

Офицер по защите персональных должен выполнять, как минимум следующие задачи:

    1. информировать и давать советы организацие, а также сотрудникам, которые осуществляют обработку, относительно их обязанностей по Регламенту и иным положениям о защите данных;
    2. осуществлять мониторинг соблюдения Регламента, иных положений о защите данных, и политик организации в отношении защиты персональных данных, в том числе распределения обязанностей, повышения осведомленности и обучения персонала, занятого в обработке данных, а также относительно аудита.
    3. давать рекомендации, когда они запрашиваются, относительно оценки воздействия на защиту данных, а также осуществлять мониторинг их выполнения;
    4. сотрудничать с надзорным органом;
    5. действовать в качестве контактного центра для надзорного органа по вопросам, относящимся к обработке

Лицо, ответственное за организацию обработки ПДн в целом аналогично Офицеру по защите персональных данных.

За исключением факта, что в GDPR Офицер обязан выбираться на основании его профессиональных знаний и возможности выполнения поставленных перед ним задач, в №152-ФЗ таких уточнений нет.

По GDPR Офицер может не назначаться в некоторых случаях (см. раздел 2.12), по №152-ФЗ Лицо, ответственное за организацию обработки ПДн назначается обязательно

 

Требование №13 "Ответственность за нарушение требований"

По 152 ФЗ «О защите персональных данных» По GDPR Общее и различия

Лица, виновные в нарушении требований, несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков

За любое нарушение требований GDPR накладывается штраф

GDPR содержит конкретный перечень нарушений и штрафов к ним, достигающих размера 20 миллионов Евро (см. раздел 2.13)

 

Темы:Персональные данныеПраво и нормативыGDPR

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Закон об ИТ-аутсорсинге: как он отразится на ИБ?
    Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
    Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?
  • Обзор изменений в законодательстве. Ноябрь-декабрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ, ужесточение административной и уголовной ответственности в области обработки ПДн и другие важные изменения
  • Персональные данные в 2024 году. Чек-лист
    В 2023 г. произошли сотни утечек персональных данных. Ситуация обостряется с каждым годом и требует новых мер реагирования: технических – в виде создания все более совершенных средств защиты информации и организационных – в том числе правовых.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать