Сравнительный анализ законодательства в области защиты персональных данных в Российской Федерации и зарубежом. Швейцария

Сравнительный анализ законодательства в области защиты персональных данных в Российской Федерации и за рубежом.

Правительства разных стран все больше ориентируются на интернет: занимаются борьбой с медийным пиратством, пропагандой, распространением запрещенных товаров. Использование Интернета во всех сферах жизни и объем содержащихся в нем персональных данных породили очень важную тенденцию – защиту персональных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне естественно. Ввиду разницы правовых школ, не одинаковы и нормы права в области персональных данных.

Основными документами, регламентирующими работу с персональными данными в РФ, являются Федеральный закон РФ No 152, принятый в 2006 году, и Европейский общий регламент по защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года. Но помимо общих законов правовая база ОПД РФ включается:

Законодательством Российской Федерации под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту ПД). Существует также понятие оператора ПД. Речь идет о физических и юридических лицах, занимающихся обработкой ПД. Обработка – это любое действие, совершаемое с персональными данными. Согласно закону, при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, обновление, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Поэтому, даже если компания работает онлайн, не имеет физического присутствия в России и ее деятельность ориентирована на российских граждан, компания должна следовать требованиям закона. Если сайт расположен на зарубежном хостинге, но вы собираете и обрабатываете данные о гражданах Российской Федерации, ваш домен может быть включен в Реестр нарушителей прав субъектов персональных данных. Ведение реестра осуществляет Роскомнадзор.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это делается для того, чтобы исключить любые недоразумения, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть понятие оператора ПД, в GDPR есть «контролер» и «процессор». Согласно GDPR, контролеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой. Контроллеры – это компании или организации, которые собирают данные пользователей. Процессоры – компании, которые их обрабатывают от имени контроллеров. Контроллеры несут большую часть ответственности и заключают с процессорами соглашения о соблюдении правил GDPR при обработке переданных контроллерами данных.

При работе с персональными данными необходимо обеспечить их правильную обработку и защиту. Организация обязана установить лицо, ответственное за обработку персональных данных – этот пункт распространен в российских и европейских нормативных актах. В GDPR есть понятие Data Protection officer – он подчиняется непосредственно топ-менеджменту компании, но в отличие от 152-ФЗ эту задачу можно поручить стороннему контрагенту (юридическому лицу). В России организации обязаны корректировать процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять об этом Роскомнадзор. Необходимо получить согласие субъектов ПДн (в том числе при передаче их ПДн третьим лицам), подготовить и опубликовать соответствующие положения на сайте. Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России. GDPR не требует обязательного хранения персональных данных в странах ЕС. Несмотря на то, что европейские нормативные акты во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПДн – это возможно только в тех странах, которые, по мнению Евросоюза, должным образом защищают персональные данные.

Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных, а также ряду внеприсоединившихся государств, обеспечивающих защиту ПДн. Законодательство Российской Федерации допускает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение срока, необходимого для целей обработки. Согласно GDPR, правовой основой для обработки ПДн является договор, согласие, публичный, жизненно важный или законный интерес.

Одним из ключевых отличий GDPR от 152-ФЗ является защита персональных данных, основанная на рисках потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен – обработка не может быть выполнена. Российское законодательство включает в себя только понятие уровня защищенности персональных данных. Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные указания по применению сертифицированных средств защиты (приказ ФСТЭК No 21), а в GDPR таких подзаконных актов нет. Статья 25 GDPR требует, чтобы компании создавали системы со встроенной защитой персональных данных и системы конфиденциальности по умолчанию — концепция «Privacy by Design & Privacy by Default». Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования и постоянно поддерживать такую систему в дальнейшем. Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками перед кодированием.

Согласно концепции, лучший способ снизить риски конфиденциальности — не создавать их. Роскомнадзор может прийти в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица. Также проводятся плановые проверки, перечень которых размещен на сайте ведомства. Если организация не уведомила Роскомнадзор о том, что является оператором ПДн, это не спасет ее от проверок, равно как и формальное заполнение готовых документов, скачанных из интернета, не поможет – Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию. Отчасти может помочь перенос персональных данных в защищенное облако 152-ФЗ, принадлежащее облачному провайдеру, но необходимо помнить, что именно оператор устанавливает цель обработки и несет ответственность за нарушения.

Последствия нарушения достаточно серьезные: блокировка сайта организации, крупные штрафы для юридических лиц и должностных лиц, приостановление деятельности компании на срок до 90 дней, а также лишение должностного лица права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет. Несертифицированные средства защиты информации могут быть конфискованы и, конечно же, организация столкнется с репутационными потерями.

Говоря о более узком законодательстве в области обработки персональных данный, остановимся на Швейцарском законодательстве. Хотя Швейцария не является ни частью ЕС, ни ЕЭЗ, GDPR ЕС вынудил правительство Швейцарии принять законы о конфиденциальности данных в соответствии с международными стандартами. Пересмотренный Федеральный закон Швейцарии о защите данных 2020 года (FADP) заменит давно существующий Федеральный закон Швейцарии о защите данных 1992 года. Пересмотренный закон расширяет определение конфиденциальных персональных данных, включая генетические и биометрические данные. Организации будут иметь более строгие обязательства по предоставлению информации и должны будут проводить оценку воздействия на защиту данных для деятельности по обработке данных с высоким риском. Пересмотренный швейцарский FADP вступит в силу 1 сентября 2023 года. FADP применяется к предприятиям и федеральным органам власти, которые обрабатывают персональные данные субъектов данных. Требования к обработке данный идентичны требования в странах ЕС, рассмотренные частично выше. Но интересным является наличие в законе рекомендаций по внедрению требований к организации работы с персональными данными. Глобальная динамика доступа, защиты и обмена персональными данными быстро меняется, требуя от организаций более внимательного отношения к конфиденциальности своих процессов и ответственных хранителей данных своих потребителей, автоматизируя операции по обеспечению конфиденциальности и безопасности для быстрого реагирования.

С растущей базой данных пользователей и потенциальных пользователей организациям необходимо внедрить роботизированную автоматизацию, чтобы обеспечить соответствие требованиям, не упуская из виду. В то время как многие сервисы предлагают программное обеспечение, которое позволяет компаниям соблюдать глобальные правила конфиденциальности, эти решения заходят настолько далеко, насколько это возможно, с различными ограничениями или элементарными функциями, управляемыми данными. Securiti объединяет надежность, интеллектуальность и простоту, работая на платформе PrivacyOps, чтобы обеспечить сквозную автоматизацию для организаций. Securiti может помочь вам соблюдать швейцарский FADP и другие правила конфиденциальности и безопасности по всему миру.

Таким образом, обработка персональных данных – один из ведущих элементов правового поля, что отражено и в законодательстве, и в применимости этих норм. Ключевым различие Российского законодательства со Швейцарским и общим для стран ЕС – более узкое определение персональных данных, что ограничивает степень определения границ категорий данных. Минимальный перечне персональных данных включает:

В законодательстве Швейцарии есть специфические персональные данные, в которые входит религиозная принадлежность, национальность, биометрические данные и т.д. Российское законодательство, скорее всего, может претерпеть ряд изменений в ближайшее время, что может быть обусловлено и позицией ряда политиков, например, по миграционному чету (в частности, публикации Д.А.Медведева, в которых выдвигается требование к сбору персональных данный у мигрантов), так и общей геополитической обстановкой, требующей прогнозирования различных ситуаций наперед.