Статья Павла Есакова: "GDPR и 152-ФЗ: не торопитесь ставить знак равенства"

В мае 2018 года вступил в действие закон Евросоюза 2016/679, более известный под аббревиатурой GDPR (General Data Protection Rule), который регулирует защиту персональных данных (ПДн) жителей ЕС. О том, повлечет ли вступление в силу GDPR последствия для российского бизнеса, рассказывает Павел Есаков, эксперт по системам аутентификации компании CSM.

16 Августа 2018

Статья Павла Есакова: "GDPR и 152-ФЗ: не торопитесь ставить знак равенства"

Прошло больше месяца с момента вступления в силу закона о защите персональных данных граждан Евросоюза (GDPR). Текст закона однозначно трактует необходимость выполнения положений данного документа любыми компаниями, которые обрабатывают персональные данные граждан Европейского союза. Казалось бы, у нас в России достаточно большое количество организаций, которые в силу тех или иных обстоятельств собирают вышеупомянутые данные: транспортные компании, гостиницы, транснациональные компании, имеющие филиалы в России и ведущие кадровый учет, интернет-магазины и т. д.
Если посмотреть на ответы ряда российских компаний, которые подпадают под действие нового законодательства Евросоюза, то мы увидим олимпийское спокойствие и заверения в том, что с реализацией положений GDPR никаких проблем у них не возникает.

Многие представители компаний ссылаются при этом на тот факт, что поскольку организация реализовала у себя требования 152-ФЗ, то практических проблем у них нет и быть не может. Ну, может быть, переписать некоторое количество инструкций для персонала да назначить в компании лицо, ответственное за безопасность персональных данных. Правда, при этом некоторые юристы ссылаются на выполнение своей компанией требований закона 242-ФЗ, основной новеллой которого по отношению к 152-ФЗ стало требование о сборе, обработке и хранении персональных данных граждан РФ на территории России.
Действительно ли  GDPR практически полностью соответствует российскому Федеральному закону 152-ФЗ, есть ли отличия и в чем они заключаются?

Действительно, в законах достаточно много совпадающих требований. Возможно, это связано с тем, что основой обоих законов стала директива Евросоюза 95/46/EC. Но ряд положений различаются, и достаточно радикально. Принято считать, что дьявол кроется в деталях, но в нашем случае различие имеется в том, в каких целях вводится регулирование. Так, российский закон постулирует своей основной целью защиту и обеспечение прав субъектов персональных данных. Целью же закона в Европейском союзе заявлено обеспечение свободного перемещения персональных данных на территории Евросоюза при обеспечении защиты прав субъектов персональных данных. И конечно, в законе Евросоюза нет положения о персональных данных, являющихся государственной тайной. 

Но и это еще далеко не все различия. Те, кто знаком с особенностями реализации российского Закона о защите персональных данных, знают, что для защиты таких данных можно применять только сертифицированные уполномоченными органами решения.   Европейский закон не требует обязательной сертификации применяемых решений по защите персональных данных. Сам процесс сертификации системы защиты таких данных в Евросоюзе является актом доброй воли со стороны оператора персональных данных, а наличие сертификата не освобождает от ответственности за нарушение прав субъектов персональных данных. Европейские законодатели, руководствуясь тем, что закон не должен навязывать какие-либо технические решения, внесли в текст GDPR два механизма, которые должны обеспечить безопасность персональных данных: псевдонимомизация данных и шифрование данных. И это весьма симптоматично – от мер по ограничению доступа к данным (защите периметра) операторы должны перейти к использованию механизмов, защищающих собственно данные.

Надо отметить, что среди многочиcленных решений, сертифицированных ФСТЭК и ФСБ для защиты персональных данных в информационных системах, практически отсутствуют решения, способные удовлетворить требования европейского закона. И как поступать в таких случаях тем, кто в силу характера своего бизнеса собирает и обрабатывает персональные данные граждан Евросоюза? Этот вопрос остается открытым.

Есть ли еще какие-либо отличия GDPR от 152-ФЗ? Одно из существенных отличий – это обязанность оператора персональных данных, действующего в рамках GDPR, уведомить уполномоченный орган о случае утечки персональных данных в течение 72 часов с момента инцидента. Помимо этого, оператор обязан уведо-мить о таком инциденте и всех тех, чьи персональные  данные были похищены. Но применение метода шифрования персональных данных позволяет избежать необходимости сообщать о случившемся субъектам персональных данных, не снимая при этом с оператора обязанности уведомить надзорный орган об утечке. Есть ли в российских компаниях практика шифрования персональных данных? Среди большого списка сертифицированных решений для информационных систем персональных данных, решений, которые бы обеспечивали шифрование  данных, обнаружить не удается. Тем не менее такие решения на рынке имеются, и российским компаниям, которые волей судеб вынуждены обрабатывать персональные данные граждан ЕС, нужно озаботиться их внедрением – не для галочки, а для того, чтобы избежать возможных претензий, как от субъектов персональных данных, так и от регуляторов.

Некоторые эксперты призывают сегодня операторов, чья деятельность подпадает под действие GDPR, не паниковать. Они ссылаются на преамбулу закона, где декларируется соразмерность админи-тративных штрафов, которые вправе наложить надзорный орган за нарушение закона, с тяжестью проступка. Ведь задача регулятора – призвать к порядку, а не разорить бизнес. Но не будем забывать про российскую общеизвестную привычку заплатить штраф и не сделать никаких изменений в ИТ-системах, особенно с учетом размеров штрафов в России. Те же компании, которые в первый раз действительно могут отделаться легким испугом, в случае повторного нарушения рискуют, что называется, «получить по полной».   

Также напомним, что закон требует принятия не только технических, но и целого ряда организационных мер, – так что и бумажной работы нужно будет проделать немало.