Security

GDPR

GDPR — общий регламент ЕС о защите данных, действующий с 2018 года; распространяется на любую компанию, которая обрабатывает данные жителей Евросоюза.

Что такое GDPR

GDPR расшифровывается как General Data Protection Regulation — «Общий регламент по защите данных», официально Регламент (ЕС) 2016/679. Применяется с 25 мая 2018 года и регулирует обработку персональных данных в Европейском союзе.

Главное, что нужно понять про GDPR: он экстерриториален. Регламент действует не там, где находится компания, а там, где находятся люди, чьи данные обрабатываются. Российская компания без единого офиса в ЕС попадает под GDPR, если предлагает товары или услуги жителям Евросоюза (принимает оплату в евро, ведёт сайт на языках ЕС, доставляет туда) или отслеживает их поведение — например, через аналитику на сайте, куда заходят из Европы.

Второй принципиальный сдвиг — презумпция запрета. Обработка незаконна, пока вы не назвали одно из шести оснований статьи 6: согласие, исполнение договора, требование закона, жизненно важные интересы, общественный интерес, законный интерес. Причём «законный интерес» — не универсальная отмычка: его нужно взвесить против прав человека и задокументировать этот анализ.

Ключевые понятия

  • Data Subject — человек, к которому относятся данные.
  • Controller — определяет цели и средства обработки. Основной ответственный.
  • Processor — обрабатывает по поручению контроллера. Ваш хостинг-провайдер — типичный процессор, отношения оформляются договором DPA.
  • DPO — Data Protection Officer, обязателен при систематическом масштабном мониторинге или обработке специальных категорий.
  • DPIA — оценка воздействия на защиту данных перед рискованной обработкой.

Права субъекта

Именно они создают основную инженерную работу, потому что каждое право нужно уметь реализовать технически, а не задекларировать:

Право Что означает Что требует от системы
Доступ Получить копию своих данных Найти все данные о человеке во всех системах
Исправление Поправить неточности Сквозное обновление, включая реплики
Удаление («право быть забытым») Стереть данные Удаление в БД, бэкапах, логах, DWH
Переносимость Забрать в машиночитаемом виде Экспорт в JSON/CSV
Возражение Запретить обработку Флаг, который уважают все сервисы
Ограничение Заморозить обработку Блокировка без удаления

На запросы отводится один месяц. Право на удаление — самое болезненное: данные человека расползаются по аналитическим хранилищам, логам, кешам и архивам, и «удалить из основной БД» его не закрывает.

Обязанности и штрафы

Privacy by design и privacy by default — защита закладывается в архитектуру, а не прикручивается позже; по умолчанию собирается минимум. Минимизация данных: собирать только необходимое для заявленной цели. Реестр операций обработки (ROPA). Уведомление надзорного органа об утечке — в течение 72 часов, а при высоком риске ещё и самих пострадавших.

Штрафы двухуровневые и считаются от мирового оборота группы:

  • До 10 млн евро или 2% годового оборота — за нарушения вроде отсутствия DPIA или ROPA.
  • До 20 млн евро или 4% — за нарушение принципов, оснований обработки и прав субъектов.

Берётся большая из двух величин. Это и сделало GDPR законом, который читают юристы всего мира.

GDPR и 152-ФЗ

GDPR 152-ФЗ
Территория Данные жителей ЕС, где бы ни обрабатывались Данные граждан РФ
Основания Шесть, согласие — одно из многих Согласие в центре конструкции
Локализация Не требуется внутри ЕС; вывоз — по SCC или adequacy Первичная база обязана быть в РФ
Меры защиты Риск-ориентированные, конкретика на усмотрение Предписаны: УЗ, приказ ФСТЭК № 21, СЗИ
Утечка 72 часа надзорному органу 24 часа на факт + 72 часа на расследование
Штрафы % от мирового оборота Фиксированные, оборотные за повторную утечку

Разница философий: GDPR говорит «оцените риски и защититесь адекватно», 152-ФЗ говорит «примените вот эти конкретные меры». Соответствие одному не даёт соответствия другому.

Практический момент для инфраструктуры: у России нет решения об адекватности (adequacy decision) со стороны ЕС. Передача данных европейцев на российские серверы требует отдельных механизмов — стандартных договорных условий (SCC) и оценки. Компания, работающая на оба рынка, чаще всего разводит данные по разным контурам физически: российские — в ЦОД в РФ по требованию локализации, европейские — в ЕС.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер