GDPR
GDPR — общий регламент ЕС о защите данных, действующий с 2018 года; распространяется на любую компанию, которая обрабатывает данные жителей Евросоюза.
Что такое GDPR
GDPR расшифровывается как General Data Protection Regulation — «Общий регламент по защите данных», официально Регламент (ЕС) 2016/679. Применяется с 25 мая 2018 года и регулирует обработку персональных данных в Европейском союзе.
Главное, что нужно понять про GDPR: он экстерриториален. Регламент действует не там, где находится компания, а там, где находятся люди, чьи данные обрабатываются. Российская компания без единого офиса в ЕС попадает под GDPR, если предлагает товары или услуги жителям Евросоюза (принимает оплату в евро, ведёт сайт на языках ЕС, доставляет туда) или отслеживает их поведение — например, через аналитику на сайте, куда заходят из Европы.
Второй принципиальный сдвиг — презумпция запрета. Обработка незаконна, пока вы не назвали одно из шести оснований статьи 6: согласие, исполнение договора, требование закона, жизненно важные интересы, общественный интерес, законный интерес. Причём «законный интерес» — не универсальная отмычка: его нужно взвесить против прав человека и задокументировать этот анализ.
Ключевые понятия
- Data Subject — человек, к которому относятся данные.
- Controller — определяет цели и средства обработки. Основной ответственный.
- Processor — обрабатывает по поручению контроллера. Ваш хостинг-провайдер — типичный процессор, отношения оформляются договором DPA.
- DPO — Data Protection Officer, обязателен при систематическом масштабном мониторинге или обработке специальных категорий.
- DPIA — оценка воздействия на защиту данных перед рискованной обработкой.
Права субъекта
Именно они создают основную инженерную работу, потому что каждое право нужно уметь реализовать технически, а не задекларировать:
| Право | Что означает | Что требует от системы |
|---|---|---|
| Доступ | Получить копию своих данных | Найти все данные о человеке во всех системах |
| Исправление | Поправить неточности | Сквозное обновление, включая реплики |
| Удаление («право быть забытым») | Стереть данные | Удаление в БД, бэкапах, логах, DWH |
| Переносимость | Забрать в машиночитаемом виде | Экспорт в JSON/CSV |
| Возражение | Запретить обработку | Флаг, который уважают все сервисы |
| Ограничение | Заморозить обработку | Блокировка без удаления |
На запросы отводится один месяц. Право на удаление — самое болезненное: данные человека расползаются по аналитическим хранилищам, логам, кешам и архивам, и «удалить из основной БД» его не закрывает.
Обязанности и штрафы
Privacy by design и privacy by default — защита закладывается в архитектуру, а не прикручивается позже; по умолчанию собирается минимум. Минимизация данных: собирать только необходимое для заявленной цели. Реестр операций обработки (ROPA). Уведомление надзорного органа об утечке — в течение 72 часов, а при высоком риске ещё и самих пострадавших.
Штрафы двухуровневые и считаются от мирового оборота группы:
- До 10 млн евро или 2% годового оборота — за нарушения вроде отсутствия DPIA или ROPA.
- До 20 млн евро или 4% — за нарушение принципов, оснований обработки и прав субъектов.
Берётся большая из двух величин. Это и сделало GDPR законом, который читают юристы всего мира.
GDPR и 152-ФЗ
| GDPR | 152-ФЗ | |
|---|---|---|
| Территория | Данные жителей ЕС, где бы ни обрабатывались | Данные граждан РФ |
| Основания | Шесть, согласие — одно из многих | Согласие в центре конструкции |
| Локализация | Не требуется внутри ЕС; вывоз — по SCC или adequacy | Первичная база обязана быть в РФ |
| Меры защиты | Риск-ориентированные, конкретика на усмотрение | Предписаны: УЗ, приказ ФСТЭК № 21, СЗИ |
| Утечка | 72 часа надзорному органу | 24 часа на факт + 72 часа на расследование |
| Штрафы | % от мирового оборота | Фиксированные, оборотные за повторную утечку |
Разница философий: GDPR говорит «оцените риски и защититесь адекватно», 152-ФЗ говорит «примените вот эти конкретные меры». Соответствие одному не даёт соответствия другому.
Практический момент для инфраструктуры: у России нет решения об адекватности (adequacy decision) со стороны ЕС. Передача данных европейцев на российские серверы требует отдельных механизмов — стандартных договорных условий (SCC) и оценки. Компания, работающая на оба рынка, чаще всего разводит данные по разным контурам физически: российские — в ЦОД в РФ по требованию локализации, европейские — в ЕС.
Связанные термины
- Персональные данные / 152-ФЗ — российский аналог
- Конфиденциальность — свойство, которое защищает регламент
- Инцидент ИБ — откуда берутся 72 часа
- ИСПДн — как та же задача решается в РФ
- PCI DSS — отраслевой стандарт с похожей логикой комплаенса
Готовы запустить GPU-задачу?
Запустить GPU-сервер