Правовое регулирование работы с персональными данными в Российской Федерации осуществляется Федеральным законом № 152 «О персональных данных». В европейских странах за персональные данные отвечает Генеральный регламент по защите персональных данных GDPR (General Data Protection Regulation). Рассмотрим особенности работы с персональными данными в России и Европе подробнее.
Правовое регулирование работы с персональными данными в России
На территории Российской Федерации в отношении любых действий и процессов, связанных с персональными данными граждан, действует Федеральный закон № 152 «О персональных данных». ФЗ № 152 распространяется на все организации, зарегистрированные в России, а также представительства иностранных компаний, находящихся в пределах страны.
Согласно ФЗ № 152, под понятие «персональные данные» попадает любая личная информация о гражданине страны, которая позволяет установить его личность.
Основные требования к операторам персональных данных в России
- Компания-оператор, работающая с базой персональных данных, обязана сообщить каждому субъекту, с какой целью собираются данные о нем, а также получить его согласие на обработку этих данных.
- В случае, когда личные данные предоставляются онлайн, например, при заполнении какой-либо контактной формы в интернете, на сайте должен быть предусмотрен раздел с Политикой в отношении обработки персональных данных и их конфиденциальности. В самой форме для сбора персональных данных должен присутствовать дисклеймер, проставляя галочку в котором, посетитель сайта дает свое согласие на отправку и дальнейшую обработку своих данных.
- В случае, если гражданин не дал своего согласия на использование личной информации, данные для обработки могут быть заимствованы из открытых источников. Однако, в отношении этого пункта следует быть предельно внимательными, так как в России уже были прецеденты, когда суд признавал незаконность подобного способа использования информации.
- Нельзя собирать персональные данные, которые не соотносятся с конечной целью их обработки, вся лишняя информация также должна быть удалена. Например, интернет-магазины не вправе требовать от покупателей предоставление сканов паспортов.
- В случае, когда цель обработки данных достигнута, личная информация гражданина должна быть удалена или обезличена так, чтобы он не мог быть идентифицирован по хранящимся данным.
С 1 июля 2017 года все операторы обязаны хранить и обрабатывать личные данные граждан РФ на территории страны.
Персональные данные всех пользователей облачных приложений для бизнеса Hamilton Apps хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных».
Приложения Hamilton Apps разработаны для легкого, быстрого и эффективного управления авансовой отчетностью и командировками в компаниях. Больше информации о них можно найти здесь.
Больше информации об обработке персональных данных в России можно найти в материале Обработка персональных данных.
В России, по сравнению с Европой, предусмотрены не очень большие штрафы за нарушение требований законодательства в отношении персональных данных — они колеблются от 1 до 75 тысяч рублей. Самые низкие штрафные пороги применяются к физическим лицам, более высокие – к юридическим.
Правовое регулирование работы с персональными данными в Европе
Генеральный регламент по защите персональных данных / General Data Protection Regulation (GDPR) был введен в Евросоюзе 25 мая 2018 года. Его действие распространяется на все национальные и интернациональные компании, имеющие дело с хранением или обработкой личных данных граждан.
Согласно GDPR, под понятие «персональные данные» попадает любая информация, с помощью которой можно идентифицировать личность человека — как видно, понятие ПД в России и в Европе схоже. Прежде всего к такой информации относится: фамилия, имя, адрес, логины в Интернете и IP, а также данные, позволяющие определить культурную или социальную принадлежность гражданина.
Согласно Регламенту, к отдельной категории персональных данных относятся религиозные взгляды, сведения о здоровье и биометрические показатели каждого человека.
Основные требования к операторам персональных данных в Европе
- Разрешение на обработку личной информации должно быть получено от субъекта персональных данных. Если такого согласия нет, то дальнейшие действия с персональными данными противозаконны. Понятие «молчание – знак согласия» не имеет законного действия, равно как и бездействие субъекта в ответ на запрос согласия по обработке его данных.
- Обработка персональных данных должна проводиться с конкретной конечной целью, которая также должна быть доведена до сведения гражданина. Если собранные данные излишне или не отвечают конечной цели, их обработка строго запрещена. После достижения цели обработки персональных данных они должны быть полностью удалены. Сюда же относится необходимость удаления личной информации о пользователе при поступлении соответствующего запроса с его стороны.
- Компания-оператор, работающая с базой персональных данных пользователей, должна обеспечить их надежную защиту, включая схемы и последовательность шагов, которые будут предприняты в случае возникновения угрозы безопасности данных. При хранении личной информации также должна быть обеспечена ее полная конфиденциальность путем шифрования данных.
- Компания-оператор, работающая с базой персональных данных, должна назначить ответственное лицо, которое будет контролировать все процессы, связанные с ПД, а также выполнение требований нормативных актов. Пристальное внимание уделяется компаниям, которые работают с большими массивами данных.
- В случае возникновения факта утечки данных необходимо в обязательном порядке проинформировать регулирующий орган. Подобное уведомление должно быть сделано компанией-оператором в течение 3-х дней с момента возникновения угрозы утечки данных.
В Евросоюзе предусмотрены очень большие штрафы за нарушение требований GDPR, их сумма может достигать 4% от ежегодного оборота компании. Под юрисдикцию регулятора попадают прежде всего такие крупные компании, как Google и Facebook. При этом регулятор действует довольно мягко и последовательно, давая компаниям время на адаптацию к введенным требованиям.
Где хранятся персональные данные?
И российское, и европейское законодательство предусматривают возможность передачи персональных данных сторонней организации на хранение и обработку. Сегодня все чаще в этой роли выступают облачные сервис-провайдеры, полностью отвечающие всем требованиям законодательства и обеспечивающие всю необходимую техническую инфраструктуру для хранения и работы с массивами персональной информации.