Кратко описал основные различия в подходах к обработке и защите ПДн в Европе и России.
ЕС | Россия | |
1. Общая суть | Ориентир на защиту прав субъектов данных. | Защита прав субъектов данных заявляется, но проверяют формальные требования. |
2. Актуальность | Важная и актуальная тема. | Интерес минимальный. |
3. Штрафы | Большие штрафы, в основном за нарушение прав субъектов ПДн. Штрафы соразмерны размеру (и обороту) компании и имеют «сдерживающее воздействие». | В основном минимальные штрафы за формальные незначительные несоответствия. Новые большие штрафы за отсутствие «локализации» баз ПДн, которые воспринимаются в качестве давления на иностранный бизнес. |
4. Рекомендации надзорных органов | Много официальных и детальных рекомендаций по актуальным темам. Доступны шаблоны и специальное ПО. | Минимально и поверхностно, «не уполномочены давать разъяснения». |
5. Полномочия надзорных органов | Широкие. | Минимальные. |
6. Основание для обработки | Согласие – самый не популярный и рисковый вариант легализации сбора ПДн. Рекомендуется использовать другие основания. Уточняется, что согласие под принуждением (если дается зависимой стороной) не имеет юридической силы. Часто используется «законный интерес» (legitimate interest) в качестве обоснования обработки ПДн. | Получение согласие – основной механизм легализации сбора ПДн. Его берут по любому поводу и без. |
7. Минимизация данных | Ориентир на минимизацию собираемой информации и сроков хранения. | Минимизация сбора ПДн заявляется, но, по факту, реализуется редко. Примеры: сканирование паспортов в гостинице и на проходных в офисах, запросы субъектов ПДн, содержащие полные паспортные данные, и пр. |
8. Ответственный за защиту данных | DPO – важная и ответственная роль. Опубликовано много рекомендаций по его задачам, знанию и опыту. DPO представляет и отстаивает интересы субъектов ПДн. | Ответственные за обработку и защиту ПДн назначаются, но, по факту, практически не влияют на процессы обработки и защиты. |
9. Оценка влияния на субъектов данных | DPIA – важный и, зачастую, обязательный процесс. Есть официальные рекомендации и шаблоны. Необходимо консультироваться с надзорным органом при высоких рисках. | «Оценка вреда субъектам данных» обычно не производится или формально оформляется простым протоколом. Не влияет на обработку и требования к защите. |
10. Мониторинг сотрудников | Следует обосновать необходимость и получить одобрение. | Мониторинг сотрудников (DLP, web-контроль, мониторинг рабочего времени, CCTV и пр.) обычная практика. |
11. Средний и малый бизнес (до 250 человек) | Упрощенные требования для среднего и малого бизнеса. | Одинаковые правила для всех. |
12. Соответствие требованиям | Подотчетность (accountability) – важный принцип обработки ПДн. Суть в том, чтобы оператор был готов показать и подтвердить свое соответствие требованиям. | Требуется формальное соответствие 152-ФЗ, легко закрыть «бумажной безопасностью». |
13. Список стран с адекватной защитой | ЕС + небольшой перечень стран, всего порядка 40. США включены в перечень, но только для компаний, входящих в Privacy Shield. Россия не включена в перечень… | Стороны Конвенции Совета Европы + пару десятков стран, всего порядка 70. США не включены в перечень. |
14. Требования по технической защите | Верхнеуровненвые. | Детальные и сложные (ФСТЭК России и ФСБ России), соответствие не проверяется… |
15. Утечки ПДн | Об утечках ПДн необходимо уведомлять надзорный орган и субъектов ПДн. Опубликовано много рекомендаций. Можно получить штраф за утечку данных. | Требований (и практики) по уведомлению нет, штрафов нет |
16. Защита данных «by design and by default» | Обязательная часть ИБ. | Аналога нет. |
17. «Лучшие практики» | Предусмотрены механизмы сертификации, создания и утверждения Корпоративных правил и Кодексов поведения. | Аналога нет. |