Общие черты: что объединяет GDPR и 152-ФЗ
Несмотря на то что законы были разработаны в разных правовых и культурных контекстах, они имеют много общих черт. Это объясняется глобальной тенденцией к усилению контроля над обработкой персональных данных.
1. Принцип законности обработки
Оба закона требуют, чтобы персональные данные обрабатывались на законных основаниях. Это означает, что организация должна иметь правовое основание для их сбора, хранения и использования. Например, согласие субъекта данных или исполнение договора.
2. Прозрачность и информирование
И 152-ФЗ, и GDPR обязывают компании информировать пользователей о том, какие данные собираются, с какой целью, на каких условиях и кому они могут быть переданы.
3. Права субъектов данных
Оба нормативных акта закрепляют за гражданами определённые права в отношении их данных:
- право на доступ к своим данным;
- право на исправление;
- право на удаление (в определённых случаях);
- право на ограничение обработки и на отзыв согласия.
4. Требования к безопасности данных
Организации обязаны принимать технические и организационные меры для защиты персональных данных от утечек, несанкционированного доступа и других угроз.
5. Ответственность и контроль
В обоих случаях предусмотрена ответственность компаний за нарушение требований: административные меры, штрафы, проверки со стороны уполномоченных органов.
Различия между GDPR и 152-ФЗ
Сходство заканчивается на уровне принципов. В деталях реализации подходы ЕС и России существенно различаются — от определения понятий до механизма получения согласия.
1. Территориальный охват
GDPR имеет экстерриториальное действие — его нормы распространяются на любые организации, обрабатывающие данные граждан ЕС, независимо от их местонахождения. Это значит, что, например, российская компания, предлагающая услуги жителям Франции или Германии, обязана соблюдать GDPR.
152-ФЗ действует исключительно в пределах юрисдикции РФ и касается обработки данных российских граждан, если такая обработка ведётся на территории России или через российскую инфраструктуру.
2. Подход к согласию
GDPR требует, чтобы согласие было:
- свободным;
- конкретным;
- информированным;
- недвусмысленным (чаще — активным действием: например, проставленный флажок).
152-ФЗ также требует согласия, но допускает его в письменной или электронной форме, и в ряде случаев возможна обработка без согласия (например, для исполнения договора или исполнения закона).
GDPR делает акцент на прозрачности и контроле со стороны пользователя, тогда как 152-ФЗ оставляет больше пространства для административного подхода и формальных процедур.
3. Ответственность и санкции
GDPR предусматривает жёсткие штрафы: до 20 миллионов евро или 4% от годового оборота компании — в зависимости от того, какая сумма выше. Это делает его особенно важным для международных компаний.
152-ФЗ устанавливает административные штрафы, которые значительно ниже: от нескольких тысяч до нескольких сотен тысяч рублей, в зависимости от типа нарушения. Однако с 2021 года российские регуляторы усилили контроль и ввели повторные штрафы за рецидив.
4. Институты и контроль
GDPR предполагает наличие независимых органов по защите данных в каждой стране ЕС, а также координацию на уровне ЕС. Эти органы наделены серьёзными полномочиями.
В России функции регулятора выполняет Роскомнадзор. Его полномочия охватывают как надзор, так и административное регулирование.
5. Принцип «право быть забытым»
GDPR даёт пользователям право на удаление персональных данных, включая автоматическое удаление по запросу. Это называется right to be forgotten.
В 152-ФЗ такое право не прописано прямо. Пользователь может отозвать согласие, но обязанность удалить данные наступает только в ряде ограниченных случаев, что делает реализацию этого права менее гибкой.
