Регфорум - GDPR и защита персональных данных: различия и сходства

Привет, Регфорум! Почему тема защиты персональных данных интересна и актуальна? На мой взгляд, потому, что:

IT-технологии развиваются семимильными шагами и многие из них завязаны на обработке персональных данных, получаемых от пользователей IT-продуктов (GDPR конечно касается не только IT-компаний, но об этом позже);
GDPR распространяет своё действие не только на компании ЕС, но и на российские компании;
введены огромные штрафы за нарушение GDPR (€ 20 млн. и более);
уверен, что со временем Россия заключит международный договор с ЕС в сфере регулирования защиты персональных данных и GDPR практически напрямую будет воздействовать на российских операторов данных;
партнёры из ЕС уже включают в соглашения с российскими компаниями оговорки о соблюдении GDPR и ответственность за его не исполнение.

Итак, во-первых, не путать определения!

Основными, но не единственными участниками General Data Protection Regulation (далее – GDPR или Регламента) являются обработчики персональных данных – Регулятор (Controller) и Оператор (Processor).

Здесь нужно быть осторожнее и не путать определения приведённые в GDPR с определениями данными в российском 152-ФЗ «О персональных данных».

В российском законе персональные данные обрабатывает Оператор, в GDPR – Регулятор и Оператор. Разделение идёт в зависимости от функций каждого, а именно Регулятор в отличии от Оператора имеет возможности определять цель обработки персональных данных, в то время как Оператор цель не определяет, а действует только в соответствии с распоряжениями Регулятора, которые не включают в себя определение цели обработки (Art. 7 GDPR).

В России, в свою очередь, Закон «О персональных данных» не разграничивает обработчиков персональных данных по функциям (ст. 3 ФЗ «О персональных данных»), называя их Операторами.

Кроме того, путаница может возникнуть в определении наименования уполномоченного органа по защите прав субъектов персональных данных, который осуществляет контроль и надзор за соответствием обработки персональных данных – в России его принято называть Регулятор (это Роскомнадзор), в то время как Регулятором по GDPR, как я ранее указал, является аналог российского Оператора. А органом по надзору в GDPR является Supervisory authority, то есть Надзорный орган, который находится и функционирует в каждой стране-участнице ЕС.

Таким образом, в GDPR обработчики персональных данных – Регулятор и Оператор, в законе «О персональных данных» – Оператор; в GDPR уполномоченный орган – Надзорный орган, в российском законодательстве – Уполномоченный орган (на практике также – Регулятор).

Придётся привыкать и оперировать нужными определениями, хотя я предпочитаю произносить английские определения в отношении данных участников GDPR на английском языке. Получается «такая» смесь русско-английского языка.