Средний

20 минут

Privacy GDPR 152-FZ CCPA

Принципы приватности и регуляторный ландшафт

Введение

Каждая организация, обрабатывающая персональные данные, обязана обеспечить их защиту. Но «обеспечить защиту» — это не просто установить антивирус или зашифровать базу данных. Это системный подход, охватывающий архитектуру, процессы, роли и культуру работы с данными. Именно этот подход описывают принципы Privacy by Design (конфиденциальность по дизайну) и регуляторные фреймворки: GDPR, 152-ФЗ, CCPA/CPRA.

:::caution[Правовая оговорка] Данный материал носит образовательный характер и не является юридической консультацией. Для применения в конкретной организации обратитесь к юристу, специализирующемуся на защите данных. :::

Privacy by Design: семь принципов

Privacy by Design (конфиденциальность по дизайну) — это подход, при котором защита персональных данных закладывается в систему на этапе проектирования, а не добавляется постфактум. Концепция сформулирована Энн Кавукян в 1990-х годах и закреплена в GDPR как обязательное требование.

Семь фундаментальных принципов:

Проактивность — предотвращайте нарушения, а не реагируйте на них
Приватность по умолчанию — максимальная защита без действий пользователя
Встроенность — приватность интегрирована в архитектуру
Полная функциональность — приватность не ухудшает пользовательский опыт
Безопасность на всём жизненном цикле — защита от сбора до удаления
Открытость — процессы обработки данных прозрачны
Ориентация на пользователя — интересы субъекта данных приоритетны

Для Data Engineer эти принципы означают конкретные архитектурные решения: минимизация данных при проектировании пайплайнов, шифрование на уровне столбцов, автоматическое удаление по истечении retention period.

Проверка знаний

Компания собирает email, имя, телефон, дату рождения, пол, хобби и любимый цвет для регистрации на сайте. Какой принцип Privacy by Design нарушен?

Ответ

Нарушен принцип Data Minimization (минимизация данных), который является частью принципов 'приватность по умолчанию' и 'проактивность'. Для регистрации достаточно email и имени; хобби и любимый цвет — избыточные данные, собираемые без обоснованной цели обработки.

Три ключевых регуляторных фреймворка определяют требования к защите персональных данных в разных юрисдикциях. Каждый фреймворк устанавливает принципы обработки данных, права субъектов и обязанности организаций.

Требования регуляторов регулярно обновляются. Описанные здесь положения актуальны на 2026-03. Проверяйте текущую редакцию на официальных источниках.

GDPR — регламент Европейского Союза, вступивший в силу в 2018 году. Применяется к любой организации, обрабатывающей данные резидентов ЕС, вне зависимости от её юрисдикции.

Ключевые принципы GDPR: законность обработки, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность, подотчётность.

GDPR Art. 5

GDPR устанавливает шесть законных оснований для обработки данных: согласие субъекта, исполнение договора, юридическое обязательство, защита жизненно важных интересов, публичный интерес, легитимный интерес контроллера.

152-ФЗ «О персональных данных»

152-ФЗ — федеральный закон Российской Федерации, регулирующий обработку персональных данных. Ключевое отличие от GDPR: требование локализации данных граждан РФ на территории России.

152-FZ Art. 9

152-ФЗ требует получения согласия субъекта данных (Субъект данных) на каждую цель обработки. Согласие должно быть конкретным, информированным и свободным. Оператор обязан прекратить обработку по требованию субъекта.

CCPA/CPRA (California Consumer Privacy Act)

CCPA (и его расширение CPRA, вступившее в силу в 2023 году) — закон штата Калифорния, предоставляющий потребителям право знать, какие данные собираются, право на удаление и право на отказ от продажи данных. CPRA добавил право на исправление и ограничение использования чувствительных данных.

Сравнение регуляторных фреймворков

Сравнение требований: GDPR vs 152-ФЗ vs CCPA/CPRA

01Согласие субъекта на обработку

Все три фреймворка требуют, но формат и основания различаются

✓Соответствует

02Право на удаление (забвение)

GDPR Art. 17, 152-ФЗ: отзыв согласия, CCPA: right to delete

✓Соответствует

03Локализация данных на территории страны

152-ФЗ: обязательно для граждан РФ. GDPR: не требует. CCPA: не требует

~Частично

04Уведомление об утечке в 72 часа

GDPR: 72 часа. 152-ФЗ: незамедлительно в Роскомнадзор. CCPA: без строгого срока

~Частично

05Назначение DPO

GDPR: обязательно в ряде случаев. 152-ФЗ: ответственное лицо. CCPA: не требует

~Частично

06DPIA (оценка воздействия)

GDPR Art. 35: обязательно при высоком риске. 152-ФЗ: нет аналога. CCPA: risk assessment с 2023

~Частично

07Право на переносимость данных

GDPR Art. 20: обязательно. 152-ФЗ: нет прямого аналога. CCPA: right to know

~Частично

08Штрафы за нарушения

GDPR: до 4% оборота. 152-ФЗ: до 18M RUB. CCPA: $2,500-$7,500 за нарушение

✓Соответствует

Сценарий: FinSecure Bank

Сценарий: FinSecure Bank (ФинСекьюр Банк)

FinSecure — цифровой банк с HQ в Москве и дочерней компанией во Франкфурте. Банк обрабатывает персональные данные клиентов в обеих юрисдикциях, что создаёт уникальную ситуацию:

Данные клиентов из России подпадают под 152-ФЗ (локализация на территории РФ)

Данные клиентов из ЕС подпадают под GDPR (назначение DPO, DPIA, право на переносимость)

Трансграничная передача данных между Москвой и Франкфуртом требует Standard Contractual Clauses

DPO ФинСекьюр должен обеспечить одновременное соответствие двум фреймворкам, которые в ряде моментов предъявляют различные, а иногда и противоречивые требования.

Для организаций вроде ФинСекьюр стратегия «comply with the strictest» часто оказывается наиболее эффективной: применять самые строгие требования из всех применимых фреймворков ко всем данным. Это проще, чем поддерживать отдельные процессы для каждой юрисдикции.

Проверка знаний

ФинСекьюр хранит данные российских клиентов в Oracle (Москва) и данные европейских клиентов в Snowflake (Франкфурт). Аналитик из московского офиса запрашивает доступ к данным европейских клиентов для кредитного скоринга. Какие регуляторные требования затронуты?

Ответ

Затронуты: (1) GDPR — трансграничная передача данных из ЕС в Россию требует SCCs или адекватного уровня защиты, (2) GDPR — обработка для кредитного скоринга может требовать DPIA (автоматизированное принятие решений, Art. 35), (3) GDPR — необходима проверка законного основания обработки (легитимный интерес или согласие). 152-ФЗ в данном случае не затронут, так как данные европейских клиентов не подпадают под российское регулирование.

Итоги

Privacy by Design — приватность закладывается в архитектуру, а не добавляется постфактум
GDPR, 152-ФЗ, CCPA/CPRA — три ключевых фреймворка с различными требованиями к согласию, правам субъектов и штрафам
152-ФЗ уникален требованием локализации данных граждан РФ
GDPR наиболее комплексен: DPIA, DPO, право на переносимость
Для трансграничных организаций (как ФинСекьюр) стратегия «comply with the strictest» упрощает управление

В следующем уроке мы рассмотрим практические методы обнаружения PII (персонально идентифицирующая информация) в данных: классификация столбцов, паттерны обнаружения и автоматизированное сканирование.

Проверьте понимание

Результат: 0 из 0

Аналитический

FinSecure Bank обрабатывает данные клиентов в Москве (152-ФЗ) и Франкфурте (GDPR). DPO предлагает две стратегии: (A) отдельные процессы для каждой юрисдикции, (B) единый набор требований по самому строгому стандарту. Какая стратегия эффективнее и почему?

Стратегия B — comply with the strictest снижает операционную сложность и гарантирует compliance во всех юрисдикциях одновременноСтратегия A — она учитывает специфику каждой юрисдикции и избегает избыточных требованийНи одна — для трансграничной обработки нужна отдельная регуляторная стратегияОбе стратегии одинаково эффективны — зависит от размера организации

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок