Learning Platform
Глоссарий Troubleshooting
Урок 06.01 · 20 мин
Средний
PrivacyGDPR152-FZCCPA

Принципы приватности и регуляторный ландшафт

Введение

Каждая организация, обрабатывающая персональные данные, обязана обеспечить их защиту. Но «обеспечить защиту» — это не просто установить антивирус или зашифровать базу данных. Это системный подход, охватывающий архитектуру, процессы, роли и культуру работы с данными. Именно этот подход описывают принципы Privacy by Design (конфиденциальность по дизайну) и регуляторные фреймворки: GDPR, 152-ФЗ, CCPA/CPRA.

:::caution[Правовая оговорка] Данный материал носит образовательный характер и не является юридической консультацией. Для применения в конкретной организации обратитесь к юристу, специализирующемуся на защите данных. :::

Privacy by Design: семь принципов

Privacy by Design (конфиденциальность по дизайну) — это подход, при котором защита персональных данных закладывается в систему на этапе проектирования, а не добавляется постфактум. Концепция сформулирована Энн Кавукян в 1990-х годах и закреплена в GDPR как обязательное требование.

Семь фундаментальных принципов:

  1. Проактивность — предотвращайте нарушения, а не реагируйте на них
  2. Приватность по умолчанию — максимальная защита без действий пользователя
  3. Встроенность — приватность интегрирована в архитектуру
  4. Полная функциональность — приватность не ухудшает пользовательский опыт
  5. Безопасность на всём жизненном цикле — защита от сбора до удаления
  6. Открытость — процессы обработки данных прозрачны
  7. Ориентация на пользователя — интересы субъекта данных приоритетны

Для Data Engineer эти принципы означают конкретные архитектурные решения: минимизация данных при проектировании пайплайнов, шифрование на уровне столбцов, автоматическое удаление по истечении retention period.

Проверка знанийKnowledge check
Компания собирает email, имя, телефон, дату рождения, пол, хобби и любимый цвет для регистрации на сайте. Какой принцип Privacy by Design нарушен?
ОтветAnswer
Нарушен принцип Data Minimization (минимизация данных), который является частью принципов 'приватность по умолчанию' и 'проактивность'. Для регистрации достаточно email и имени; хобби и любимый цвет — избыточные данные, собираемые без обоснованной цели обработки.

Регуляторный ландшафт: GDPR, 152-ФЗ, CCPA/CPRA

Три ключевых регуляторных фреймворка определяют требования к защите персональных данных в разных юрисдикциях. Каждый фреймворк устанавливает принципы обработки данных, права субъектов и обязанности организаций.

Требования регуляторов регулярно обновляются. Описанные здесь положения актуальны на 2026-03. Проверяйте текущую редакцию на официальных источниках.

GDPR (General Data Protection Regulation)

GDPR — регламент Европейского Союза, вступивший в силу в 2018 году. Применяется к любой организации, обрабатывающей данные резидентов ЕС, вне зависимости от её юрисдикции.

Ключевые принципы GDPR: законность обработки, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность, подотчётность.

GDPR Art. 5

GDPR устанавливает шесть законных оснований для обработки данных: согласие субъекта, исполнение договора, юридическое обязательство, защита жизненно важных интересов, публичный интерес, легитимный интерес контроллера.

152-ФЗ «О персональных данных»

152-ФЗ — федеральный закон Российской Федерации, регулирующий обработку персональных данных. Ключевое отличие от GDPR: требование локализации данных граждан РФ на территории России.

152-FZ Art. 9

152-ФЗ требует получения согласия субъекта данных (Субъект данных) на каждую цель обработки. Согласие должно быть конкретным, информированным и свободным. Оператор обязан прекратить обработку по требованию субъекта.

CCPA/CPRA (California Consumer Privacy Act)

CCPA (и его расширение CPRA, вступившее в силу в 2023 году) — закон штата Калифорния, предоставляющий потребителям право знать, какие данные собираются, право на удаление и право на отказ от продажи данных. CPRA добавил право на исправление и ограничение использования чувствительных данных.

Сравнение регуляторных фреймворков

Сравнение требований: GDPR vs 152-ФЗ vs CCPA/CPRA
  1. 01Согласие субъекта на обработку
    Все три фреймворка требуют, но формат и основания различаются
    Соответствует
  2. 02Право на удаление (забвение)
    GDPR Art. 17, 152-ФЗ: отзыв согласия, CCPA: right to delete
    Соответствует
  3. 03Локализация данных на территории страны
    152-ФЗ: обязательно для граждан РФ. GDPR: не требует. CCPA: не требует
    ~Частично
  4. 04Уведомление об утечке в 72 часа
    GDPR: 72 часа. 152-ФЗ: незамедлительно в Роскомнадзор. CCPA: без строгого срока
    ~Частично
  5. 05Назначение DPO
    GDPR: обязательно в ряде случаев. 152-ФЗ: ответственное лицо. CCPA: не требует
    ~Частично
  6. 06DPIA (оценка воздействия)
    GDPR Art. 35: обязательно при высоком риске. 152-ФЗ: нет аналога. CCPA: risk assessment с 2023
    ~Частично
  7. 07Право на переносимость данных
    GDPR Art. 20: обязательно. 152-ФЗ: нет прямого аналога. CCPA: right to know
    ~Частично
  8. 08Штрафы за нарушения
    GDPR: до 4% оборота. 152-ФЗ: до 18M RUB. CCPA: $2,500-$7,500 за нарушение
    Соответствует

Сценарий: FinSecure Bank

Сценарий: FinSecure Bank (ФинСекьюр Банк)

FinSecure — цифровой банк с HQ в Москве и дочерней компанией во Франкфурте. Банк обрабатывает персональные данные клиентов в обеих юрисдикциях, что создаёт уникальную ситуацию:

  • Данные клиентов из России подпадают под 152-ФЗ (локализация на территории РФ)
  • Данные клиентов из ЕС подпадают под GDPR (назначение DPO, DPIA, право на переносимость)
  • Трансграничная передача данных между Москвой и Франкфуртом требует Standard Contractual Clauses

DPO ФинСекьюр должен обеспечить одновременное соответствие двум фреймворкам, которые в ряде моментов предъявляют различные, а иногда и противоречивые требования.

Для организаций вроде ФинСекьюр стратегия «comply with the strictest» часто оказывается наиболее эффективной: применять самые строгие требования из всех применимых фреймворков ко всем данным. Это проще, чем поддерживать отдельные процессы для каждой юрисдикции.

Проверка знанийKnowledge check
ФинСекьюр хранит данные российских клиентов в Oracle (Москва) и данные европейских клиентов в Snowflake (Франкфурт). Аналитик из московского офиса запрашивает доступ к данным европейских клиентов для кредитного скоринга. Какие регуляторные требования затронуты?
ОтветAnswer
Затронуты: (1) GDPR — трансграничная передача данных из ЕС в Россию требует SCCs или адекватного уровня защиты, (2) GDPR — обработка для кредитного скоринга может требовать DPIA (автоматизированное принятие решений, Art. 35), (3) GDPR — необходима проверка законного основания обработки (легитимный интерес или согласие). 152-ФЗ в данном случае не затронут, так как данные европейских клиентов не подпадают под российское регулирование.

Итоги

  • Privacy by Design — приватность закладывается в архитектуру, а не добавляется постфактум
  • GDPR, 152-ФЗ, CCPA/CPRA — три ключевых фреймворка с различными требованиями к согласию, правам субъектов и штрафам
  • 152-ФЗ уникален требованием локализации данных граждан РФ
  • GDPR наиболее комплексен: DPIA, DPO, право на переносимость
  • Для трансграничных организаций (как ФинСекьюр) стратегия «comply with the strictest» упрощает управление

В следующем уроке мы рассмотрим практические методы обнаружения PII (персонально идентифицирующая информация) в данных: классификация столбцов, паттерны обнаружения и автоматизированное сканирование.

Проверьте понимание

Результат: 0 из 0
Аналитический
Вопрос 1 из 4. FinSecure Bank обрабатывает данные клиентов в Москве (152-ФЗ) и Франкфурте (GDPR). DPO предлагает две стратегии: (A) отдельные процессы для каждой юрисдикции, (B) единый набор требований по самому строгому стандарту. Какая стратегия эффективнее и почему?

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок
Вернуться к курсу
Прогресс модуля
0 из 6