GDPR vs 152-ФЗ на собеседовании системного аналитика
Карьерник — Duolingo для аналитиков: 10 минут в день тренируй SQL, Python, A/B, статистику, метрики и ещё 3 темы собеса. 1500+ вопросов в Telegram-боте. Бесплатно.
Содержание:
Зачем спрашивают на собесе SA
Если работаешь с EU users или multinational — GDPR применим. На собесе SA: «отличия от 152-ФЗ», «как DPIA».
Юридический контекст. Применимость к конкретной системе — у юриста / DPO.
Сходства
Оба regulating личные данные. Похожие principles:
- Прозрачность.
- Минимизация.
- Ограничение целью.
- Безопасность.
- Подотчётность.
Lawful basis
GDPR (ст. 6). 6 оснований:
- Consent.
- Contract.
- Legal obligation.
- Vital interests.
- Public interest.
- Legitimate interests.
152-ФЗ. Похожий список (ст. 6, 10). Но более строгое требование к согласию для маркетинга.
Разница: GDPR явно признаёт «legitimate interests» как основание (балансирует с правами субъекта). 152-ФЗ — менее flexible.
Права субъекта
| Право | GDPR | 152-ФЗ |
|---|---|---|
| Доступ к данным | Да | Да |
| Исправление | Да | Да |
| Удаление (right to be forgotten) | Да, чёткое | Имеется, более ограничено |
| Возражение против обработки | Да | Да |
| Перенос данных | Да (specific) | Не явно |
| Ограничение обработки | Да | Не явно |
| Не подлежать automated decision | Да (ст. 22) | Не явно |
GDPR — более глубокий набор прав.
Локализация
GDPR. Не требует storage в EU. Но трансфер в другие страны — через adequacy decision, SCC, BCR.
152-ФЗ. Требует первичная обработка / хранение ПДн граждан РФ — на серверах в РФ.
Не совместимы directly — компания работающая в обоих юрисдикциях нуждается в data residency strategy.
Штрафы
GDPR. До 4% годового global turnover или €20M (whichever higher).
152-ФЗ. До 6 млн ₽ за нарушение, до 18 млн ₽ для повторных. С 2025 — обсуждается повышение до % выручки (как GDPR-style).
GDPR штрафы исторически сильнее.
DPO и DPIA
DPO (Data Protection Officer). GDPR обязывает для public authorities, large-scale processing. 152-ФЗ — официально нет роли DPO, но «ответственный за организацию обработки» — обязателен.
DPIA (Data Protection Impact Assessment). GDPR — обязателен для high-risk processing (автоматизированные decisions, large-scale special data, public area surveillance).
В РФ — аналог «оценка воздействия» — обязателен для определённых ИСПДн.
Связанные темы
- 152-ФЗ и ПДн на собесе SA
- JWT на собесе SA
- OAuth 2.1 flows для SA
- OWASP top-10 для SA
- Подготовка к собесу системного аналитика
FAQ
Если в EU — обязательно соблюдать оба?
Если processing data EU residents — GDPR применим (extraterritorial). Если data РФ residents — 152-ФЗ. Workping с обеими — обязательно оба.
Это официальная информация?
Нет. Обзорная статья, не юридическая консультация.
Тренируйте системный анализ — откройте тренажёр с 1500+ вопросами для собесов.