Общий регламент по защите данных (General Data Protection Regulation - GDPR)

Ф

Общий  регламент по защите данных  (ЕС)  2016/679  ( GDPR ) — это  нормативный акт  в  законодательстве ЕС  о  защите данных  и конфиденциальности в  Европейском союзе  (ЕС) и  Европейской экономической зоне  (ЕЭЗ). Он также касается передачи  персональных данных  за пределы ЕС и ЕЭЗ. Основной целью GDPR является предоставление физическим лицам контроля над своими личными данными и упрощение нормативно-правовой базы для  международного бизнеса  путем унификации регулирования в рамках ЕС. [1]  Замена  Директивы о защите данных (DPD) 95/46/EC, регламент содержит положения и требования, связанные с обработкой  персональных данных  физических лиц (формально называемых  субъектами данных в GDPR), которые находятся в ЕЭЗ, и применяется к любому предприятию, независимо от его местонахождения и гражданства или места жительства субъекта информации — то есть обработка личной информации физических лиц в ЕЭЗ.

Контроллеры и обработчики персональных данных должны принять  соответствующие технические и организационные меры  для реализации принципов защиты данных. Бизнес-процессы, обрабатывающие персональные данные, должны разрабатываться и создаваться с учетом принципов и обеспечивать меры безопасности для защиты данных (например, с использованием  псевдонимизации  или полной  анонимизации,  где это уместно). Контроллеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, использование максимально возможных настроек конфиденциальности по умолчанию, чтобы наборы данных не были общедоступными по умолчанию и не могли использоваться для идентификации субъекта. Никакие персональные данные не могут обрабатываться, если эта обработка не осуществляется в соответствии с одним из шести законных оснований, указанных в регламенте (согласия , контракта, общественной задачи, жизненно важного интереса, законного интереса или законного требования). Когда обработка основана на согласии, субъект данных имеет право отозвать его в любое время.

Контроллеры данных должны четко раскрывать любой  сбор данных , заявлять о законных основаниях и целях обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим лицам или за пределы ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей в той степени, в которой извлекаются только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить  переносную копию данных, собранных контролером, в общем формате, а также право на удаление своих  данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, должны нанять сотрудника по  защите данных  (DPO), который отвечает за соблюдение GDPR. Предприятия должны сообщать об  утечке данных  национальным надзорным органам в течение 72 часов, если у них есть неблагоприятный эффект на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше.

GDPR был принят 14 апреля 2016 г. и вступил в силу с 25 мая 2018 г. Поскольку GDPR является нормативным  актом , а не  директивой , он имеет обязательную юридическую силу и применим, но обеспечивает гибкость для отдельных аспектов регламента, которые могут быть скорректированы отдельными Государствами.

Регламент стал образцом для многих национальных законов за пределами ЕС, включая Чили, Японию, Бразилию, Южную Корею, Аргентину и Кению. Закон  Калифорнии о конфиденциальности потребителей  (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR. [2]

Ищете