Общий регламент по защите данных (General Data Protection Regulation - GDPR)
ФОбщий регламент по защите данных (ЕС) 2016/679 ( GDPR ) — это нормативный акт в законодательстве ЕС о защите данных и конфиденциальности в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). Он также касается передачи персональных данных за пределы ЕС и ЕЭЗ. Основной целью GDPR является предоставление физическим лицам контроля над своими личными данными и упрощение нормативно-правовой базы для международного бизнеса путем унификации регулирования в рамках ЕС. [1] Замена Директивы о защите данных (DPD) 95/46/EC, регламент содержит положения и требования, связанные с обработкой персональных данных физических лиц (формально называемых субъектами данных в GDPR), которые находятся в ЕЭЗ, и применяется к любому предприятию, независимо от его местонахождения и гражданства или места жительства субъекта информации — то есть обработка личной информации физических лиц в ЕЭЗ.
Контроллеры и обработчики персональных данных должны принять соответствующие технические и организационные меры для реализации принципов защиты данных. Бизнес-процессы, обрабатывающие персональные данные, должны разрабатываться и создаваться с учетом принципов и обеспечивать меры безопасности для защиты данных (например, с использованием псевдонимизации или полной анонимизации, где это уместно). Контроллеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, использование максимально возможных настроек конфиденциальности по умолчанию, чтобы наборы данных не были общедоступными по умолчанию и не могли использоваться для идентификации субъекта. Никакие персональные данные не могут обрабатываться, если эта обработка не осуществляется в соответствии с одним из шести законных оснований, указанных в регламенте (согласия , контракта, общественной задачи, жизненно важного интереса, законного интереса или законного требования). Когда обработка основана на согласии, субъект данных имеет право отозвать его в любое время.
Контроллеры данных должны четко раскрывать любой сбор данных , заявлять о законных основаниях и целях обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим лицам или за пределы ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей в той степени, в которой извлекаются только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить переносную копию данных, собранных контролером, в общем формате, а также право на удаление своих данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, должны нанять сотрудника по защите данных (DPO), который отвечает за соблюдение GDPR. Предприятия должны сообщать об утечке данных национальным надзорным органам в течение 72 часов, если у них есть неблагоприятный эффект на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше.
GDPR был принят 14 апреля 2016 г. и вступил в силу с 25 мая 2018 г. Поскольку GDPR является нормативным актом , а не директивой , он имеет обязательную юридическую силу и применим, но обеспечивает гибкость для отдельных аспектов регламента, которые могут быть скорректированы отдельными Государствами.
Регламент стал образцом для многих национальных законов за пределами ЕС, включая Чили, Японию, Бразилию, Южную Корею, Аргентину и Кению. Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR. [2]