Общий регламент по защите данных

Общий регламент защиты персональных данных
англ. General Data Protection Regulation
Вид regulation of the European Parliament and of the Council[d]
Государство  Европейский союз
Принятие 27 апреля 2016
Вступление в силу 25 мая 2018
Первая публикация 4 мая 2016[1]

Общий регламент защиты персональных данных, Общий регламент по защите данных[2][3][4][5][6][7][8], Генеральный регламент о защите персональных данных[9][неавторитетный источник] (англ. General Data Protection Regulation, GDPR; Постановление (Европейский союз) 2016/679) — постановление Европейского союза, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском союзе (ЕС). Постановление также направлено на экспорт данных из ЕС.

Рекомендуемые сокращения для публикаций:

  • ПД — персональные данные — любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу («субъекту данных», т. е. к человеку)[10].
  • ОПД — обработка персональных данных
  • ПОПД — общие Правила обработки персональных данных

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС.

Права субъектов персональных данных [10]:

  • Право на доступ (статья 15 GDPR) — у каждого человека есть возможность получить свои данные или доступ к ним. Речь идет не только о той информации, которую он сам предоставил, но и о той, которую компания (контролер[11] данных) собрала о нем из других источников или даже создала сама.
  • Право на уточнение (статья 16 GDPR) — субъект вправе потребовать корректировку информации, которая утратила достоверность или неточна, но все еще обрабатывается компанией.
  • Право на удаление данных (статья 17 GDPR) — также известное как право быть забытым. Субъект вправе потребовать от компании-контролера удалить его данные. GDPR предусматривает лишь несколько обстоятельств[10], позволяющих воспользоваться этим правом.
  • Право на ограничение обработки (статья 18 GDPR)
  • Право на переносимость данных (статья 20 GDPR)
  • Право на возражение (статья 21 GDPR)
  • Право не быть объектом автоматизированного принятия решений (статья 22 GDPR)
  • Право подать жалобу в надзорный орган (статья 77 GDPR)
  • Право на компенсацию

Ключевые принципы GDPR[10]:

  • Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца об использовании персональных данных;
  • Ограничение целью — обработка должна сводиться к тому, что было заявлено субъекту данных. Все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
  • Минимизация данных — использование минимально необходимого объёма данных для выполнения поставленных целей;
  • Точность — персональные данные должны быть точными и не должны вводить в заблуждение; ошибочные данные подлежат корректировке;
  • Ограничение хранения данных — не хранить данные дольше, чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
  • Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;
  • Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая записи о конфиденциальности, защите, использовании, проверке данных; назначении должностного лица по защите данных (англ. DPO, data protection officer).

Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные (процессор или обработчик), и к тому, кто собирает данные (контролёр). Контролёр определяет цель и значение обработки персональных данных, а процессор ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.

Регламент GDPR заменил директиву Data Protection Directive[en] от 1995 года. Постановление было принято 27 апреля 2016 года, вступило в силу 25 мая 2018 года после двухлетнего переходного периода и, в отличие от директивы, не требует от правительств стран — участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению. Это применимо не только к странам — участницам ЕС, но также к любому юридическому лицу, обрабатывающему персональные данные лиц ЕС.

За невыполнение закона накладывается штраф до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

В законе расширено понятие персональных данных, введены понятия «трансграничной передачи данных», «псевдонимизации», установлено «право на забвение», определена роль должностного лица по защите данных (англ. DPO, data protection officer).

В частности, введены понятия[12][13]:

  • Data controller [11]— контролёр данных — физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, например, социальная сеть или служба такси;
  • Data processor — обработчик данных — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера, например, поставщик облачных услуг;
  • Data subject (person) — субъект данных (лицо) — физическое лицо, данные которого обрабатываются;
  • Special categories of personal data — специальные категории персональных данных — данные о расе, политическом мнении, религиозных или философских убеждениях, генетические данные, членство в профсоюзах, биометрические данные, позволяющие определить конкретного человека, данные о здоровье, сексуальная ориентация.

Примечания

  1. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ%3AL%3A2016%3A119%3ATOC
  2. GDPR вступил в силу: компании оказались не готовы. Дата обращения: 3 июня 2018. Архивировано 19 июня 2018 года.
  3. Европа встает на защиту данных :: Технологии и медиа :: Газета РБК. Дата обращения: 3 июня 2018. Архивировано 27 мая 2018 года.
  4. Запросы субъектов данных, определённые в GDPR | Microsoft Docs. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  5. Защита информации | Microsoft Docs. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  6. GDPR | Microsoft Docs. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  7. Соблюдение требований GDPR в эпоху глобального распространения данных. Дата обращения: 3 июня 2018. Архивировано 19 июня 2018 года.
  8. Международный стандарт против кражи персональных данных. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  9. Генеральный регламент о защите персональных данных - Европейская Комиссия. EEAS. Дата обращения: 2 июня 2018. Архивировано 20 июня 2018 года.
  10. 1 2 3 4 katevolkova345.Admin. Что такое GDPR (рус.). Data Privacy Office (25 мая 2021). Дата обращения: 24 марта 2023. Архивировано 24 марта 2023 года.
  11. 1 2 katevolkova345.Admin. Контролер и процессор (рус.). Data Privacy Office (7 марта 2021). Дата обращения: 24 марта 2023. Архивировано 24 марта 2023 года.
  12. Статья 4. Определения | GDPR-Text.com. Дата обращения: 15 ноября 2019. Архивировано 15 ноября 2019 года.
  13. Статья 9. Обработка специальных категорий персональных данных | GDPR-Text.com. Дата обращения: 15 ноября 2019. Архивировано 15 ноября 2019 года.

Ссылки