Общий регламент по защите данных (GDPR)

Общий регламент по защите данных (GDPR) — это всеобъемлющий закон о защите данных, принятый Европейским союзом (ЕС), который регулирует, как организации обрабатывают персональные данные. Он был введен в действие 25 мая 2018 года, заменив Директиву о защите данных 1995 года. GDPR направлен на гармонизацию законов о конфиденциальности данных по всей Европе, предоставляя людям больший контроль над их персональными данными, налагая при этом строгие правила на тех, кто размещает и обрабатывает эти данные. Этот регламент имеет существенные последствия для любого бизнеса или организации, обрабатывающих данные граждан ЕС, независимо от местонахождения бизнеса.

Основные принципы GDPR

GDPR построен на нескольких основных принципах, которым организации должны следовать при обработке персональных данных:

Законность, справедливость и прозрачность

Организации должны обрабатывать персональные данные законно, справедливо и прозрачно по отношению к субъекту данных. Это означает, что деятельность по обработке данных должна иметь правовое основание, проводиться справедливо по отношению к человеку и быть прозрачной в отношении использования данных.

Ограничение цели

Данные должны собираться для определенных, явных и законных целей и не обрабатываться далее способом, несовместимым с этими целями. Организациям необходимо четко определить цель сбора данных и использовать данные только для этих указанных целей.

Минимизация данных

Организации должны собирать и обрабатывать только те персональные данные, которые необходимы для указанной цели. Этот принцип побуждает организации избегать сбора избыточных данных и минимизировать количество данных, которые они хранят и обрабатывают.

Точность

Персональные данные должны быть точными и при необходимости актуальными. Организации несут ответственность за принятие разумных мер для обеспечения исправления или удаления неточных данных.

Ограничение хранения

Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта данных, только в течение времени, необходимого для целей, для которых данные были собраны. Это означает, что организациям необходимо внедрить политики и процедуры хранения данных, чтобы гарантировать, что данные не хранятся дольше необходимого.

Целостность и конфиденциальность

Организации должны обрабатывать данные таким образом, чтобы обеспечить их безопасность, включая защиту от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения. Этот принцип подчеркивает важность мер безопасности данных, таких как шифрование и контроль доступа.

Подотчетность

Организации несут ответственность и должны быть в состоянии продемонстрировать соответствие всем остальным принципам. Это означает, что организациям необходимо внедрить соответствующие технические и организационные меры, вести подробные записи о деятельности по обработке данных и обеспечить возможность продемонстрировать соответствие GDPR при необходимости.

Права субъектов данных

GDPR предоставляет лицам различные права в отношении их персональных данных, давая им возможность контролировать использование их данных. Некоторые из этих прав включают:

Право на доступ

Лица имеют право получить подтверждение того, обрабатываются ли их персональные данные, и если да, то доступ к данным вместе с информацией о том, как они обрабатываются.

Право на исправление

Лица имеют право на исправление неточных персональных данных и дополнение неполных данных.

Право на удаление (Право быть забытым)

Лица могут запросить удаление своих персональных данных, когда они больше не нужны для цели, для которой они были собраны, или если они отзывают свое согласие на обработку.

Право на ограничение обработки

Лица могут запросить ограничение обработки их персональных данных при определенных условиях, таких как оспаривание точности данных или незаконность обработки.

Право на переносимость данных

Лица имеют право получить свои персональные данные в структурированном, широко используемом и машиночитаемом формате и передать эти данные другому контролеру.

Право на возражение

Лица могут возразить против обработки их персональных данных на основании их конкретной ситуации, и организации должны прекратить обработку данных, если только они не могут продемонстрировать убедительные законные основания для обработки.

Права, связанные с автоматизированным принятием решений и профилированием

Лица имеют право не подвергаться решениям, основанным исключительно на автоматизированной обработке, включая профилирование, которое имеет юридические последствия или существенно влияет на них.

Обязанности контролеров и обработчиков данных

GDPR возлагает обязанности и обязательства как на контролеров данных (организации, которые определяют цели и средства обработки персональных данных), так и на обработчиков данных (организации, которые обрабатывают данные от имени контролера).

Защита данных по дизайну и по умолчанию

Организации должны внедрить соответствующие технические и организационные меры для обеспечения интеграции принципов защиты данных в деятельность по обработке и, по умолчанию, обрабатывать только необходимые персональные данные.

Оценка влияния на защиту данных (DPIA)

Перед проведением обработки, которая может привести к высокому риску для прав и свобод лиц, организации должны проводить DPIA для оценки влияния операций обработки на защиту персональных данных.

Уведомление о нарушении данных

Организации должны сообщать о нарушениях данных соответствующему надзорному органу в течение 72 часов после обнаружения нарушения. Если нарушение может привести к высокому риску для прав и свобод лиц, пострадавшие лица также должны быть уведомлены без неоправданной задержки.

Назначение сотрудников по защите данных (DPO)

Организации, занимающиеся высокорисковой обработкой, государственные органы или те, кто систематически отслеживает лиц в крупном масштабе, должны назначить DPO для надзора за соблюдением GDPR и выступать в качестве контактного лица с надзорными органами.

Международные передачи данных

GDPR требует, чтобы персональные данные, передаваемые за пределы ЕС, были защищены на тех же стандартах, что и внутри ЕС. Это означает, что организации должны обеспечить наличие соответствующих гарантий перед международной передачей данных. Эти гарантии могут включать обязательные корпоративные правила, стандартные договорные оговорки или полагаться на решения о достаточности Европейской комиссии для определенных стран.

Правоприменение и штрафы

GDPR применяется органами по защите данных (DPA) в каждом государстве-члене ЕС. Эти органы имеют право расследовать, исправлять и штрафовать организации за несоблюдение. Штрафы могут быть существенными и предназначены быть пропорциональными серьезности нарушения:

Штрафы уровня 1

За менее серьезные нарушения, такие как неспособность вести адекватные записи или неспособность уведомить о нарушении, максимальный штраф составляет до 10 миллионов евро или 2% годового глобального оборота предыдущего финансового года, в зависимости от того, что выше.

Штрафы уровня 2

За более серьезные нарушения, такие как обработка данных без правового основания или неуважение прав лиц, максимальный штраф составляет до 20 миллионов евро или 4% годового глобального оборота предыдущего финансового года, в зависимости от того, что выше.

Последствия для организаций

Организации по всему миру должны соблюдать GDPR, если они предлагают товары или услуги субъектам данных ЕС или отслеживают их поведение. Несоблюдение может привести к значительным финансовым штрафам и ущербу репутации. Поэтому организациям рекомендуется:

Ресурсы и дополнительная литература

Понимание и соблюдение GDPR имеет решающее значение для защиты персональных данных и избежания потенциально серьезных штрафов. Организации должны постоянно пересматривать и обновлять свои практики защиты данных, чтобы обеспечить соответствие этому важному регламенту.