Общий регламент по защите данных

Эта статья находится на начальном уровне проработки, в одной из её версий выборочно используется текст из источника, распространяемого под свободной лицензией
Материал из энциклопедии Руниверсалис
Общий регламент защиты персональных данных
англ. General Data Protection Regulation
Государство  Европейский союз
Принятие 27 апреля 2016
Вступление в силу 25 мая 2018

Общий регламент защиты персональных данных, Общий регламент по защите данных[1][2][3][4][5][6][7], Генеральный регламент о защите персональных данных[8][неавторитетный источник?] (англ. General Data Protection Regulation, GDPR; Постановление (Европейский Союз) 2016/679) — постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС). Постановление также направлено на экспорт данных из ЕС.

Рекомендуемые сокращения для публикаций:

  • ПД — Персональные Данные
  • ОПД — Обработка Персональных Данных
  • ПОПД — общие Правила Обработки Персональных Данных

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС.

Ключевые принципы GDPR:

  • Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца об использовании персональных данных;
  • Ограничение целью — обработка должна сводиться к тому, что было заявлено субъекту данных. Все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
  • Минимизация данных — использование минимально необходимого объёма данных для выполнения поставленных целей;
  • Точность — персональные данные должны быть точными и не должны вводить в заблуждение; ошибочные данные подлежат корректировке;
  • Ограничение хранения данных — не хранить данные дольше, чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
  • Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;
  • Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая записи о конфиденциальности, защите, использовании, проверке данных; назначении должностного лица по защите данных (англ. DPO, data protection officer).

Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные (процессор или обработчик), и к тому, кто собирает данные (контролёр). Контролёр определяет цель и значение обработки персональных данных, а процессор ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.

Регламент GDPR заменил директиву Data Protection Directive[англ.] от 1995 года. Постановление было принято 27 апреля 2016 года, вступило в силу 25 мая 2018 года после двухлетнего переходного периода и, в отличие от директивы, не требует от правительств стран — участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению. Это применимо не только к странам — участницам ЕС, но также к любому юридическому лицу, обрабатывающему персональные данные лиц ЕС.

За невыполнение закона накладывается штраф до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

В законе расширено понятие персональных данных, введены понятия «трансграничной передачи данных», «псевдонимизации», установлено «право на забвение», определена роль должностного лица по защите данных (англ. DPO, data protection officer).

В частности, введены понятия[9][10]:

  • Data controller — контролёр данных — физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, например, социальная сеть или служба такси;
  • Data processor — обработчик данных — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера, например, поставщик облачных услуг;
  • Data subject (person) — субъект данных (лицо) — физическое лицо, данные которого обрабатываются;
  • Special categories of personal data — специальные категории персональных данных — данные о расе, политическом мнении, религиозных или философских убеждениях, генетические данные, членство в профсоюзах, биометрические данные, позволяющие определить конкретного человека, данные о здоровье, сексуальная ориентация.

Примечания

  1. GDPR вступил в силу: компании оказались не готовы. Дата обращения: 3 июня 2018. Архивировано 19 июня 2018 года.
  2. Европа встает на защиту данных :: Технологии и медиа :: Газета РБК. Дата обращения: 3 июня 2018. Архивировано 27 мая 2018 года.
  3. Запросы субъектов данных, определённые в GDPR | Microsoft Docs. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  4. Защита информации | Microsoft Docs. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  5. GDPR | Microsoft Docs. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  6. Соблюдение требований GDPR в эпоху глобального распространения данных. Дата обращения: 3 июня 2018. Архивировано 19 июня 2018 года.
  7. Международный стандарт против кражи персональных данных. Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
  8. Генеральный регламент о защите персональных данных - Европейская Комиссия. EEAS. Дата обращения: 2 июня 2018. Архивировано 20 июня 2018 года.
  9. Статья 4. Определения | GDPR-Text.com. Дата обращения: 15 ноября 2019. Архивировано 15 ноября 2019 года.
  10. Статья 9. Обработка специальных категорий персональных данных | GDPR-Text.com. Дата обращения: 15 ноября 2019. Архивировано 15 ноября 2019 года.

Ссылки