Общее положение о защите данных (GDPR)

GDPR

Определение GDPR

GDPR означает Общий регламент по защите данных (General Data Protection Regulation). Это всеобъемлющий закон о конфиденциальности данных, который был введен в действие 25 мая 2018 года для регулирования того, как компании и организации обрабатывают персональные данные физических лиц в рамках Европейского союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Основная цель GDPR — предоставить людям контроль над их персональными данными и упростить нормативную среду для бизнеса, работающего в ЕС и ЕЭЗ.

Ключевые понятия и требования

GDPR включает несколько ключевых понятий и требований, которые организации должны соблюдать для обеспечения соответствия. Некоторые из них:

Законные, прозрачные и определённые цели

В рамках GDPR персональные данные могут обрабатываться только законно, прозрачно и для определённых целей. Организации должны иметь законное основание для обработки персональных данных, такое как необходимость для выполнения контракта, соблюдение юридического обязательства, защита жизненно важных интересов, согласие, выполнение задачи, выполняемой в общественных интересах или в рамках осуществления официальных полномочий, или законные интересы, преследуемые контролёром данных или третьей стороной.

Согласие

Согласие является важным аспектом GDPR. Организации обязаны получать чёткое и явное согласие от физических лиц перед сбором их персональных данных. Согласие должно быть дано свободно, быть конкретным, информированным и недвусмысленным. Физические лица должны получить ясную информацию о целях обработки данных, категориях обрабатываемых персональных данных, получателях данных, сроке их хранения и своих правах в отношении данных. Отзыв согласия должен быть таким же простым, как и его предоставление.

Права физических лиц

GDPR предоставляет физическим лицам различные права в отношении их персональных данных. Некоторые из этих прав включают:

• Право на доступ к данным: физические лица имеют право запрашивать доступ к своим персональным данным, которые хранятся в организациях.
• Право на переносимость данных: физические лица имеют право получать свои персональные данные в структурированном, общепринятом и машиночитаемом формате и передавать эти данные другой организации.
• Право на удаление: также известное как "право быть забытым", физические лица имеют право запрашивать удаление своих персональных данных, когда они больше не нужны для первоначальной цели, для которой они были собраны, когда лицо отзывает согласие или когда обработка данных является незаконной.
• Право на исправление: физические лица имеют право запрашивать исправление неточных или неполных персональных данных.

Уведомление о нарушении данных

GDPR требует, чтобы организации уведомляли надзорные органы о нарушениях данных без неоправданной задержки и, где это возможно, в течение 72 часов с момента выявления нарушения. Если нарушение данных, вероятно, приведёт к высокому риску для прав и свобод физических лиц, организация также должна напрямую уведомлять пострадавших лиц.

Соответствие и исполнение

Организации, попадающие под действие GDPR, должны обеспечивать соответствие его положениям, чтобы избежать штрафов и возможного ущерба репутации. Вот несколько шагов, которые организации могут предпринять для обеспечения соответствия GDPR:

• Понять требования: организации должны ознакомиться с требованиями GDPR и оценить, как они применимы к их конкретным обстоятельствам. Это может включать проведение инвентаризации данных, оценку деятельности по обработке данных и внедрение необходимых политик и процедур.
• Получение согласия: организации должны убедиться, что они имеют явное согласие от физических лиц перед сбором их персональных данных. Согласие должно быть получено в понятной форме и отдельно от других условий.
• Офицер по защите данных (DPO): Назначение офицера по защите данных может помочь обеспечить соответствие GDPR. Офицер по защите данных — это назначенное лицо в организации, которое обеспечивает соблюдение защиты данных и является точкой контакта для субъектов данных и надзорных органов.
• Концепция "privacy by design": организации должны учитывать принцип "privacy by design" в своих процессах и системах. Это означает учёт конфиденциальности и защиты данных на ранних этапах разработки и развития продуктов, услуг и бизнес-практик.
• Надёжные меры безопасности: Внедрение надёжных мер безопасности, таких как шифрование, контроль доступа и регулярные аудит безопасности, может помочь защитить персональные данные от несанкционированного доступа, раскрытия и уничтожения.

Последние достижения и противоречия

С момента своего введения GDPR оказал значительное влияние на конфиденциальность и защиту данных. Регламент вдохновил другие страны и регионы на введение аналогичных законов, таких как Закон о конфиденциальности потребителей Калифорнии (CCPA) в США.

Одним из ключевых продолжающихся споров вокруг GDPR является его применение и штрафы за несоблюдение. GDPR позволяет надзорным органам выдавать штрафы до 20 миллионов евро или 4% от мирового годового оборота предыдущего финансового года, в зависимости от того, что выше, за серьезные нарушения. Однако некоторые критики утверждают, что штрафы применяются непропорционально, особенно по отношению к малому бизнесу.

Еще одной областью спора является необходимость балансирования между конфиденциальностью данных и инновациями. Одни утверждают, что GDPR препятствует инновациям и накладывает обременительные требования по соблюдению закона на предприятия, другие же считают, что он необходим для защиты фундаментальных прав физических лиц и поддержания доверия в цифровой экономики.

Связанные термины

• Офицер по защите данных (DPO): Лицо, назначенное для наблюдения за соответствием GDPR в организации.
• Концепция "privacy by design": Принцип встраивания соображений конфиденциальности и защиты данных в разработку и эксплуатацию ИТ-систем и бизнес-практик.