GDPR

GDPR

Определение GDPR

GDPR расшифровывается как Общий регламент по защите данных. Это всеобъемлющий закон о конфиденциальности данных, который был введен в действие 25 мая 2018 года для регулирования того, как компании и организации обрабатывают личные данные лиц в пределах Европейского Союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Основная цель GDPR — предоставить физическим лицам контроль над своими личными данными и упростить регулятивную среду для бизнеса, действующего в ЕС и ЕЭЗ.

Ключевые концепции и требования

GDPR включает несколько ключевых концепций и требований, которые организации должны соблюдать для обеспечения соответствия. Некоторые из них включают:

Законные, прозрачные и специфические цели

По GDPR персональные данные могут обрабатываться только законно, прозрачно и для определенных целей. Организации должны иметь законные основания для обработки персональных данных, такие как необходимость выполнения договора, соблюдение юридического обязательства, защита жизненно важных интересов, согласие, выполнение задачи в общественных интересах или при осуществлении официальных полномочий, или законные интересы, преследуемые контролером данных или третьей стороной.

Согласие

Согласие является важным аспектом GDPR. Организации обязаны получить ясное и явное согласие от лиц перед сбором их персональных данных. Согласие должно быть свободно дано, конкретно, осознанно и недвусмысленно. Лицам должна предоставляться четкая информация о цели обработки данных, категориях персональных данных, получателях данных, периоде хранения и их правах в отношении данных. Лицам должно быть так же легко отозвать свое согласие, как и дать его.

Права физических лиц

GDPR предоставляет физическим лицам различные права в отношении их персональных данных. Некоторые из этих прав включают:

• Право на доступ к данным: Физические лица имеют право запрашивать доступ к личным данным, которые организации хранят о них.
• Право на переносимость данных: Физические лица имеют право получать свои персональные данные в структурированном, часто используемом и машинно-читаемом формате, а также передавать эти данные другой организации.
• Право на удаление: Также известное как "право быть забытым", физические лица имеют право запрашивать удаление своих персональных данных, когда они больше не нужны для целей, для которых они были собраны, когда лицо отзывает согласие или когда обработка данных является незаконной.
• Право на исправление: Физические лица имеют право запрашивать исправление неточных или неполных персональных данных.

Уведомление о нарушении данных

GDPR требует, чтобы организации уведомляли надзорные органы о нарушениях данных без неоправданной задержки и, где это возможно, в течение 72 часов после того, как им стало известно о нарушении. Если нарушение может привести к высокому риску для прав и свобод физических лиц, организация также должна уведомить пострадавших лиц напрямую.

Соответствие и обеспечение

Организации, подпадающие под действие GDPR, должны обеспечить соответствие его положениям, чтобы избежать штрафов и потенциального ущерба репутации. Вот некоторые шаги, которые организации могут предпринять для обеспечения соответствия GDPR:

• Понимание требований: Организации должны ознакомиться с требованиями GDPR и оценить, как они применяются к их конкретным обстоятельствам. Это может включать проведение инвентаризации данных, оценку деятельности по обработке данных и внедрение необходимых политик и процедур.
• Получение согласия: Организации должны удостовериться, что у них есть ясное согласие от лиц перед сбором их персональных данных. Согласие должно быть получено таким образом, чтобы оно было легко понимаемым и отдельным от других условий.
• Офицер по защите данных (DPO): Назначение офицера по защите данных может помочь обеспечить соответствие GDPR. Офицер по защите данных — это назначенное лицо в организации, которое следит за деятельностью в области защиты данных и является точкой контакта для субъектов данных и надзорных органов.
• Конфиденциальность по дизайну: Организации должны включать принцип Конфиденциальности по дизайну в свои процессы и системы. Это включает в себя учет конфиденциальности и защиты данных на ранних стадиях разработки и создания продуктов, услуг и бизнес-практик.
• Надежные меры безопасности: Внедрение надежных мер безопасности, таких как шифрование, контроль доступа и регулярные аудиты безопасности, может помочь защитить персональные данные от несанкционированного доступа, раскрытия и уничтожения.

Последние разработки и споры

С момента внедрения GDPR оказал значительное влияние на конфиденциальность и защиту данных. Регламент вдохновил другие страны и регионы на внедрение аналогичных законов, таких как Закон о конфиденциальности потребителей Калифорнии (CCPA) в Соединенных Штатах.

Одной из ключевых непрекращающихся сознается споров вокруг GDPR является то, как он применяется и штрафы за несоответствие. GDPR позволяет надзорным органам выдавать штрафы в размере до 20 миллионов евро или 4% от глобального годового оборота за предыдущий финансовый год, в зависимости от того, что больше, за серьезные нарушения. Однако некоторые критики утверждают, что штрафы применяются непропорционально, особенно к малому бизнесу.

Другой областью дискуссий является баланс между конфиденциальностью данных и инновациями. Некоторые утверждают, что GDPR препятствует инновациям и накладывает обременительные требования на соблюдение правопорядка для бизнеса, в то время как другие считают, что это необходимо для защиты фундаментальных прав лиц и поддержания доверия в цифровой экономике.

Связанные термины

• Офицер по защите данных (DPO): Лицо, назначенное для надзора за соблюдением GDPR в организации.
• Конфиденциальность по дизайну: Принцип встроения соображений конфиденциальности и защиты данных в проектирование и эксплуатацию ИТ-систем и бизнес-практик.