GDPR перекладається українською як «Загальний регламент захисту даних» (ЗРЗД).

GDPR

Визначення GDPR

GDPR розшифровується як Загальний регламент захисту даних. Це всебічний закон про захист даних, який був впроваджений 25 травня 2018 року для регулювання того, як компанії та організації обробляють персональні дані осіб у межах Європейського Союзу (ЄС) та Європейської економічної зони (ЄЕЗ). Основна мета GDPR – надати особам контроль над їхніми персональними даними та спростити регуляторне середовище для бізнесів, що працюють у межах ЄС та ЄЕЗ.

Ключові поняття та вимоги

GDPR включає кілька ключових понять та вимог, яким організації повинні дотримуватися для забезпечення відповідності. Деякі з них включають:

Законні, прозорі та чітко визначені цілі

Відповідно до GDPR, персональні дані можуть оброблятися лише законно, прозоро та для чітко визначених цілей. Організації повинні мати законну підставу для обробки персональних даних, таку як необхідність для виконання договору, відповідність юридичному зобов’язанню, захист життєво важливих інтересів, згода, виконання завдання, здійснене в інтересах суспільства, або законні інтереси, які переслідує контролер даних або третя сторона.

Згода

Згода є важливим аспектом GDPR. Організації зобов'язані отримати чітку та явну згоду від осіб перед збором їхніх персональних даних. Згода повинна бути вільно наданою, конкретною, поінформованою та однозначною. Особам повинна бути надана чітка інформація про мету обробки даних, категорії персональних даних, одержувачів даних, період зберігання та їх права щодо їхніх даних. Відкликати згоду повинно бути так само легко, як і надати її.

Права осіб

GDPR надає особам різні права щодо їхніх персональних даних. Деякі з цих прав включають:

• Право на доступ до даних: Особи мають право запитувати доступ до персональних даних, які організації зберігають про них.
• Право на перенесення даних: Особи мають право отримати свої персональні дані у структурованому, загальновживаному та машиночитаному форматі та передати ці дані іншій організації.
• Право на видалення: Також відоме як "право бути забутим", особи мають право вимагати видалення своїх персональних даних, коли вони більше не потрібні для мети, з якою були зібрані, коли особа відкликає згоду або коли обробка даних є незаконною.
• Право на виправлення: Особи мають право вимагати виправлення неточних або неповних персональних даних.

Повідомлення про порушення даних

GDPR вимагає від організацій інформувати наглядові органи про порушення даних без невиправданої затримки і, де це можливо, протягом 72 годин з моменту виявлення порушення. Якщо порушення, ймовірно, спричинить високий ризик для прав і свобод осіб, організація має також напряму повідомити постраждалих осіб.

Дотримання та забезпечення

Організації, що підпадають під дію GDPR, повинні забезпечити відповідність його положенням, щоб уникнути штрафів і можливих репутаційних втрат. Ось кілька кроків, які можуть зробити організації для забезпечення дотримання GDPR:

• Розуміння вимог: Організації повинні ознайомитися з вимогами GDPR та оцінити, як вони застосовуються до їхніх конкретних обставин. Це може включати проведення інвентаризації даних, оцінку діяльності з обробки даних і впровадження необхідних політик та процедур.
• Отримання згоди: Організації повинні забезпечити ясність згоди від осіб перед збором їхніх персональних даних. Згоду слід отримувати зрозумілою мовою та окремо від інших умов та положень.
• Відповідальний за захист даних (DPO): Призначення відповідального за захист даних може допомогти забезпечити дотримання GDPR. DPO – це призначена особа в організації, яка контролює діяльність із захисту даних та виступає точкою контакту для суб’єктів даних та наглядових органів.
• Принцип приватності за дизайном: Організації повинні впроваджувати принцип приватності за дизайном у свої процеси та системи. Це передбачає розгляд приватності та захисту даних на ранніх етапах розробки продуктів, послуг та бізнес-практик.
• Надійні заходи безпеки: Впровадження надійних заходів безпеки, таких як шифрування, контроль доступу та регулярні аудити безпеки, може допомогти захистити персональні дані від несанкціонованого доступу, розкриття та знищення.

Останні розробки та контроверсії

З моменту впровадження GDPR суттєво вплинув на конфіденційність та захист даних. Регламент надихнув інші країни та регіони на впровадження подібних законів, таких як Закон про конфіденційність споживачів Каліфорнії (CCPA) у Сполучених Штатах.

Однією зі ключових поточних контроверсій навколо GDPR є те, як він забезпечується, та санкції за недотримання. GDPR дозволяє наглядовим органам стягувати штрафи до 20 мільйонів євро або 4% від загальної світової річної виручки за попередній фінансовий рік, залежно від того, що більше, за серйозні порушення. Однак деякі критики стверджують, що штрафи були непропорційно застосовані, особливо щодо малих підприємств.

Ще однією сферою дебатів є баланс між конфіденційністю даних та інноваціями. Деякі стверджують, що GDPR перешкоджає інноваціям та накладає обтяжливі вимоги щодо відповідності для бізнесів, у той час як інші вважають, що це необхідно для захисту фундаментальних прав осіб та підтримання довіри в цифровій економіці.

Суміжні терміни

• Відповідальний за захист даних (DPO): Особа, призначена для контролю за дотриманням GDPR в організації.
• Принцип приватності за дизайном: Принцип впровадження міркувань приватності та захисту даних у розробку та роботу ІТ-систем та бізнес-практик.