GDPR

Что такое GDPR?

Команда Общее регулирование защиты данных (ВВП) — всеобъемлющий закон о защите данных, принятый Европейским союзом (ЕС) 25 мая 2018 года для защиты конфиденциальности и персональных данных граждан ЕС и ЕЭЗ. Он устанавливает строгие правила сбора, обработки, хранения и передачи организациями персональных данных, предоставляя отдельным лицам больший контроль над своей персональной информацией и повышая конфиденциальность и безопасность данных.

Обзор GDPR

• о наморднике: Общее положение о защите данных
• Регион: Европейская экономическая зона
• Подписано: 14-04-2016
• Дата вступления в силу: 25-05-2018
• Промышленность: Компании предлагают продукты или услуги гражданам ЕС

Персональные данные в соответствии с GDPR

GDPR определяет персональные данные как любую информацию, идентифицирующую человека напрямую (имя, идентификатор) или косвенно (данные о местоположении, онлайн-идентификаторы). Даже кажущиеся анонимными данные могут быть персональными, если их можно повторно идентифицировать с помощью другой информации.

Прямые идентификаторы: Имя, адрес, номер телефона, адрес электронной почты, идентификационный номер (например, номер социального страхования, номер паспорта).

Косвенные идентификаторы: Данные о местоположении (IP-адрес, координаты GPS), сетевые идентификаторы (имена пользователей, файлы cookie), данные о состоянии здоровья, генетические данные, биометрические данные (отпечатки пальцев, распознавание лиц), информация об экономической, культурной или социальной идентичности и т. д.

Команда Общее регулирование защиты данных (ВВП) включает в себя несколько ключевых компонентов, которые формируют основу его всеобъемлющей структуры защиты данных. Эти компоненты включают:

• Юридическая основа для обработки
• XNUMX. Права субъекта данных
• Подотчетность и управление
• Принципы защиты данных
• Меры безопасности данных
• Уведомление об утечке данных
• Трансграничные передачи данных
• Оценка воздействия на защиту данных (DPIA)
• Органы надзора и обеспечения соблюдения законодательства

Принцип защиты данных

Эти принципы составляют основу GDPR и определяют, как следует обращаться с персональными данными:

• Законность, справедливость и прозрачность: Обработка данных должна осуществляться на основе принципов законности, справедливости и прозрачности для физических лиц.
• Ограничение цели: Информация должна собираться для достижения четких, ясных и законных целей.
• Минимизация данных: Может быть собран только тот минимум персональных данных, который необходим для достижения поставленной цели.
• Точность. Точность данных имеет первостепенное значение, и регулярные обновления необходимы там, где это применимо.
• Ограничение хранения: Данные должны храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей обработки.
• Честность и конфиденциальность: Необходимо принять соответствующие технические и организационные меры для защиты данных от несанкционированной или незаконной обработки, а также случайной потери, уничтожения или повреждения.
• Ответственность: Организация обеспечивает соблюдение всех принципов GDPR.

Права в соответствии с GDPR

Общий регламент по защите данных (GDPR) предоставляет отдельным лицам несколько прав на конфиденциальность, чтобы дать им больше контроля над своими данными. Эти права включают:

• Право на доступ: Физические лица могут получить от организаций подтверждение того, обрабатываются ли их данные, и, если да, получить доступ к этим данным вместе с соответствующей информацией об их обработке.
• Право на исправление: Частные лица могут запросить исправление неточных или неполных персональных данных, хранящихся в организациях, гарантируя, что их информация останется актуальной и точной.
• Право на удаление (право на забвение): Физические лица могут запросить удаление данных при определенных обстоятельствах, например, когда данные больше не нужны для их первоначального назначения или когда они отзывают свое согласие.
• Право на переносимость данных: Частные лица могут запросить передачу своих данных из одной организации в другую в структурированном, общепринятом и машиночитаемом формате, что обеспечивает более легкое перемещение между поставщиками услуг.
• Право на ограничение обработки: Физические лица имеют право ограничить обработку своих данных при определенных условиях, например, оспаривая точность данных или возражая против их обработки.
• Право на возражение: Физические лица могут возражать против обработки данных в определенных целях, таких как прямой маркетинг или обработка, на основании законных интересов, если только организация не сможет доказать наличие веских причин, преобладающих над их интересами или правами.
• Права на автоматизированное принятие решений и профилирование: Лица имеют право избегать решений, основанных исключительно на автоматизированной обработке или профилировании. Исключения существуют, когда такие решения необходимы для договорных обязательств или с явного согласия.

Кто должен соблюдать GDPR?

Хотя Общий регламент по защите данных (GDPR) применяется к широкому кругу организаций, обрабатывающих персональные данные, независимо от их размера, местоположения или сектора, он не применяется ко всем. Варианты использования его внедрения охватывают различные отрасли и сектора, включая здравоохранение, финансы и банковское дело, розничную торговлю и электронную коммерцию, технологии и их услуги, телекоммуникации, маркетинг и рекламу, образование, государственный и общественный сектор, производство и промышленность, транспорт и логистику и т. д. Он в целом применяется к:

• Организации, созданные в ЕС/ЕЭЗ
• Организации, не входящие в ЕС, обрабатывающие данные ЕС/ЕЭЗ.

Исключения

Существуют некоторые исключения из применимости GDPR, такие как обработка персональных данных для личных или домашних целей. Однако эти исключения узко определены, и лучше всего проконсультироваться с юристом в конкретных ситуациях.

Нормативные риски

GDPR предусматривает два уровня штрафов в зависимости от серьезности нарушения:

Уровень 1: до 10 миллионов евро или 2% от мирового годового дохода за предыдущий финансовый год (в зависимости от того, что больше) за такие нарушения, как

• Неспособность вести надлежащий учет деятельности по обработке данных.
• Непринятие соответствующих технических и организационных мер по обеспечению безопасности данных.
• Не назначение должностного лица по защите данных при необходимости.
• Непроведение оценки воздействия на защиту данных (при необходимости).
• Неуведомление надзорных органов или субъектов данных об утечке данных.

Уровень 2: до 20 млн евро или 4% от мирового годового дохода за предыдущий финансовый год (в зависимости от того, что больше) за более серьезные нарушения, включая:

• Нарушения основных принципов обработки данных включают в себя отсутствие правовых оснований для обработки, неполучение согласия или обработку данных, выходящую за рамки указанной цели.
• Обработка конфиденциальных персональных данных без соответствующих мер защиты или согласия.
• Невыполнение запросов на права субъекта данных, таких как доступ, исправление, удаление или переносимость данных.
• Передача персональных данных третьей стране или международной организации без достаточных гарантий или правовых оснований.
• Нарушение условий получения действительного согласия на обработку данных.
• Игнорирование предписаний или санкций, наложенных надзорными органами.

Орган по обеспечению соответствия GDPR:

Полномочия по обеспечению соответствия Общему регламенту по защите данных (GDPR) в первую очередь возлагаются на надзорные органы каждого государства-члена Европейского союза (ЕС) или Европейской экономической зоны (ЕЭЗ). Примеры надзорных органов включают:

• Управление комиссара по информации (ICO) – Соединенное Королевство
• Французский орган по защите данных (CNIL)
• Комиссия по защите данных (DPC) в Ирландии
• Autoriteit Persoonsgegevens (AP) в Нидерландах
• Федеральный комиссар Германии по защите данных и свободе информации (BfDI)

Кроме того, Европейский совет по защите данных (EDPB) обеспечивает единообразное применение закона в ЕС/ЕЭЗ. EDPB предоставляет руководство, выносит заключения и рекомендации, а также разрешает споры между надзорными органами.

Как избежать штрафов GDPR?

Организации могут минимизировать риск крупных штрафов, приняв упреждающие меры по обеспечению соответствия GDPR, например:

• Проведение картирования данных и анализа пробелов
• Внедрение соответствующих технических и мер безопасности, таких как маскировка данных
• Получение явного согласия на обработку данных
• Оперативное и эффективное рассмотрение запросов субъектов данных
• Сообщение об утечках данных в установленные сроки
• Ищу юридическую консультацию по правилам конфиденциальности данных

В заключение следует отметить, что полномочия по обеспечению соответствия Общему регламенту по защите данных (GDPR) принадлежат надзорным органам каждого государства-члена Европейского союза (ЕС) или Европейской экономической зоны (ЕЭЗ). Эти органы играют решающую роль в мониторинге и обеспечении соблюдения GDPR в пределах своих юрисдикций, обеспечивая защиту данных отдельных лиц. Хотя надзорные органы несут основную ответственность за обеспечение соблюдения, организации также должны уделять первоочередное внимание внутренним усилиям по обеспечению соответствия, чтобы поддерживать стандарты защиты данных, избегать штрафов и сохранять доверие заинтересованных сторон.

FAQ