GDPR (General Data Protection Regulation) — это Общий регламент по защите данных Европейского Союза, который вступил в силу 25 мая 2018 года. Он является наиболее строгим и всеобъемлющим законодательством по защите персональных данных в мире.
История и назначение
GDPR был принят Европейским парламентом и Советом Европейского Союза 14 апреля 2016 года и заменил более ранний нормативный акт — Директиву по защите данных 95/46/EC. Регламент был создан для унификации законов о конфиденциальности среди всех государств Евросоюза, усиления защиты персональных данных граждан ЕС и предоставления им инструментов контроля над своей информацией.
GDPR стал образцом для законодательства по защите данных во многих странах мира, включая Бразилию, Японию, Сингапур, Южную Африку, Южную Корею, Шри-Ланку и Таиланд. После выхода из ЕС Великобритания приняла идентичный «UK GDPR».
Область применения
GDPR применяется ко всем компаниям, обрабатывающим персональные данные жителей ЕС и ЕЭЗ, независимо от местоположения компании. Это означает, что даже если компания зарегистрирована вне Европы, но предоставляет услуги европейским жителям или собирает их данные, она подлежит требованиям GDPR.
Семь принципов защиты данных
В соответствии с Article 5 GDPR, обработка персональных данных должна следовать семи основным принципам:
1. Законность, справедливость и прозрачность
Обработка должна быть законной, справедливой и прозрачной. Компании должны предоставлять четкую и понятную информацию о том, как и почему они используют данные.
2. Ограничение цели (Purpose Limitation)
Данные собираются только для конкретных, законных целей, указанных при сборе. Использование данных для других целей недопустимо.
3. Минимизация данных (Data Minimization)
Компании должны собирать только те данные, которые абсолютно необходимы для достижения указанной цели. Запрещается собирать избыточную информацию.
4. Точность (Accuracy)
Персональные данные должны быть точными, полными и актуальными. При запросе пользователя неточные данные должны быть исправлены или удалены.
5. Ограничение хранения (Storage Limitation)
Данные хранятся в форме, позволяющей идентифицировать пользователя, только столько времени, сколько необходимо для достижения целей обработки.
6. Целостность и конфиденциальность (Integrity and Confidentiality)
Данные должны быть защищены от потери, несанкционированного доступа, уничтожения, модификации или раскрытия через надлежащие меры безопасности, включая шифрование.
7. Подотчетность (Accountability)
Контроллер (обработчик) данных несет ответственность за соблюдение всех вышеуказанных принципов и должен иметь возможность продемонстрировать это соответствие.
Что такое персональные данные согласно GDPR
В соответствии с GDPR персональные данные — это любая информация, которая относится к человеку и по которой можно его идентифицировать прямо или косвенно. К ним относятся:
- Имя, фамилия, отчество
- Фотография
- Адрес электронной почты
- Номер телефона
- Адрес проживания
- Банковские реквизиты
- IP-адрес
- Коды из аналитики
- Медицинская информация
- Посты в социальных сетях
- Геолокационные данные
- Онлайн-идентификаторы
Права граждан ЕС
GDPR предоставляет гражданам ЕС следующие права:
- Право доступа — получить информацию о том, какие данные о них собираются и обрабатываются
- Право на исправление — исправить неточные данные
- Право на удаление — потребовать удаления личных данных (право быть забытым)
- Право на ограничение — ограничить обработку данных в определенных случаях
- Право на переносимость — получить свои данные в структурированном формате и передать их другому контроллеру
- Право на возражение — возразить против определенных видов обработки
Требования для организаций
Компании, обрабатывающие персональные данные, обязаны:
- Получить явное согласие от пользователей перед сбором и обработкой данных
- Предоставить информацию об обработке в простой и доступной форме
- Назначить Data Protection Officer (DPO) при обработке данных в большом объеме или чувствительных данных
- Провести оценку воздействия на защиту данных (DPIA)
- Заключить договоры обработки данных с третьими сторонами
- Вести подробную документацию о том, какие данные собираются, как они используются и где хранятся
- Реагировать на запросы граждан в течение 30 дней
- Уведомить компетентные органы об утечках данных в течение 72 часов
Штрафы и ответственность
GDPR предусматривает самые суровые штрафы за нарушения в мире защиты данных:
- До €20 млн или 4% от глобального годового оборота компании (в зависимости от того, какая сумма больше) за грубые нарушения
- До €10 млн или 2% от глобального оборота за менее серьезные нарушения
Кроме того, граждане ЕС имеют право на компенсацию за причиненный им вред, связанный с нарушением их персональных данных.
Взаимосвязь с TCF 2.2
TCF 2.2, о котором упоминалось в предыдущем вопросе, был разработан специально для помощи компаниям в соблюдении требований GDPR в контексте цифровой рекламы. TCF 2.2 предоставляет технический стандарт и инструменты, которые позволяют издателям, вендорам и платформам управления согласием практически реализовывать требования GDPR в отношении прозрачности и получения согласия.
Влияние GDPR
GDPR фундаментально изменил подход компаний к работе с персональными данными. Его влияние распространяется далеко за пределы Европы — многие компании мира применяют стандарты GDPR глобально, даже если они не обязаны этого делать, поскольку это упрощает соблюдение требований в разных юрисдикциях.
