Общее положение о защите данных (ЕС) 2016/679 (GDPR) - это положение закона ЕС о защите данных и конфиденциальности в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). Он также касается передачи персональных данных за пределы стран ЕС и ЕЭЗ. Основной целью GDPR является предоставление частным лицам контроля над их персональными данными и упрощение нормативно-правовой базы для международного бизнеса путем унификации регулирования в рамках ЕС.[1] Заменяя Директиву о защите данных 95/46/ЕС, регламент содержит положения и требования, касающиеся обработки персональных данных. физических лиц (официально называемых субъектами данных в GDPR), которые находятся в ЕЭЗ, и применяется к любому предприятию—независимо от его местоположения и гражданства или места жительства субъектов данных,—которое обрабатывает личную информацию физических лиц в ЕЭЗ.a

Контроллеры и обработчики персональных данных должны принять соответствующие технические и организационные меры для реализации принципов защиты данных. Бизнес-процессы, обрабатывающие персональные данные, должны быть разработаны и построены с учетом принципов и обеспечивать гарантии защиты данных (например, использование псевдонимизации или полной анонимизации где это уместно). Контроллеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, по умолчанию используются максимально возможные параметры конфиденциальности, чтобы наборы данных по умолчанию не были общедоступными и не могли использоваться для идентификации субъекта. Никакие персональные данные не могут быть обработаны, если эта обработка не выполняется на одном из шести законных оснований, указанных в положении (согласие, контракт, общественная задача, жизненно важный интерес, законный интерес или законное требование). Если обработка основана на согласии, субъект данных имеет право отозвать его в любое время.

Контроллеры данных должны четко раскрывать информацию о любом сборе данных, объявить законную основу и цель обработки данных, а также указать, как долго хранятся данные и передаются ли они третьим лицам или за пределами ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей в той степени, в какой извлекаются только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих сторон. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить переносной копия данных, собранных контроллером в общем формате, и право на удаление их данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, обязаны нанимать сотрудника по защите данных (DPO), который отвечает за управление соблюдением GDPR. Предприятия должны сообщать о нарушениях данных национальным надзорным органам в течение 72 часов, если они оказывают негативное влияние на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% от годового мирового оборота предыдущего финансового года в случае предприятия, в зависимости от того, что больше.

GDPR был принят 14 апреля 2016 года и вступил в силу с 25 мая 2018 года. Поскольку GDPR является нормативнымактом, а не директивой, он имеет прямую обязательную силу и применим, но обеспечивает гибкость для некоторых аспектов регулирования, которые могут быть скорректированы отдельными государствами-членами.

Это постановление стало образцом для многих национальных законов за пределами ЕС, включая Чили, Японию, Бразилию, Южную Корею, Аргентину и Кению. Калифорнийский закон о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, имеет много общего с GDPR.[2]

Вы ищете