Что такое регламент GDPR?
Общий регламент ЕС по защите персональных данных (регламент GDPR)
Регламент GDPR представляет собой возможно наиболее полный стандарт в отношении конфиденциальности данных на сегодняшний день. Он предъявляет серьезные требования к организациям, которые обрабатывают персональные данные граждан ЕС — независимо от того, где находится штаб-квартира организации.
Общий регламент по защите персональных данных (GDPR) вступил в действие в мае 2018 года. Он был разработан с целью улучшения защиты персональных данных и повышения ответственности организаций за утечку данных. GDPR предусматривает штрафы до четырех процентов от мировой выручки или 20 миллионов евро (в зависимости от того, что больше), что делает его довольно серьезным инструментом. Независимо от местонахождения организации, которая обрабатывает или контролирует персональные данные резидентов ЕС, она должна соответствовать GDPR. В противном случае, на нее могут быть наложены крупные штрафы, а также она должна будет проинформировать пострадавших об утечке данных. Подробнее о соблюдении Общего регламента по защите персональных данных.
Регламент GDPR представляет собой объемный документ, который включает следующие главы и статьи:
Глава 1. Общие положения
- Статья 1. Предмет и задачи
- Статья 2. Материальная сфера действия. Статья 3. Территориальная сфера действия. Статья 4. Определения.
Глава 2. Принципы
- Статья 5. Принципы обработки персональных данных
- Статья 6. Законность обработки
- Статья 7. Условия согласия
- Статья 8. Условия, применимые к согласию ребенка в случае оказания услуг информационного общества
- Статья 9. Нормы обработки специальных категорий персональных данных
- Статья 10. Нормы обработки персональных данных, касающихся судимостей и правонарушений
- Статья 11. Обработка, не требующая идентификации
Глава 3. Права субъекта данных
Раздел 1. Прозрачность и режим осуществления прав
- Статья 12. Прозрачное информирование, коммуникация и режим осуществления прав
- Раздел 2. Информация и доступ к данным
- Статья 13. Информация, предоставляемая при сборе персональных данных у субъекта данных
- Статья 14. Информация, предоставляемая при получении персональных данных не от субъекта данных
- Статья 15. Право доступа субъекта данных
Раздел 3. Уточнение и удаление данных
- Статья 16. Право на уточнение данных
- Статья 17. Право на удаление данных («право быть забытым»)
- Статья 18. Право на ограничение обработки данных
- Статья 19. Обязательство уведомлять об уточнении или удалении персональных данных или ограничении обработки данных
- Статья 20. Право на переносимость данных
Раздел 4. Право на возражение и автоматизированное принятие отдельных решений
- Статья 21. Право на возражение
- Статья 22. Автоматизированное принятие отдельных решений, включая профилирование
Раздел 5. Ограничения
- Статья 23. Ограничения
Глава 4. Контролер и оператор данных
Раздел 1. Общие обязательства
- Статья 24. Ответственность контролера
- Статья 25. Защита данных: проектируемая и по умолчанию
- Статья 26. Со-контролеры
- Статья 27. Представители контролеров, не имеющих организационной единицы в Союзе
- Статья 28. Оператор
- Статья 29. Обработка от имени контролера или оператора
- Статья 30. Учет деятельности по обработке
- Статья 31. Сотрудничество с надзорным органом
Раздел 2. Безопасность персональных данных
- Статья 32. Безопасность обработки
- Статья 33. Уведомление контролирующего органа об утечке персональных данных
- Статья 34. Уведомление субъекта данных об утечке персональных данных
Раздел 3. Оценка воздействия на защиту данных и предварительные консультации
- Статья 35. Оценка воздействия на защиту данных
- Статья 36. Предварительные консультации
Раздел 4. Инспектор по защите данных
- Статья 37. Назначение инспектора по защите данных
- Статья 38. Инспектор по защите данных
- Статья 39. Задачи инспектора по защите данных
Раздел 5. Кодексы поведения и сертификация
- Статья 40. Кодексы поведения
- Статья 41. Контроль за соблюдением утвержденных кодексов поведения
- Статья 42. Сертификация
- Статья 43. Органы сертификации
Глава 5. Передача персональных данных международными организациями в третьи страны
- Статья 44. Общий принцип передачи
- Статья 45. Передача данных на основании решения об адекватности
- Статья 46. Передача данных при условии осуществления надлежащих гарантий
- Статья 47. Обязательные корпоративные правила
- Статья 48. Передача или раскрытие данных, не разрешенное законодательством Союза
- Статья 49. Отступление от соблюдения обязательств в особых случаях
- Статья 50. Международное сотрудничество в области защиты персональных данных
Глава 6. Независимые надзорные органы
Раздел 1. Независимый статус
- Статья 51. Надзорный орган
- Статья 52. Независимость
- Статья 53. Общие условия для членов надзорного органа
- Статья 54. Правила учреждения надзорного органа
Раздел 2. Компетенция, задачи и полномочия
- Статья 55. Компетенция
- Статья 56. Компетенция ведущего надзорного органа
- Статья 57. Задачи
- Статья 58. Полномочия
- Статья 59. Отчет о деятельности
Глава 7. Сотрудничество и последовательность процессов
Раздел 1. Сотрудничество
- Статья 60. Сотрудничество между ведущим надзорным органом и иными заинтересованными надзорными органами
- Статья 61. Взаимная помощь
- Статья 62. Совместная деятельность надзорных органов
Раздел 2. Последовательность
- Статья 63. Механизм согласования
- Статья 64. Заключение Европейского совета по нормам обработки и защиты персональных данных
- Статья 65. Разрешение споров Европейским советом по нормам обработки и защиты персональных данных
- Статья 66. Процедура срочности
- Статья 67. Обмен информацией
Раздел 3. Европейский совет по защите данных
- Статья 68. Европейский совет по защите данных
- Статья 69. Независимость
- Статья 70. Задачи Европейского совета по нормам обработки и защиты персональных данных
- Статья 71. Отчеты
- Статья 72. Процедура
- Статья 73. Председатель
- Статья 74. Задачи Председателя
- Статья 75. Секретариат
- Статья 76. Конфиденциальность
Глава 8. Средства правовой защиты, ответственность, санкции и штрафы за несоблюдение GDPR
- Статья 77. Право на подачу жалобы в надзорный орган
- Статья 78. Право на эффективные средства судебной защиты в отношении надзорного органа
- Статья 79. Право на эффективные средства судебной защиты в отношении контролера или оператора
- Статья 80. Представительство субъектов данных
- Статья 81. Приостановление судебного производства
- Статья 82. Ответственность и право на компенсацию
- Статья 83. Общие условия наложения административных штрафов за несоблюдение GDPR
- Статья 84. Наказания
Глава 9. Положения, касающиеся конкретных ситуаций, связанных с обработкой данных
- Статья 85. Обработка и свобода выражения мнений и распространения информации
- Статья 86. Обработка и доступ общественности к официальным документам
- Статья 87. Обработка национального идентификационного номера
- Статья 88. Обработка в контексте занятости
- Статья 89. Гарантии и отступления, касающиеся обработки для архивных целей в интересах общественности, для целей научного или исторического исследования или в статистических целях
- Статья 90. Обязательства по сохранению тайны
- Статья 91. Действующие правила и нормы обработки и защиты персональных данных церквей и религиозных организаций
Глава 10. Делегированные и имплементационные акты
- Статья 92. Передача полномочий
- Статья 93. Процедура Комитета
Глава 11. Заключительные положения
- Статья 94. Отмена Директивы 95/46/EC
- Статья 95. Связь с Директивой 2002/58/EC
- Статья 96. Взаимосвязь с ранее заключенными соглашениями
- Статья 97. Отчеты Европейской Комиссии
- Статья 98. Обзор прочих правовых актов Европейского Союза о защите персональных данных
- Статья 99. Вступление в силу и применение
Основные положения статьи 32
Некоторые ключевые требования статьи 32 регламента GDPR:
a) псевдонимизация и шифрование персональных данных; b) способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем и служб обработки данных; c) способность своевременно восстанавливать доступность персональных данных и доступ к ним в случае физического или технического инцидента; d) процесс регулярной проверки, измерения и оценки эффективности технических и организационных мер для обеспечения безопасности обработки данных.
Основные положения статьи 34
В статье 34 регламента GDPR подробно описаны действия организации по предотвращению необходимости уведомлять субъектов данных об утечках.
Если утечка персональных данных может привести к высокому риску для прав и свобод физических лиц, контролер должен незамедлительно сообщить об утечке персональных данных субъекту данных.
В сообщении для субъекта данных, указанном в пункте 1 настоящей статьи, должен быть четко и ясно описан характер утечки персональных данных.
В описанных ниже случаях, не требуется передавать сообщение субъекту данных, указанное в пункте 1 статьи:
a) контроллер ранее принял соответствующие технические и организационные меры по защите данных, и эти меры были применены к персональным данным, в отношении которых произошла утечка, в частности меры, которые препятствуют считыванию персональных данных лицами, которые не имеют права доступа к данным, например шифрование; b) контроллер впоследствии принял меры, которые препятствуют возникновению высокого риска для прав и свобод субъектов данных, указанных в пункте 1; c) это потребует несоразмерных усилий. В таком случае следует сделать публичное заявление или аналогичным образом информировать субъектов данных.