Общий регламент по защите данных

Общий регламент по защите данных^{[2][3][4][5][6][7][8]}, Общий регламент защиты персональных данных^[9], Генеральный регламент о защите персональных данных^[10] (англ. General Data Protection Regulation, GDPR; Постановление 2016/679) — постановление Европейского союза, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском союзе (ЕС). Постановление также направлено на экспорт данных из ЕС^{[источник не указан 360 дней]}.

Общий регламент по защите данных
англ. General Data Protection Regulation
Вид	постановление Европейского парламента и Совета Европейского союза[вд]
Государство	Европейский союз
Принятие	27 апреля 2016
Вступление в силу	25 мая 2018
Первая публикация	4 мая 2016[1]

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС.

В законе расширено понятие персональных данных, введены понятия трансграничной передачи данных, псевдонимизации, установлено ряд прав субъектов персональных данных, определена роль должностного лица по защите данных (англ. DPO, data protection officer).

В частности, введены понятия^[11][12]:

• контролёр данных — физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, например, социальная сеть или служба такси;
• обработчик данных — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера, например, поставщик облачных услуг;
• субъект данных (лицо) — физическое лицо, данные которого обрабатываются;
• специальные категории персональных данных — данные о расе, политическом мнении, религиозных или философских убеждениях, генетические данные, членство в профсоюзах, биометрические данные, позволяющие определить конкретного человека, данные о здоровье, сексуальная ориентация.

Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные (процессор или обработчик), и к тому, кто собирает данные (контролёр). Контролёр определяет цель и значение обработки персональных данных, а процессор ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.

За невыполнение закона накладывается штраф до 20 000 000 евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

История

Регламент GDPR заменил директиву Data Protection Directive^[англ.] от 1995 года. Постановление было принято 27 апреля 2016 года, вступило в силу 25 мая 2018 года после двухлетнего переходного периода и, в отличие от директивы, не требует от правительств стран — участниц ЕС никаких изменений в локальных законодательствах и, таким образом, является непосредственно обязательным к исполнению. Это применимо не только к странам — участницам ЕС, но также к любому юридическому лицу, обрабатывающему персональные данные лиц ЕС.

Ключевые принципы

Закон определяет шесть принципов^[13] обработки персональных данных:

• законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца об использовании персональных данных;
• ограничение целью — обработка должна сводиться к тому, что было заявлено субъекту данных. Все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
• минимизация данных — использование минимально необходимого объёма данных для выполнения поставленных целей;
• точность — персональные данные должны быть точными и не должны вводить в заблуждение; ошибочные данные подлежат корректировке;
• ограничение хранения данных — не хранить данные дольше, чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
• целостность и конфиденциальность, безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных.

Также закон устанавливает ключевой принцип^[13] для обработчиков данных:

• подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR, включая записи о конфиденциальности, защите, использовании, проверке данных, а также возможность продемонстрировать следование принципам закона по запросу.

Права субъектов персональных данных

Закон существенно расширяет права пользователей^[13] в отношении их персональных данных:

• право на доступ к данным (статья 15);
• право на внесение исправлений (статья 16);
• право на удаление данных (статья 17);
• право на ограничение обработки (статья 18);
• право на получение информации (статья 19);
• право на переносимость данных (статья 20);
• право на возражение (статья 21);
• право не становиться объектом решения, основанного исключительно на автоматизированной обработке (статья 22).

Примечания

1. EUR-Lex — 2001.
2. GDPR вступил в силу: компании оказались не готовы  (неопр.). Дата обращения: 3 июня 2018. Архивировано 19 июня 2018 года.
3. Европа встает на защиту данных :: Технологии и медиа :: Газета РБК  (неопр.). Дата обращения: 3 июня 2018. Архивировано 27 мая 2018 года.
4. Запросы субъектов данных, определённые в GDPR | Microsoft Docs  (неопр.). Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
5. Защита информации | Microsoft Docs  (неопр.). Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
6. GDPR | Microsoft Docs  (неопр.). Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
7. Соблюдение требований GDPR в эпоху глобального распространения данных  (неопр.). Дата обращения: 3 июня 2018. Архивировано 19 июня 2018 года.
8. Международный стандарт против кражи персональных данных  (неопр.). Дата обращения: 3 июня 2018. Архивировано 15 ноября 2019 года.
9. Общий регламент защиты персональных данных (GDPR) Европейского союза  (неопр.). GDPR-TEXT.COM. Дата Прайваси Офис. Дата обращения: 21 декабря 2023. Архивировано 15 ноября 2019 года.
10. Генеральный регламент о защите персональных данных - Европейская Комиссия  (рус.). Европейская служба внешних связей. Дата обращения: 2 июня 2018. Архивировано 20 июня 2018 года.
11. Статья 4. Определения | GDPR-Text.com  (рус.). Дата обращения: 15 ноября 2019. Архивировано 15 ноября 2019 года.
12. Статья 9. Обработка специальных категорий персональных данных | GDPR-Text.com  (рус.). Дата обращения: 15 ноября 2019. Архивировано 15 ноября 2019 года.
13. Защита персональных данных в информационных системах здравоохранения: принципы и процедуры, применяемые в сфере охраны общественного здоровья  (неопр.) (PDF). Всемирная организация здравоохранения. Европейское региональное бюро (19 мая 2021). Дата обращения: 21 декабря 2023. Архивировано 21 декабря 2023 года.

Ссылки

• Текст регламента Архивная копия от 22 января 2017 на Wayback Machine
• Перевод Регламента на русский язык Архивная копия от 15 ноября 2019 на Wayback Machine
• Анализ возможных последствий и влияния Регламента General Data Protection Regulation Архивная копия от 5 апреля 2018 на Wayback Machine
• General Data Protection Regulation (GDPR) — Final text neatly arranged Архивная копия от 21 мая 2018 на Wayback Machine (англ.)
• Сайт Европейской службы внешних связей Архивная копия от 20 июня 2018 на Wayback Machine
• Что надо знать о GDPR | Директор информационной службы | Издательство «Открытые системы» Архивная копия от 19 июня 2018 на Wayback Machine (рус.)
• До вступления в силу GDPR осталось меньше года | Директор информационной службы | Издательство «Открытые системы» Архивная копия от 29 января 2019 на Wayback Machine (рус.)
• Кого коснётся GDPR в России | Директор информационной службы | Издательство «Открытые системы» Архивная копия от 31 января 2018 на Wayback Machine (рус.)
• Как защитить персональные данные в соответствии с GDPR | Директор информационной службы | Издательство «Открытые системы» Архивная копия от 29 января 2019 на Wayback Machine (рус.)
• Data privacy by design: a new standard ensures consumer privacy at every step Архивная копия от 15 ноября 2019 на Wayback Machine
• What does the General Data Protection Regulation (GDPR) govern? | European Commission Архивная копия от 30 мая 2018 на Wayback Machine (англ.)
• Guide to the General Data Protection Regulation (GDPR) Архивная копия от 7 января 2018 на Wayback Machine