Загальний регламент про захист даних

Зага́льний регла́мент про за́хист да́них (скорочено ЗРЗД; англ. General Data Protection Regulation, GDPR) — нормативно-правовий акт Європейського Союзу щодо захисту персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони (ЄЕЗ). ЗРЗД є важливою складовою законодавства про конфіденційність^[en] і прав людини, зокрема статті 8(1) Хартії основних прав Європейського Союзу. Він також стосується експорту персональних даних за межі ЄС і ЄЕЗ. ЗРЗД покликаний насамперед надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.^[1] Регламент замінює Директиву про захист даних і містить положення і вимоги щодо опрацювання особової інформації суб'єктів даних всередині Європейського Союзу.

Регламент (ЄС) 2016/679

Регламент Європейського Союзу
Текст, що стосується Європейської економічної зони
Назва	Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)
Ким прийнятий	Європейський парламент і Рада Європейського Союзу
Офіційний вісник ЄС	OJ L 119, 4.5.2016, ст. 1–88
ВРУ	Переклад українською мовою
Історія
Дата створення	14 квітня 2016
Дата імплементації	25 травня 2018
Підготовчі тексти
Пропозиція Європейської комісії	COM/2012/010 фінальний – 2012/0010 (COD)
Інше законодавство
Замінює	Директиву про захист даних
Чинне законодавство

Регламент було прийнято 14 квітня 2016 року^[2], набрав чинності 24 травня 2016 року (на 20-й день після офіційного опублікування в «Офіційному віснику Європейського Союзу») і після дворічного перехідного періоду почав застосовуватися 25 травня 2018.^[3][4] Оскільки ЗРЗД — це регламент, а не директива, він не вимагає від національних урядів прийняття законів, які уможливлюють його дію, і є безпосередньо зобов'язальним і застосовним.^[5]

Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням»^[6], що означає, що персональні дані необхідно зберігати з використанням псевдонімів чи повної анонімізації та використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли бути використані для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.

Контролер персональних даних має чітко заявити, які дані збирає і як, чому їх опрацьовує, як довго зберігає і чи ділиться ними з будь-якими третіми сторонами^[7]. Користувачі мають право запросити мобільну копію даних, зібраних оператором, у загальноприйнятому форматі, і право на вилучення їхніх даних за певних обставин. Державні органи, а також підприємства, чия основна діяльність стосується регулярного чи систематичного опрацювання персональних даних, зобов'язані мати посаду співробітника з питань захисту даних (англ. data protection officer, DPO), який стежить за дотриманням ЗРЗД. Підприємства повинні повідомляти про будь-яке порушення захисту даних, яке має негативний вплив на конфіденційність користувачів, упродовж 72 годин^[8].

Як приклад брюссельського ефекту^[en], цей регламент став зразком для багатьох інших законів у всьому світі, зокрема в Бразилії, Японії, Сінгапурі, Південній Африці, Південній Кореї, Шрі-Ланці та Таїланді.^[9] Після виходу з Європейського Союзу Сполучене Королівство прийняло свій «UK GDPR», ідентичний ЗРЗД.^[10] Каліфорнійський закон про конфіденційність споживачів (CCPA), прийнятий 28 червня 2018 року, має багато схожості з ЗРЗД.^[11]

Зміст

Регламент містить такі основні вимоги:^[12][13]

Сфера застосування

Регламент застосовується, якщо контролер даних (організація, яка збирає дані від резидентів ЄС) або оператор (організація, яка опрацьовує дані від імені контролера даних, як-то постачальники хмарних послуг), або суб'єкт даних (особа) базуються в ЄС. За певних обставин^[14], дія цього регламенту також поширюється на організації, що базуються за межами ЄС, якщо вони збирають чи опрацьовують особисті дані фізичних осіб, розташованих в межах ЄС.

Згідно з визначенням Європейської комісії, «персональні дані — це будь-яка інформація щодо фізичної особи, не залежно від того, чи вона стосується його/її особистого, професійного чи суспільного життя. Це може бути що завгодно, зокрема: ім'я, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп'ютера».^[15]

Регламент не претендує на те, щоб застосуватися до опрацювання персональних даних для національної безпеки та правоохоронної діяльності ЄС; однак певні групи, стурбовані потенційним конфліктом правових норм, висловили сумнів, чи не може стаття 48 ЗРЗД^[16] бути використаною, щоб запобігти передачі персональних даних резидентів ЄС від контролера даних, який підлягає юрисдикції третьої країни, до правоохоронних, судових органів чи органів національної безпеки цієї країни на їхню офіційну вимогу, незалежно від того, чи знаходяться дані в ЄС чи за його межами. Стаття 48 зазначає, що „будь-яке рішення суду або трибуналу та будь-яке рішення адміністративного органу в третій країні, що вимагає від контролера або оператора передати чи розкрити персональні дані, може бути визнане чи виконане у будь-який спосіб, якщо воно базується на міжнародній угоді, такій як договір про взаємну правову допомогу, яка є чинною для третьої країни, що подає запит, і Союзом або державою-членом, без обмеження інших підстав для передавання відповідно до цієї глави“. Пакет реформи захисту даних також включає окрему Директиву про захист даних для поліції та кримінального правосуддя,^[17] яка містить правила обміну персональними даними на національному, європейському і міжнародному рівнях.

Єдиний звід правил буде поширюватися на всі держави-члени ЄС. Кожна держава-учасниця має створити незалежний наглядовий орган, що заслуховуватиме і розглядатиме скарги, здійснюватиме стягнення за адміністративні правопорушення та ін. Наглядовий орган у кожній державі-члені буде співпрацювати з іншими наглядовими органами, надаючи взаємну допомогу й організовуючи спільні операції. Якщо підприємство має кілька осідків в ЄС, єдиний наглядовий орган буде для нього „керівним органом“, за місцем знаходження його „головного осідку“, де відбувається основне опрацювання. Провідний орган буде діяти в якості „єдиного вікна“, щоб контролювати всі операції цього підприємства з опрацювання даних на всій території ЄС^[18] (статті 46-55 з ЗРЗД). Європейська рада захисту даних (EDPB) буде координувати наглядові органи. EDPB замінить Робочу групу захисту даних, що діє згідно зі статтею 29. Є винятки для даних, що опрацьовуються у контексті трудових відносин або національної безпеки, які все ще можуть бути предметом регуляції окремих країн (статті 2(2)(А) і 88 ЗРЗД).

Законні підстави для опрацювання

Опрацювання є законним, лише за умови виконання принаймні однієї з наведених нижче умов:^[16]

• суб'єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
• опрацювання є необхідним для виконання контракту, стороною якого є суб'єкт даних, або для вжиття дій на запит суб'єкта даних до укладення договору;
• опрацювання є необхідним для дотримання встановленого законом зобов'язання, яке поширюється на контролера;
• опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб'єкта даних або іншої фізичної особи;
• опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
• опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина.

Якщо як законна підстава для опрацювання даних застосовується згода, вона має бути явною для зібраних даних і мети, з якою застосовуються дані (стаття 7; визначення у статті 4). Згоду за дітей^[19] повинні надати один з батьків або опікун дитини; вона має бути перевіреною (стаття 8). Контролери даних повинні бути в змозі довести «згоду», і згоду може бути відкликано^[20].

Сфера згоди ЗРЗД має кілька наслідків для діяльності, яка записує виклики абонентів. Типового попередження «дзвінки записуються для навчання і з міркувань безпеки» більше не буде достатньо для отримання передбачуваної згоди на запис дзвінків. Крім того, коли запис почався, у випадку якщо абонент відкликав свою згоду, в агента, який приймає виклик, має бути можливість зупинити початий раніше запис і забезпечити, щоб запис не зберігався^[21].

Відповідальність і підзвітність

Щоб мати змогу підтвердити дотримання ЗРЗД, контролер даних мусить реалізовувати заходи, які відповідають принципам захисту даних за призначенням і за замовчуванням. Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб заходи щодо захисту даних були включені в розробку бізнес-процесів, продуктів і послуг. Такі заходи включають використання псевдонімів персональних даних контролером, як можна швидше (пункт 78). Здійснювати ефективні заходи і бути в змозі продемонструвати відповідність опрацювання є відповідальністю і зобов'язанням контролера даних, навіть якщо опрацювання здійснюється оператором даних від імені контролера (пункт 74).

Коли дані зібрані, користувачі повинні бути чітко проінформовані про масштаби збору даних, правові підстави для опрацювання персональних даних, тривалість збереження даних, факт передачі даних третім особам та/або за межі ЄС, і розкриття будь-якого автоматизованого прийняття рішень, що відбувається на виключно алгоритмічній основі. Користувачам повинні бути надані контактні дані контролера даних і їхнього співробітника з питань захисту даних, де це застосовно. Користувачі повинні також бути проінформовані про їхні права відповідно до ЗРЗД, включаючи їхнє право відкликати свою згоду на опрацювання даних у будь-який час, їхнє право на перегляд своїх особистих даних та доступ до огляду про те, як вони опрацьовуються, право отримати копію збережених даних, на стирання даних за певних обставин, право оскаржити будь-яке автоматизоване прийняття рішень, зроблена виключно на алгоритмічній основі, і право подати скаргу до Органу захисту даних.^[22][23]

Багато ЗМІ прокоментували введення «права на пояснення» алгоритмічних рішень,^[24][25] але правознавці стверджують, що існування такого права є досить неясним без судового випробування і є щонайменше обмеженим.^[26][27]

Оцінка впливу захисту даних (стаття 35) має відбутися, якщо виникають конкретні ризики для прав і свобод суб'єктів даних. Оцінка ризиків і пом'якшення наслідків є обов'язковими, а для високих ризиків необхідне попереднього схвалення національних органів захисту даних (DPA).

Захист даних за призначенням і за замовчуванням

Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб захист даних був частиною розробки бізнес-процесів, продуктів і послуг. Налаштування конфіденційності, таким чином, повинні бути встановлені на високому рівні за замовчуванням, і контролер має здійснити технічні та процедурні заходи, щоб забезпечити дотримання регламенту упродовж усього життєвого циклу опрацювання даних. Контролери повинні також запровадити механізми, які гарантують, що персональні дані не опрацьовуються, якщо не є необхідні для кожної конкретної мети.

У доповіді^[28] Агентства Європейського Союзу з питань мережевої та інформаційної безпеки йдуться про те, що необхідно зробити для досягнення конфіденційності та захисту даних за замовчуванням. Зокрема вказано, що операції шифрування і дешифрування повинні проводитися локально, а не за допомогою дистанційного обслуговування, тому що і ключі, і дані повинні залишатися під впливом власника даних, якщо йдеться про забезпечення якоїсь конфіденційності. У доповіді уточнюється, що аутсорсинг зберігання даних на віддалених хмарах є практичним і відносно безпечним, лише якщо ключі дешифрування має власник даних, а не хмарний сервіс.

Використання псевдонімів

У ЗРЗД термін використання псевдонімів вживається для визначення процесу, необхідного для зберігання даних (як альтернатива іншому варіанту повної анонімізації даних),^[29] що передбачає перетворення персональних даних таким чином, що на основі отриманих даних не можна розпізнати конкретний суб'єкт даних без використання додаткової інформації. Прикладом є шифрування, яке робить вихідні дані незрозумілими, а цей процес не може бути скасований без доступу до правильного ключа дешифрування. ЗРЗД вимагає, щоб додаткова інформація (наприклад, ключ дешифрування) зберігалася окремо від псевдонімізованих даних.

Інший приклад використання псевдонімів є токенізація^[en], яка є не-математичним підходом до захисту даних-у-спокої^[en], який замінює конфіденційні дані на нечутливі замінники, що називаються токенами. Токени не мають зовнішнього чи використовного сенсу або значення. Токенізація не змінює тип чи довжину даних, що означає, що їх можуть опрацьовувати застарілі системи, такі як бази даних чутливі до довжини і типу даних.

Це вимагає набагато менше обчислювальних ресурсів для опрацювання та зберігання в базах даних, ніж традиційно зашифровані дані. Це досягається за рахунок того, що певні дані є повністю або частково видимі для опрацювання та аналізу, а важлива інформація прихована.

Використання псевдонімів рекомендується для зменшення ризиків для відповідних суб'єктів даних, а також щоб допомогти контролерам і операторам виконувати свої зобов'язання щодо захисту даних (пункт 28).

ЗРЗД рекомендує використовувати псевдоніми, щоб «знизити ризики для суб'єктів даних» (пункт 28).^[30]

Право на доступ

Право на доступ (ст. 15) є правом суб'єкта даних. Це дає громадянам право на доступ до своїх персональних даних та інформації про те, як ці персональні дані опрацьовуються. Контролер даних повинен надавати, за запитом, огляд категорій даних, які опрацьовуються (стаття 15(1)(b)), а також копію фактичних даних (стаття 15(3)). Крім того, контролер даних повинен повідомити суб'єкта даних про подробиці проведення опрацювання, такі як мета опрацювання (стаття 15(1)(a)), кому дані передаються (стаття 15(1)(c)), і яким чином дані було зібрано (стаття 15(1)(g)).

Суб'єкт даних повинен мати можливість передачі особистих даних з однієї електронної системи опрацювання до іншої без перешкод з боку контролера. Дані, які були в достатній мірі анонімізовані, виключаються, але дані, які були тільки де-ідентифіковано, але які все ще можна пов'язати з даною особою, наприклад, шляхом надання відповідного ідентифікатора, ні.^[31] Включаються і дані, «надані» суб'єктом даних, і дані, «зібрані спостереженням», наприклад, про поведінку. Крім того, відомості повинні бути надані контролером у структурованому загальноприйнятому електронному форматі. Право перенесення даних надається згідно зі статтею 20 ЗРЗД. Юридичні експерти бачать в остаточній версії цієї міри створене «нове право», що «виходить за рамки перенесення даних між двома контролерами, як це передбачено в [стаття 20]».^[32]

Право на стирання

Право на забуття замінене більш обмеженим правом на стирання у версії ЗРЗД, яка була прийнята Європейським парламентом у березні 2014 року.^[33][34] Стаття 17 передбачає, що суб'єкт даних має право вимагати вилучення персональних даних, пов'язаних з ним, на основі будь-якої з ряду причин, включаючи невідповідність статті 6(1) (законність), включно з випадком (f), якщо законні інтереси контролера перекриваються інтересами або фундаментальними правами та свободами суб'єкта даних, які вимагають захисту персональних даних (див. також справу Google Spain проти AEPD та Маріо Костехи Ґонсалеса^[en]).

Записи опрацювання даних

Кожний контролер повинен вести запис опрацювання даних, що має містити інформацію про цілі опрацювання, залучені категорії та передбачені терміни. Записи повинні бути надані наглядовому органу за запитом (стаття 30).^[16]

Співробітник з питань захисту даних

Якщо опрацювання здійснюється органами державної влади, за винятком судів або незалежної судової влади в межах їхньої судової спроможності, або якщо, в приватному секторі, опрацювання здійснюється за контролером, чия основна діяльність складається з операцій опрацювання, які вимагають регулярного і систематичного моніторингу суб'єктів даних, або при обробці великих масштабів спеціальних категорій даних відповідно до статті 9 і персональних даних, що стосуються судимості та правопорушень, зазначених в статті 10,^[16] контролеру або оператору має асистувати особа з експертними знаннями в галузі законодавства і практики щодо захисту даних.

Співробітник з питань захисту даних (англ. data protection officer) подібний до відповідального працівника і також має бути досвідченим у сфері управління ІТ-процесами, безпеки даних^[en] (включаючи заходи щодо кібератак) та інших критично важливих питань безперервності бізнесу щодо зберігання та опрацювання особистих і конфіденційних даних. Необхідні навички простягаються за межі розуміння нормативно-правової відповідності законам і правилам щодо захисту даних.

Більш детальна інформація про функції і роль співробітника з питань захисту даних подана у настановах від 13 грудня 2016 року (документ переглянуто 5 квітня 2017 року).^[35]

Порушення захисту даних

Згідно з ЗРЗД, контролер даних юридично зобов'язаний без зволікань повідомити наглядовий орган про порушення захисту даних, за винятком ситуацій, імовірність яких призвести до ризику для прав і свобод фізичних осіб низька. Повідомити про порушення захисту даних необхідно щонайбільше за 72 години після того, як про нього стало відомо (стаття 33). Фізичні особи повинні бути повідомлені, якщо передбачається несприятливий вплив (ст. 34). Крім того, оператор даних має одразу повідомити контролера після того, як стало відомо про порушення захисту персональних даних (стаття 33).

Однак, повідомляти суб'єктів персональних даних не вимагається, якщо контролер даних вжив відповідних технічних та організаційних заходів захисту, які роблять особисті дані недоступними для будь-якої людини, яка не має права доступу до неї, — таких як шифрування (стаття 34).^[16]

Санкції

Такі санкції можуть бути накладені:

• попередження в письмовій формі у випадках першого і ненавмисного недотримання
• регулярні періодичні перевірки захисту даних
• штраф до €10 млн або до 2 % щорічного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, абзац 5—6^[16])
  • обов'язки контролера й оператора згідно зі статтями 8, 11, 25—39, 42 та 43
  • обов'язки органу з сертифікації у відповідності зі статтями 42 та 43
  • обов'язки наглядового органу відповідно до статті 41(4)
• штраф у розмірі до €20 млн, або 4 % від річного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, пункт 4)
  • основні принципи опрацювання, в тому числі умови згоди, відповідно до статей 5, 6, 7 та 9
  • права суб'єктів даних у відповідності зі статтями 12—22
  • передача персональних даних одержувачу, що знаходиться в третій країні або міжнародній організації у відповідності зі статтями 44—49
  • будь-які зобов'язання згідно з національним законодавством членів, прийнятим у відповідності до розділу IX
  • недотримання вимоги або тимчасове чи остаточне обмеження на опрацювання або зупинення потоків даних наглядовим органом відповідно до статті 58(2) або відмова у наданні доступу, яка порушує статтю 58(1)

B2B маркетинг

ЗРЗД розрізняє B2C (англ. business to consumer, бізнес—споживачеві) і В2В (англ. business to business, бізнес—бізнесу) маркетинг. Згідно з ЗРЗД є шість підстав для опрацювання персональних даних, які є однаковою мірою чинними. Дві з них мають відношення до прямого маркетингу В2В, а саме згода або законний інтерес. У пункті 47 ЗРЗД говориться, що «опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу».^[36]

Використання законного інтересу як основи для B2B маркетингу включає забезпечення ключових умов:

• «Опрацювання повинне стосуватися законних інтересів вашого бізнесу або зазначеної третьої сторони, за умови, що інтереси або фундаментальні права суб'єкта даних не перекривають законний інтерес бізнесу».
• «Опрацювання повинне бути необхідним для досягнення законних інтересів організації».^[37]

Крім того, у статті 6.1(f) ЗРЗД стверджується, що опрацювання є законним, якщо воно: «є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина».

Європейська комісія зазначила, що «уніфіковані закони про конфіденційність даних дозволять створити надзвичайні можливості та мотивують інноваційний бізнес не тільки в Європі, але і організації, які готові вести бізнес з європейськими державами». Комісія передбачає, що компанії будуть підтримувати зв'язок і будувати взаємини щодо підтримки регулювання одна з одною, щоб забезпечити найкращі практики через legitimate balance checks.^[38]

Обмеження

Такі випадки не підпадають під дію регламенту^[39]:

• Законне перехоплення, національна безпека, військова техніка, поліція, юстиція;
• Статистичний та науковий аналіз;
• Померлі особи є суб'єктами національного законодавства;
• Існує спеціальний закон про трудові відносини;
• опрацювання персональних даних фізичною особою в ході суто особистої або побутової діяльності.

Можливість застосування за межами Європейського Союзу

ЗРЗД також застосовується до контролерів та обробників даних за межами Європейської економічної зони (ЄЕЗ), якщо вони займаються «пропозицією товарів або послуг» (незалежно від того, чи потрібна оплата) суб’єктам даних у межах ЄЕЗ, або здійснюють моніторинг поведінка суб’єктів даних у ЄЕЗ (стаття 3(2)). Регламент застосовується незалежно від того, де відбувається обробка.^[40] Це було інтерпретовано як навмисне надання ЗРЗД екстериторіальної юрисдикції^[en] установам, що не входять до ЄС, якщо вони ведуть бізнес з людьми, які знаходяться в ЄС. Викликає сумнів, чи зможе ЄС або його країни-члени на практиці застосувати ЗРЗД проти організацій, які не мають представництва в ЄС.^[41]

Представник у ЄС

Згідно зі статтею 27, контролери або оператори за межами ЄС, на які поширюється дія ЗРЗД, зобов'язані призначити уповноважену особу в Європейському Союзі, «Представника у ЄС», який слугуватиме контактною особою для виконання їхніх зобов'язань за регламентом. Представник у ЄС є контактною особою Контролера або Оператора по відношенню до європейських органів нагляду за дотриманням конфіденційності та суб'єктів даних з усіх питань, пов'язаних з обробкою, з метою забезпечення дотримання цього ЗРЗД. Роль Представника у ЄС може виконувати фізична (фізична) або юридична (юридична) особа:  Ст. 27(4) Контролер або Оператор з держави, що не є членом ЄС, повинна видати належним чином підписаний документ (лист про акредитацію), що призначає певну фізичну або юридичну особу своїм Представником у ЄС. Таке призначення може бути здійснене лише в письмовій формі.^[42]

Непризначення контролером або оператором Представника в ЄС вважається незнанням регламенту та відповідних зобов'язань, що саме по собі є порушенням ЗРЗД, за яке передбачено штраф у розмірі до €10 мільйонів або до 2% річного світового обороту за попередній фінансовий рік у випадку підприємства, залежно від того, яка сума є більшою. Умисний або необережний (навмисна сліпота) характер порушення (непризначення Представника в ЄС) може бути скоріше обтяжуючими факторами.

Контролери або Оператори не повинні призначати Представника в ЄС, якщо вони здійснюють лише епізодичну обробку, яка не включає в себе широкомасштабну обробку спеціальних категорій даних, зазначених у статті 9(1) ЗРЗД, або обробку персональних даних, що стосуються кримінальних засуджень та правопорушень, зазначених у статті 10, і така обробка навряд чи призведе до ризику для прав і свобод фізичних осіб, беручи до уваги характер, контекст, обсяг і цілі обробки. Органи державної влади та органи, що не є членами ЄС, також звільняються від цього правила.

Треті країни

Розділ V ЗРЗД забороняє передачу персональних даних суб’єктів даних із ЄС до країн за межами ЄЕЗ — відомих як треті країни — якщо тільки не застосовуються відповідні гарантії або Європейська комісія офіційно не вважає відповідними правила захисту даних третьої країни (стаття 45).^[43][44] Прикладами є обов’язкові корпоративні правила, стандартні договірні положення щодо захисту даних, укладені в Угоді про обробку даних (DPA), або схема обов’язкових зобов’язань, що підлягають виконанню контролером даних або обробником даних, який знаходиться в третій країні.^[45]

Помилкові уявлення

Існують поширені помилкові уявлення про ЗРЗД, які включають такі тези:

• Будь-яка обробка персональних даних вимагає згоди суб’єкта даних
  • Насправді дані можуть оброблятися без згоди, якщо застосовується одна з інших п’яти законних підстав для обробки, і отримання згоди часто може бути недоречним.^[46]
• Люди мають абсолютне право на видалення своїх даних (право бути забутим)
  • Хоча існує абсолютне право відмовитися від прямого маркетингу, контролери даних можуть продовжувати обробляти персональні дані, якщо вони мають для цього законні підстави, доки дані залишаються необхідними для мети, для якої вони були спочатку зібрані.^[47]
• Видалення імен осіб із записів виводить їх із сфери дії ЗРЗД
  • «Псевдонімні» дані, де особа ідентифікується за номером, все ще можуть бути особистими даними, якщо контролер даних може зв’язати ці дані з особою іншим способом.^[48]
• ЗРЗД поширюється на всіх, хто обробляє персональні дані громадян ЄС у будь-якій точці світу
  • Насправді це стосується організацій, зареєстрованих за межами ЄС, лише якщо вони обробляють дані суб’єктів даних, які знаходяться в ЄС (незалежно від їхнього громадянства), і лише тоді, коли постачають їм товари чи послуги або контролюють їхню поведінку.^[49]

Сприйняття

Відповідно до дослідження, проведеного компанією Deloitte у 2018 році, 92% компаній вважають, що вони здатні дотримуватися ЗРЗД у своїй бізнес-практикі в довгостроковій перспективі.^[50]

Компанії, які працюють за межами ЄС, інвестували значні кошти, щоб узгодити свою бізнес-практику з ЗРЗД. Сфера згоди ЗРЗД має ряд наслідків для компаній, які записують дзвінки на практиці. Типова відмова від відповідальності вважається недостатньою для отримання передбачуваної згоди на запис дзвінків. Крім того, коли запис розпочато, якщо абонент відкликає свою згоду, агент, який приймає дзвінок, повинен мати можливість зупинити раніше розпочатий запис і переконатися, що запис не був збережений.^[51]

ІТ-фахівці очікують, що дотримання ЗРЗД потребуватиме додаткових інвестицій: понад 80 відсотків опитаних очікують, що витрати, пов’язані з ЗРЗД, становитимуть щонайменше 100 000 доларів США.^[52] Ці занепокоєння були відображені у звіті, підготовленому на замовлення юридичної фірми Baker & McKenzie, згідно з яким «близько 70 відсотків респондентів вважають, що організаціям потрібно буде інвестувати додатковий бюджет/зусилля, щоб відповідати вимогам щодо згоди, відображення даних і транскордонної передачі даних. відповідно до ЗРЗД».^[53] Загальні витрати для компаній ЄС оцінюються в 200 мільярдів євро, тоді як для компаній США оцінка становить 41,7 мільярдів доларів.^[54] Стверджувалося, що невеликі підприємства та стартапи можуть не мати фінансових ресурсів, щоб належним чином дотримуватися ЗРЗД, на відміну від великих міжнародних технологічних компаній (таких як Facebook і Google), на які цей регламент нібито спрямований у першу чергу.^[55][56] Відсутність знань і розуміння правил також викликало занепокоєння напередодні його прийняття.^[57] Контраргументом на це було те, що компанії були повідомлені про ці зміни за два роки до того, як вони набули чинности, і мали мати достатньо часу для підготовки.^[58]

Правила, включно з тим, чи має підприємство мати спеціаліста із захисту даних, піддавалися критиці через потенційне адміністративне навантаження та нечіткі вимоги дотримання.^[59] Хоча мінімізація даних є вимогою, а псевдонімізація є одним із можливих засобів, регламент не містить вказівок щодо того, як і що є ефективною схемою деідентифікації даних, із сірою зоною щодо того, що вважатиметься неадекватною псевдонімізацією відповідно до Розділу 5. виконавчі дії.^[60][61][62] Існує також занепокоєння щодо впровадження ЗРЗД у системах блокчейн, оскільки прозорий і фіксований запис транзакцій блокчейну суперечить самій природі ЗРЗД.^[63] Багато засобів масової інформації коментували запровадження «права на пояснення » алгоритмічних рішень,^[64][65] але вчені-юристи з того часу стверджували, що існування такого права є дуже незрозумілим без судових перевірок і в кращому випадку обмежене.^[66][67]

ЗРЗД заручився підтримкою компаній, які розглядають його як можливість покращити управління даними.^[68][69] Марк Цукерберг також назвав це «дуже позитивним кроком для Інтернету»^[70] і закликав прийняти в США закони типу ЗРЗД.^[71] Групи захисту прав споживачів, такі як Європейська організація споживачів, є одними з найактивніших прихильників регламенту ^[72] Інші прихильники приписують його проходження інформатору Едварду Сноудену.^[73] Прихильник вільного програмного забезпечення Річард Столман високо оцінив деякі аспекти ЗРЗД, але закликав до додаткових гарантій, щоб запобігти «згоді на виробництво» технологічними компаніями.^[74]

Вплив

Наукові експерти, які брали участь у розробці ЗРЗД, написали, що закон «є найбільш значущим регуляторним процесом в інформаційній політиці за покоління. ЗРЗД вводить персональні дані в складний і захисний регуляторний режим».^[75]

Незважаючи на те, що у них було щонайменше два роки, щоб підготуватися та зробити це, багато компаній і вебсайтів змінили свою політику конфіденційності та функції по всьому світу безпосередньо перед запровадженням ЗРЗД, і зазвичай надсилали електронні листи та інші сповіщення з обговоренням цих змін. Це було піддано критиці через виснажливу кількість повідомлень, тоді як експерти відзначили, що деякі електронні листи з нагадуваннями неправильно стверджували, що нову згоду на обробку даних необхідно отримати, коли ЗРЗД набуде чинності (будь-яка раніше отримана згода на обробку дійсна, доки вона відповідає вимогам регламенту). Фішингові шахрайства також з’являлися з використанням фальсифікованих версій електронних листів, пов’язаних із ЗРЗД, і також стверджувалося, що деякі електронні листи з повідомленнями ЗРЗД, можливо, насправді були надіслані з порушенням законів про боротьбу зі спамом.^[76][77] У березні 2019 року постачальник програмного забезпечення для відповідності виявив, що багато вебсайтів, якими керують уряди держав-членів ЄС, містять вбудоване відстеження від постачальників рекламних технологій.^[78][79]

Потік повідомлень, пов’язаних із ЗРЗД, також створив меми, включно з повідомленнями про політику конфіденційності, які доставлялися нетиповими засобами (наприклад, дошкою Віджа або початковими титрами «Зоряних війн»), що свідчить про те, що список Санта-Клауса «неслухняний або добрий» був порушенням, а також запис уривків з регламенту, зроблений колишнім диктором BBC Radio 4 Shipping Forecast. Також було створено блог «Зал ганьби ЗРЗД», який демонструє незвичні способи доставки повідомлень ЗРЗД та спроби дотримання вимог регламенту, які містили кричущі порушення вимог регламенту. Його автор зауважив, що регламент «містить багато дріб'язкових, прихованих деталей, але мало інформації про те, як його дотримуватися», але також визнав, що бізнес має два роки на дотримання вимог, що робить деякі з його блогів невиправданими.^{[80][81][82][83][84]}

З дати набуття чинности деякі вебсайти почали повністю блокувати відвідувачів із країн ЄС (зокрема Instapaper,^[85] Unroll.me,^[86] і газети, що належать Tribune Publishing, такі як Chicago Tribune і Los Angeles Times) або перенаправляти їх до скорочених версій своїх послуг (у випадку National Public Radio та USA Today) з обмеженою функціональністю та/або без реклами, тому вони не будуть нести відповідальности.^{[87][88][89][90]} Деякі компанії, такі як Klout і кілька онлайн-відеоігор, повністю припинили свою діяльність, щоб збігтися з його впровадженням, посилаючись на GDPR як тягар для їхньої подальшої діяльності, особливо через бізнес-модель першої.^[91][92][93] Обсяг розміщення поведінкової онлайн-реклами в Європі впав на 25–40% 25 травня 2018 року.^[94][95]

У 2020 році, через два роки після початку впровадження ЗРЗД, Європейська комісія оцінила, що користувачі в ЄС покращили свої знання про свої права, заявивши, що «69% населення ЄС старше 16 років чули про ЗРЗД і 71% людей чули про свій національний орган із захисту даних».^[96][97] Комісія також виявила, що конфіденційність стала конкурентною якістю для компаній, яку споживачі враховують у своїх процесах прийняття рішень.^[96]

Брюссельський ефект

Масове впровадження цих нових стандартів конфіденційности транснаціональними компаніями було названо прикладом «брюссельського ефекту^[en]», явища, коли європейські закони та правила використовуються як базові через їх важливість.^[98]

28 червня 2018 року штат Каліфорнія прийняв Каліфорнійський закон про конфіденційність споживачів, який набув чинности 1 січня 2020 року; він надає права на прозорість і контроль над збором особистої інформації компаніями подібно до ЗРЗД. Критики стверджують, що такі закони мають бути впроваджені на федеральному рівні, щоб бути ефективними, оскільки збірка законів на рівні штату матиме різні стандарти, що ускладнить дотримання.^{[99][100][101]} Відтоді два інших штати США прийняли подібне законодавство: Вірджинія прийняла Закон про конфіденційність даних споживачів 2 березня 2021 року^[102], а Колорадо прийняв Закон Колорадо про конфіденційність 8 липня 2021 року.^[103]

Турецька Республіка, кандидат на членство в Європейському Союзі, прийняла Закон про захист персональних даних 24 березня 2016 року відповідно до Acquis communautaire.^[104]

Закон Китаю про захист персональних даних від 2021 року є першим у країні всеосяжним законом про права на персональні дані, створений за зразком ЗРЗД.^[105]

Швейцарія також прийме новий закон про захист даних, який в основному відповідатиме ЗРЗД.^[106]

З додаванням закордонних регіонів Європейського Союзу, які приєднуються до неурядових організацій (НУО) у Карибському регіоні, таких як Організація східно-карибських держав, стало необхідним враховувати правила ЗРЗД через відсутність будь-якого чинного законодавства в щодо прав на конфіденційність і дотримання законів цих зовнішніх регіонів.^[107]

Перегляди сайтів та дохід

Дослідження 2024 року показало, що ЗРЗД зменшив як кількість переглядів сторінок вебсайтів користувачами з ЄС, так і дохід веб-сайтів на 12%.^[108]

Єдиний цифровий ринок

Стратегія єдиного цифрового ринку ЄС стосується діяльності «цифрової економіки», пов’язаної з підприємствами та людьми в ЄС.^[109] Як частина стратегії, ЗРЗД і Директива NIS застосовуються з 25 травня 2018 року. Планувалося, що запропонований Регламент про електронну приватність також набуде чинності з 25 травня 2018 року, але це було відкладено.^[110] Регламент eIDAS також є частиною стратегії.

У початковій оцінці Європейська рада заявила, що ЗРЗД слід розглядати як «передумову для розробки майбутніх ініціатив цифрової політики».^[111]

Див. також

• Портал «Європейський Союз»
• Портал «Право»

• California Consumer Privacy Act (CCPA)
• Конфіденційність даних між ЄС і США
• Конвенція про кіберзлочинність

Примітки

1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex, « 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf [Архівовано 6 серпня 2018 у Wayback Machine.]
2. GDPR Portal: Site Overview. General Data Protection Regulation (GDPR) (амер.). Архів оригіналу за 24 квітня 2020. Процитовано 3 травня 2018.
3. Art. 99 GDPR – Entry into force and application | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR) (амер.). Архів оригіналу за 26 червня 2018. Процитовано 3 травня 2018.
4. EUR-Lex - 31995L0046 - EN - EUR-Lex. eur-lex.europa.eu. Архів оригіналу за 29 грудня 2017. Процитовано 23 травня 2018.
5. Blackmer, W.S. (5 травня 2016). GDPR: Getting Ready for the New EU General Data Protection Regulation. Information Law Group. InfoLawGroup LLP. Архів оригіналу за 14 травня 2018. Процитовано 22 червня 2016.
6. Стаття 25. Захист даних за призначенням і за замовчуванням | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019.
7. Стаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019.
8. Стаття 33. Нотифікація наглядового органу про порушення захисту персональних даних | GDPR-Text.com. GDPR 🕮 Text (рос.). 14 жовтня 2019. Процитовано 1 грудня 2019.
9. Ryngaert, C & Taylor, M 2020, ‘The GDPR as Global Data Protection Regulation?’, AJIL unbound, vol. 114, pp. 5–9.
10. The UK GDPR. Information Commissioner's Office ico. 28 червня 2021. Процитовано 3 травня 2024.
11. Francesca Lucarini, "The differences between the California Consumer Privacy Act and the GDPR" [Архівовано 12 липня 2020 у Wayback Machine.], Adviser
12. „Inofficial [Архівовано 31 грудня 2013 у Wayback Machine.] consolidated version GDPR“. Rapporteur Jan Philipp Albrecht^[en]. Retrieved 9 December 2013.
13. Proposal for the EU General Data Protection Regulation [Архівовано 3 грудня 2012 у Wayback Machine.]. European Commission. 25 January 2012. Retrieved 3 January 2013.
14. Стаття 3(2): Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з: (a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або (b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу.
15. European Commission's press release announcing the proposed comprehensive reform of data protection rules [Архівовано 24 березня 2018 у Wayback Machine.]. 25 January 2012. Retrieved 3 January 2013.
16. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням п ерсональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (PDF). kmu.gov.ua (укр.). Архів оригіналу (PDF) за 26 травня 2018.
17. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA. 4 травня 2016.
18. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
19. У разі застосування пункту (а) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини. Держави-члени можуть передбачити в законі нижчий вік для такої мети за умови, що такий вік не менше 13 років.»
20. «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide» [Архівовано 17 лютого 2021 у Wayback Machine.]. Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
21. How Smart Businesses Can Avoid GDPR Penalties When Recording Calls. www.xewave.io (брит.). Архів оригіналу за 14 квітня 2018. Процитовано 13 квітня 2018.
22. Privacy notices under the EU General Data Protection Regulation. ico.org.uk (англ.). 19 січня 2018. Архів оригіналу за 23 травня 2018. Процитовано 22 травня 2018.
23. What information must be given to individuals whose data is collected?. European Commission - European Commission (англ.). Архів оригіналу за 23 травня 2018. Процитовано 23 травня 2018.
24. editor, Ian Sample Science (27 січня 2017). AI watchdog needed to regulate automated decision-making, say experts. The Guardian (брит.). ISSN 0261-3077. Архів оригіналу за 18 червня 2017. Процитовано 15 липня 2017.
25. EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence. www.techzone360.com (англ.). Архів оригіналу за 4 серпня 2017. Процитовано 15 липня 2017.
26. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 грудня 2016). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. Архів оригіналу за 4 березня 2021. Процитовано 23 травня 2018 — через SSRN.
27. Edwards, Lilian; Veale, Michael (2017). Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for. Duke Law and Technology Review. doi:10.2139/ssrn.2972855. SSRN 2972855.
28. Privacy and Data Protection by Design — ENISA. www.enisa.europa.eu (брит.). Архів оригіналу за 5 квітня 2017. Процитовано 4 квітня 2017.
29. Data science under GDPR with pseudonymization in the data pipeline [Архівовано 18 квітня 2018 у Wayback Machine.] Published by Dativa, 17 April, 2018
30. Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization. iapp.org. Архів оригіналу за 19 лютого 2018. Процитовано 23 травня 2018.
31. Article 29 Working Party (2017). Guidelines on the right to data portability. European Commission. Архів оригіналу за 29 червня 2017. Процитовано 23 травня 2018.
32. The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4. Bloomberg BNA. 12 лютого 2016. Архів оригіналу за 19 квітня 2016. Процитовано 23 травня 2018.(Note that the Article 18 in the draft GDPR became Article 20 in the final version.)
33. Baldry, Tony; Hyams, Oliver. The Right to Be Forgotten. 1 Essex Court. Архів оригіналу за 19 жовтня 2017. Процитовано 23 травня 2018.
34. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). European Parliament. Архів оригіналу за 5 червня 2014. Процитовано 23 травня 2018.
35. Guidelines on Data Protection Officers. Архів оригіналу за 29 червня 2017. Процитовано 27 серпня 2017.
36. What’s new under the GDPR?. ico.org.uk. 22 березня 2018. Архів оригіналу за 18 травня 2018. Процитовано 23 травня 2018.
37. Архівована копія (PDF). Архів оригіналу (PDF) за 18 травня 2018. Процитовано 23 травня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
38. How do we apply legitimate interests in practice?. ico.org.uk. 22 березня 2018. Архів оригіналу за 22 травня 2018. Процитовано 23 травня 2018.
39. Стаття 2. Матеріальна сфера дії | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019.
40. The (Extra) Territorial Scope of the GDPR: The Right to Be Forgotten. Fasken.com (англ.). 28 листопада 2019. Архів оригіналу за 21 лютого 2020. Процитовано 21 лютого 2020.
41. Extraterritorial Scope of GDPR: Do Businesses Outside the EU Need to Comply? (англ.). American Bar Association. Архів оригіналу за 21 лютого 2020. Процитовано 21 лютого 2020.
42. Шаблон:CELEX
43. UK: Understanding the full impact of Brexit on UK: EU data flows. Privacy Matters (амер.). DLA Piper. 23 вересня 2019. Архів оригіналу за 20 лютого 2020. Процитовано 20 лютого 2020.
44. Palmer, Danny. On data protection, the UK says it will go it alone. It probably won't. ZDNet (англ.). Архів оригіналу за 16 лютого 2020. Процитовано 20 лютого 2020.
45. Donnelly, Conor (18 січня 2018). How to transfer data to a 'third country' under the GDPR. IT Governance Blog En (брит.). Архів оригіналу за 21 лютого 2020. Процитовано 21 лютого 2020.
46. Data sharing myths busted. Information Commissioner's Office. 19 травня 2023. Процитовано 19 жовтня 2023.
47. Top nine GDPR myths busted. WS Law. 22 січня 2019. Процитовано 19 жовтня 2023.
48. Five GDPR myth-busters. Field Fisher. 11 травня 2023. Процитовано 19 жовтня 2023.
49. Article 3 (2) of the GDPR
50. Gooch, Peter (2018). A new era for privacy - GDPR six months on (PDF). Deloitte UK. Архів (PDF) оригіналу за 12 жовтня 2020. Процитовано 26 листопада 2020.
51. How Smart Businesses Can Avoid GDPR Penalties When Recording Calls. xewave.io. Архів оригіналу за 14 квітня 2018. Процитовано 13 квітня 2018.
52. Babel, Chris (11 липня 2017). The High Costs of GDPR Compliance. InformationWeek. UBM Technology Group. Архів оригіналу за 5 жовтня 2017. Процитовано 4 жовтня 2017.
53. Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield (PDF). bakermckenzie.com. Baker & McKenzie. 4 травня 2016. Архів (PDF) оригіналу за 31 серпня 2018. Процитовано 4 жовтня 2017.
54. Georgiev, Georgi. GDPR Compliance Cost Calculator. GIGAcalculator.com. Архів оригіналу за 16 травня 2018. Процитовано 16 травня 2018.
55. Solon, Olivia (19 квітня 2018). How Europe's 'breakthrough' privacy law takes on Facebook and Google. The Guardian. Архів оригіналу за 26 травня 2018. Процитовано 25 травня 2018.
56. Europe's new privacy rules are no silver bullet. Politico.eu. 22 квітня 2018. Архів оригіналу за 26 травня 2018. Процитовано 25 травня 2018.
57. Lack of GDPR knowledge is a danger and an opportunity. MicroscopeUK. Архів оригіналу за 26 травня 2018. Процитовано 25 травня 2018.
58. Jeong, Sarah (22 травня 2018). No one's ready for GDPR. The Verge. Архів оригіналу за 28 травня 2018. Процитовано 1 червня 2018.
59. Edwards, Elaine (22 лютого 2018). New rules on data protection pose compliance issues for firms. The Irish Times. Архів оригіналу за 26 травня 2018. Процитовано 25 травня 2018.
60. Wes, Matt (25 квітня 2017). Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization. IAPP. Архів оригіналу за 19 лютого 2018. Процитовано 19 лютого 2018.
61. Chassang, Gauthier (2017). The impact of the EU general data protection regulation on scientific research. ecancermedicalscience. 11: 709. doi:10.3332/ecancer.2017.709. ISSN 1754-6605. PMC 5243137. PMID 28144283.
62. Tarhonen, Laura (2017). Pseudonymisation of Personal Data According to the General Data Protection Regulation. Архів оригіналу за 19 лютого 2018. Процитовано 19 лютого 2018.
63. A recent report issued by the Blockchain Association of Ireland has found there are many more questions than answers when it comes to GDPR. siliconrepublic.com. 23 листопада 2017. Архів оригіналу за 5 березня 2018. Процитовано 5 березня 2018.
64. Sample, Ian (27 січня 2017). AI watchdog needed to regulate automated decision-making, say experts. The Guardian. ISSN 0261-3077. Архів оригіналу за 18 червня 2017. Процитовано 15 липня 2017.
65. EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence. techzone360.com. Архів оригіналу за 4 серпня 2017. Процитовано 15 липня 2017.
66. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 грудня 2016). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. International Data Privacy Law. SSRN 2903469.
67. Edwards, Lilian; Veale, Michael (2017). Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for. Duke Law and Technology Review. doi:10.2139/ssrn.2972855. SSRN 2972855.
68. Frimin, Michael (29 березня 2018). Five benefits GDPR compliance will bring to your business. Forbes. Архів оригіналу за 12 вересня 2018. Процитовано 11 вересня 2018.
69. Butterworth, Trevor (23 травня 2018). Europe's tough new digital privacy law should be a model for US policymakers. Vox. Архів оригіналу за 12 вересня 2018. Процитовано 11 вересня 2018.
70. Jaffe, Justin; Hautala, Laura (25 травня 2018). What the GDPR means for Facebook, the EU and you. CNET. Архів оригіналу за 12 вересня 2018. Процитовано 11 вересня 2018.
71. Facebook CEO Zuckerberg's Call for GDPR Privacy Laws Raises Questions. www.cnbc.com. April 2019. Архів оригіналу за 4 квітня 2019. Процитовано 8 квітня 2019.
72. Tiku, Nitasha (19 березня 2018). Europe's new privacy law will change the web, and more. Wired. Архів оригіналу за 15 жовтня 2018. Процитовано 11 вересня 2018.
73. Kalyanpur, Nikhil; Newman, Abraham (25 травня 2018). Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened. The Washington Post. Архів оригіналу за 11 жовтня 2018. Процитовано 11 вересня 2018.
74. Stallman, Richard (3 квітня 2018). A radical proposal to keep your personal data safe. The Guardian. Архів оригіналу за 12 вересня 2018. Процитовано 11 вересня 2018.
75. Hoofnagle, Chris Jay; van der Sloot, Bart; Borgesius, Frederik Zuiderveen (10 лютого 2019). The European Union general data protection regulation: what it is and what it means. Information & Communications Technology Law. 28 (1): 65—98. doi:10.1080/13600834.2019.1573501. {{cite journal}}: |hdl-access= вимагає |hdl= (довідка)
76. Afifi-Sabet, Keumars (3 травня 2018). Scammers are using GDPR email alerts to conduct phishing attacks. IT PRO. Архів оригіналу за 26 травня 2018. Процитовано 25 травня 2018.
77. Hern, Alex (21 травня 2018). Most GDPR emails unnecessary and some illegal, say experts. The Guardian. Архів оригіналу за 28 травня 2018. Процитовано 28 травня 2018.
78. EU gov't and public health sites are lousy with adtech, study finds. TechCrunch. 18 березня 2019. Архів оригіналу за 10 квітня 2021. Процитовано 18 березня 2019.
79. EU citizens being tracked on sensitive government websites. Financial Times. 18 березня 2019. Архів оригіналу за 19 березня 2019. Процитовано 18 березня 2019.
80. Fall asleep in seconds by listening to a soothing voice read the EU's new GDPR legislation. The Verge. Архів оригіналу за 17 червня 2018. Процитовано 16 червня 2018.
81. How Europe's GDPR Regulations Became a Meme. Wired. Архів оригіналу за 18 червня 2018. Процитовано 17 червня 2018.
82. The Internet Created a GDPR-Inspired Meme Using Privacy Policies. Adweek. Архів оригіналу за 17 червня 2018. Процитовано 17 червня 2018.
83. Burgess, Matt. Help, my lightbulbs are dead! How GDPR became bigger than Beyonce. Wired.co.uk. Архів оригіналу за 19 червня 2018. Процитовано 17 червня 2018.
84. Here Are Some of the Worst Attempts At Complying with GDPR. Motherboard. 25 травня 2018. Архів оригіналу за 18 червня 2018. Процитовано 17 червня 2018.
85. Instapaper is temporarily shutting off access for European users due to GDPR. The Verge. Архів оригіналу за 24 травня 2018. Процитовано 24 травня 2018.
86. Unroll.me to close to EU users saying it can't comply with GDPR. TechCrunch. 5 травня 2018. Архів оригіналу за 30 травня 2018. Процитовано 29 травня 2018.
87. Hern, Alex; Waterson, Jim (24 травня 2018). Sites block users, shut down activities and flood inboxes as GDPR rules loom. The Guardian. Архів оригіналу за 24 травня 2018. Процитовано 25 травня 2018.
88. Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules. Bloomberg L.P. 25 травня 2018. Архів оригіналу за 25 травня 2018. Процитовано 26 травня 2018.
89. U.S. News Outlets Block European Readers Over New Privacy Rules. The New York Times. 25 травня 2018. ISSN 0362-4331. Архів оригіналу за 26 травня 2018. Процитовано 26 травня 2018.
90. Look: Here's what EU citizens see now that GDPR has landed. Advertising Age. Архів оригіналу за 25 травня 2018. Процитовано 26 травня 2018.
91. Tiku, Nitasha (24 травня 2018). Why Your Inbox Is Crammed Full of Privacy Policies. Wired. Архів оригіналу за 24 травня 2018. Процитовано 25 травня 2018.
92. Chen, Brian X. (23 травня 2018). Getting a Flood of G.D.P.R.-Related Privacy Policy Updates? Read Them. The New York Times. ISSN 0362-4331. Архів оригіналу за 24 травня 2018. Процитовано 25 травня 2018.
93. Lanxon, Nate (25 травня 2018). Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules. Bloomberg. Архів оригіналу за 25 травня 2018. Процитовано 25 травня 2018.
94. GDPR mayhem: Programmatic ad buying plummets in Europe. Digiday. 25 травня 2018. Архів оригіналу за 25 травня 2018. Процитовано 26 травня 2018.
95. Skiera, Bernd; Miller, Klaus Matthias; Jin, Yuxi; Kraft, Lennart; Laub, René; Schmitt, Julia (5 липня 2022). The impact of the GDPR on the online advertising market. Frankfurt am Main: Bernd Skiera. ISBN 978-3-9824173-0-1. OCLC 1322186902.
96. Press corner. European Commission - European Commission (англ.). Архів оригіналу за 27 грудня 2020. Процитовано 18 вересня 2020.
97. Your rights matter: Data protection and privacy - Fundamental Rights Survey. European Union Agency for Fundamental Rights (англ.). 12 червня 2020. Архів оригіналу за 25 вересня 2020. Процитовано 18 вересня 2020.
98. Roberts, Jeff John (25 травня 2018). The GDPR Is in Effect: Should U.S. Companies Be Afraid?. Архів оригіналу за 28 травня 2018. Процитовано 28 травня 2018.
99. Commentary: California's New Data Privacy Law Could Begin a Regulatory Disaster. Fortune. Архів оригіналу за 10 квітня 2019. Процитовано 10 квітня 2019.
100. California Unanimously Passes Historic Privacy Bill. Wired. Архів оригіналу за 29 червня 2018. Процитовано 29 червня 2018.
101. Marketers and tech companies confront California's version of GDPR. Архів оригіналу за 29 червня 2018. Процитовано 29 червня 2018.
102. Virginia passes the Consumer Data Protection Act. International Association of Privacy Professionals. 3 березня 2021. Архів оригіналу за 30 серпня 2021. Процитовано 26 серпня 2021.
103. Colorado Privacy Act becomes law. International Association of Privacy Professionals. 8 липня 2021. Архів оригіналу за 26 серпня 2021. Процитовано 26 серпня 2021.
104. KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | History. www.kvkk.gov.tr. Процитовано 19 грудня 2020.
105. Zhang, Angela Huyue (2024). High Wire: How China Regulates Big Tech and Governs Its Economy. Oxford University Press. ISBN 9780197682258.
106. Portal, S. M. E. New Federal Act on Data Protection (nFADP). www.kmu.admin.ch (англ.). Архів оригіналу за 25 березня 2023. Процитовано 25 березня 2023.
107. writer, Staff (23 січня 2020). The European Union (EU) General Data Protection Regulation (GDPR) in the Caribbean Context. www.carib-export.com (Press Release). Carib-Export. Процитовано 12 січня 2025.
108. Goldberg, Samuel G.; Johnson, Garrett A.; Shriver, Scott K. (2024). Regulating Privacy Online: An Economic Evaluation of the GDPR. American Economic Journal: Economic Policy (англ.). 16 (1): 325—358. doi:10.1257/pol.20210309. ISSN 1945-7731.
109. Digital Single Market. Digital Single Market. Архів оригіналу за 8 жовтня 2017. Процитовано 5 жовтня 2017.
110. What does the ePrivacy Regulation mean for the online industry? – ePrivacy. www.eprivacy.eu. Архів оригіналу за 22 травня 2018. Процитовано 26 травня 2018.
111. Council position and findings on the application of the General Data Protection Regulation (GDPR), 19 December 2019. Consilium. Архів оригіналу за 23 грудня 2019. Процитовано 23 грудня 2019.

Посилання

• Регламент (ЄС) 2016/679 Європейського парламенту та Ради [Архівовано 26 травня 2018 у Wayback Machine.] від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (укр.)
• Згода суб’єкта персональних даних // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 280. — ISBN 978-617-7627-10-3.
• Загальний регламент про захист даних (ЗРЗД) [Архівовано 3 червня 2021 у Wayback Machine.]
• Сторінка захисту даних ЄС [Архівовано 2 січня 2018 у Wayback Machine.] (англ.)
• Загальний регламент про захист даних, фінальна версія від 27 квітня 2016 [Архівовано 24 травня 2018 у Wayback Machine.] (PDF) (англ.)
• Інші мовні версії у форматах HTML та PDF [Архівовано 27 травня 2018 у Wayback Machine.]
• Процедура 2012/0011/COD [Архівовано 20 червня 2018 у Wayback Machine.]
• 2012/0011(COD) — Захист персональних даних: опрацювання та вільний рух даних (General Data Protection Regulation) [Архівовано 12 жовтня 2018 у Wayback Machine.]