Загальний регламент про захист даних

Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) — регламент в межах законодавства Європейського Союзу щодо захисту персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони. Він також стосується експорту персональних даних за межі ЄС і ЄЕЗ. GDPR покликаний насамперед надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.^[1]

Регламент замінює Директиву про захист даних і містить положення і вимоги щодо опрацювання особової інформації суб'єктів даних всередині Європейського Союзу. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням»^[2], що означає, що персональні дані необхідно зберігати з використанням псевдонімів чи повної анонімізації та використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли бути використані для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.

Контролер персональних даних має чітко заявити, які дані збирає і як, чому їх опрацьовує, як довго зберігає і чи ділиться ними з будь-якими третіми сторонами^[3]. Користувачі мають право запросити мобільну копію даних, зібраних оператором, у загальноприйнятому форматі, і право на вилучення їхніх даних за певних обставин. Державні органи, а також підприємства, чия основна діяльність стосується регулярного чи систематичного опрацювання персональних даних, зобов'язані мати посаду співробітника з питань захисту даних (англ. data protection officer, DPO), який стежить за дотриманням GDPR. Підприємства повинні повідомляти про будь-яке порушення захисту даних, яке має негативний вплив на конфіденційність користувачів, упродовж 72 годин^[4].

Регламент було прийнято 14 квітня 2016 року^[5], набрав чинності 24 травня 2016 року (на 20-й день після офіційного опублікування в «Офіційному віснику Європейського Союзу») і після дворічного перехідного періоду почав застосовуватися 25 травня 2018.^[6][7] Оскільки GDPR — це регламент, а не директива, він не вимагає від національних урядів прийняття законів, які уможливлюють його дію, і є безпосередньо зобов'язальним і застосовним.^[8]

Зміст

Регламент містить такі основні вимоги:^[9][10]

Сфера застосування

Регламент застосовується, якщо контролер даних (організація, яка збирає дані від резидентів ЄС) або оператор (організація, яка опрацьовує дані від імені контролера даних, як-то постачальники хмарних послуг), або суб'єкт даних (особа) базуються в ЄС. За певних обставин^[11], дія цього регламенту також поширюється на організації, що базуються за межами ЄС, якщо вони збирають чи опрацьовують особисті дані фізичних осіб, розташованих в межах ЄС.

Згідно з визначенням Європейської комісії, «персональні дані — це будь-яка інформація щодо фізичної особи, не залежно від того, чи вона стосується його/її особистого, професійного чи суспільного життя. Це може бути що завгодно, зокрема: ім'я, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп'ютера».^[12]

Регламент не претендує на те, щоб застосуватися до опрацювання персональних даних для національної безпеки та правоохоронної діяльності ЄС; однак певні групи, стурбовані потенційним конфліктом правових норм, висловили сумнів, чи не може стаття 48 GDPR^[13] бути використаною, щоб запобігти передачі персональних даних резидентів ЄС від контролера даних, який підлягає юрисдикції третьої країни, до правоохоронних, судових органів чи органів національної безпеки цієї країни на їхню офіційну вимогу, незалежно від того, чи знаходяться дані в ЄС чи за його межами. Стаття 48 зазначає, що „будь-яке рішення суду або трибуналу та будь-яке рішення адміністративного органу в третій країні, що вимагає від контролера або оператора передати чи розкрити персональні дані, може бути визнане чи виконане у будь-який спосіб, якщо воно базується на міжнародній угоді, такій як договір про взаємну правову допомогу, яка є чинною для третьої країни, що подає запит, і Союзом або державою-членом, без обмеження інших підстав для передавання відповідно до цієї глави“. Пакет реформи захисту даних також включає окрему Директиву про захист даних для поліції та кримінального правосуддя,^[14] яка містить правила обміну персональними даними на національному, європейському і міжнародному рівнях.

Єдиний звід правил буде поширюватися на всі держави-члени ЄС. Кожна держава-учасниця має створити незалежний наглядовий орган, що заслуховуватиме і розглядатиме скарги, здійснюватиме стягнення за адміністративні правопорушення та ін. Наглядовий орган у кожній державі-члені буде співпрацювати з іншими наглядовими органами, надаючи взаємну допомогу й організовуючи спільні операції. Якщо підприємство має кілька осідків в ЄС, єдиний наглядовий орган буде для нього „керівним органом“, за місцем знаходження його „головного осідку“, де відбувається основне опрацювання. Провідний орган буде діяти в якості „єдиного вікна“, щоб контролювати всі операції цього підприємства з опрацювання даних на всій території ЄС^[15] (статті 46-55 з GDPR). Європейська рада захисту даних (EDPB) буде координувати наглядові органи. EDPB замінить Робочу групу захисту даних, що діє згідно зі статтею 29. Є винятки для даних, що опрацьовуються у контексті трудових відносин або національної безпеки, які все ще можуть бути предметом регуляції окремих країн (статті 2(2)(А) і 88 GDPR).

Законні підстави для опрацювання

Опрацювання є законним, лише за умови виконання принаймні однієї з наведених нижче умов:^[13]

• суб'єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
• опрацювання є необхідним для виконання контракту, стороною якого є суб'єкт даних, або для вжиття дій на запит суб'єкта даних до укладення договору;
• опрацювання є необхідним для дотримання встановленого законом зобов'язання, яке поширюється на контролера;
• опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб'єкта даних або іншої фізичної особи;
• опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
• опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина.

Якщо як законна підстава для опрацювання даних застосовується згода, вона має бути явною для зібраних даних і мети, з якою застосовуються дані (стаття 7; визначення у статті 4). Згоду за дітей^[16] повинні надати один з батьків або опікун дитини; вона має бути перевіреною (стаття 8). Контролери даних повинні бути в змозі довести «згоду», і згоду може бути відкликано^[17].

Сфера згоди GDPR має кілька наслідків для діяльності, яка записує виклики абонентів. Типового попередження «дзвінки записуються для навчання і з міркувань безпеки» більше не буде достатньо для отримання передбачуваної згоди на запис дзвінків. Крім того, коли запис почався, у випадку якщо абонент відкликав свою згоду, в агента, який приймає виклик, має бути можливість зупинити початий раніше запис і забезпечити, щоб запис не зберігався^[18].

Відповідальність і підзвітність

Щоб мати змогу підтвердити дотримання GDPR, контролер даних мусить реалізовувати заходи, які відповідають принципам захисту даних за призначенням і за замовчуванням. Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб заходи щодо захисту даних були включені в розробку бізнес-процесів, продуктів і послуг. Такі заходи включають використання псевдонімів персональних даних контролером, як можна швидше (пункт 78). Здійснювати ефективні заходи і бути в змозі продемонструвати відповідність опрацювання є відповідальністю і зобов'язанням контролера даних, навіть якщо опрацювання здійснюється оператором даних від імені контролера (пункт 74).

Коли дані зібрані, користувачі повинні бути чітко проінформовані про масштаби збору даних, правові підстави для опрацювання персональних даних, тривалість збереження даних, факт передачі даних третім особам та/або за межі ЄС, і розкриття будь-якого автоматизованого прийняття рішень, що відбувається на виключно алгоритмічній основі. Користувачам повинні бути надані контактні дані контролера даних і їхнього співробітника з питань захисту даних, де це застосовно. Користувачі повинні також бути проінформовані про їхні права відповідно до GDPR, включаючи їхнє право відкликати свою згоду на опрацювання даних у будь-який час, їхнє право на перегляд своїх особистих даних та доступ до огляду про те, як вони опрацьовуються, право отримати копію збережених даних, на стирання даних за певних обставин, право оскаржити будь-яке автоматизоване прийняття рішень, зроблена виключно на алгоритмічній основі, і право подати скаргу до Органу захисту даних.^[19][20]

Багато ЗМІ прокоментували введення «права на пояснення» алгоритмічних рішень,^[21][22] але правознавці стверджують, що існування такого права є досить неясним без судового випробування і є щонайменше обмеженим.^[23][24]

Оцінка впливу захисту даних (стаття 35) має відбутися, якщо виникають конкретні ризики для прав і свобод суб'єктів даних. Оцінка ризиків і пом'якшення наслідків є обов'язковими, а для високих ризиків необхідне попереднього схвалення національних органів захисту даних (DPA).

Захист даних за призначенням і за замовчуванням

Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб захист даних був частиною розробки бізнес-процесів, продуктів і послуг. Налаштування конфіденційності, таким чином, повинні бути встановлені на високому рівні за замовчуванням, і контролер має здійснити технічні та процедурні заходи, щоб забезпечити дотримання регламенту упродовж усього життєвого циклу опрацювання даних. Контролери повинні також запровадити механізми, які гарантують, що персональні дані не опрацьовуються, якщо не є необхідні для кожної конкретної мети.

У доповіді^[25] Агентства Європейського Союзу з питань мережевої та інформаційної безпеки йдуться про те, що необхідно зробити для досягнення конфіденційності та захисту даних за замовчуванням. Зокрема вказано, що операції шифрування і дешифрування повинні проводитися локально, а не за допомогою дистанційного обслуговування, тому що і ключі, і дані повинні залишатися під впливом власника даних, якщо йдеться про забезпечення якоїсь конфіденційності. У доповіді уточнюється, що аутсорсинг зберігання даних на віддалених хмарах є практичним і відносно безпечним, лише якщо ключі дешифрування має власник даних, а не хмарний сервіс.

Використання псевдонімів

У GDPR термін використання псевдонімів вживається для визначення процесу, необхідного для зберігання даних (як альтернатива іншому варіанту повної анонімізації даних),^[26] що передбачає перетворення персональних даних таким чином, що на основі отриманих даних не можна розпізнати конкретний суб'єкт даних без використання додаткової інформації. Прикладом є шифрування, яке робить вихідні дані незрозумілими, а цей процес не може бути скасований без доступу до правильного ключа дешифрування. GDPR вимагає, щоб додаткова інформація (наприклад, ключ дешифрування) зберігалася окремо від псевдонімізованих даних.

Інший приклад використання псевдонімів є токенізація^[en], яка є не-математичним підходом до захисту даних-у-спокої^[en], який замінює конфіденційні дані на нечутливі замінники, що називаються токенами. Токени не мають зовнішнього чи використовного сенсу або значення. Токенізація не змінює тип чи довжину даних, що означає, що їх можуть опрацьовувати застарілі системи, такі як бази даних чутливі до довжини і типу даних.

Це вимагає набагато менше обчислювальних ресурсів для опрацювання та зберігання в базах даних, ніж традиційно зашифровані дані. Це досягається за рахунок того, що певні дані є повністю або частково видимі для опрацювання та аналізу, а важлива інформація прихована.

Використання псевдонімів рекомендується для зменшення ризиків для відповідних суб'єктів даних, а також щоб допомогти контролерам і операторам виконувати свої зобов'язання щодо захисту даних (пункт 28).

GDPR рекомендує використовувати псевдоніми, щоб «знизити ризики для суб'єктів даних» (пункт 28).^[27]

Право на доступ

Право на доступ (ст. 15) є правом суб'єкта даних. Це дає громадянам право на доступ до своїх персональних даних та інформації про те, як ці персональні дані опрацьовуються. Контролер даних повинен надавати, за запитом, огляд категорій даних, які опрацьовуються (стаття 15(1)(b)), а також копію фактичних даних (стаття 15(3)). Крім того, контролер даних повинен повідомити суб'єкта даних про подробиці проведення опрацювання, такі як мета опрацювання (стаття 15(1)(a)), кому дані передаються (стаття 15(1)(c)), і яким чином дані було зібрано (стаття 15(1)(g)).

Суб'єкт даних повинен мати можливість передачі особистих даних з однієї електронної системи опрацювання до іншої без перешкод з боку контролера. Дані, які були в достатній мірі анонімізовані, виключаються, але дані, які були тільки де-ідентифіковано, але які все ще можна пов'язати з даною особою, наприклад, шляхом надання відповідного ідентифікатора, ні.^[28] Включаються і дані, «надані» суб'єктом даних, і дані, «зібрані спостереженням», наприклад, про поведінку. Крім того, відомості повинні бути надані контролером у структурованому загальноприйнятому електронному форматі. Право перенесення даних надається згідно зі статтею 20 GDPR. Юридичні експерти бачать в остаточній версії цієї міри створене «нове право», що «виходить за рамки перенесення даних між двома контролерами, як це передбачено в [стаття 20]».^[29]

Право на стирання

Право на забуття замінене більш обмеженим правом на стирання у версії GDPR, яка була прийнята Європейським парламентом у березні 2014 року.^[30][31] Стаття 17 передбачає, що суб'єкт даних має право вимагати вилучення персональних даних, пов'язаних з ним, на основі будь-якої з ряду причин, включаючи невідповідність статті 6(1) (законність), включно з випадком (f), якщо законні інтереси контролера перекриваються інтересами або фундаментальними правами та свободами суб'єкта даних, які вимагають захисту персональних даних (див. також справу Google Spain v AEPD and Mario Costeja González^[en]).

Записи опрацювання даних

Кожний контролер повинен вести запис опрацювання даних, що має містити інформацію про цілі опрацювання, залучені категорії та передбачені терміни. Записи повинні бути надані наглядовому органу за запитом (стаття 30).^[13]

Співробітник з питань захисту даних

Якщо опрацювання здійснюється органами державної влади, за винятком судів або незалежної судової влади в межах їхньої судової спроможності, або якщо, в приватному секторі, опрацювання здійснюється за контролером, чия основна діяльність складається з операцій опрацювання, які вимагають регулярного і систематичного моніторингу суб'єктів даних, або при обробці великих масштабів спеціальних категорій даних відповідно до статті 9 і персональних даних, що стосуються судимості та правопорушень, зазначених в статті 10,^[13] контролеру або оператору має асистувати особа з експертними знаннями в галузі законодавства і практики щодо захисту даних.

Співробітник з питань захисту даних (англ. data protection officer) подібний до відповідального працівника і також має бути досвідченим у сфері управління ІТ-процесами, безпеки даних^[en] (включаючи заходи щодо кібератак) та інших критично важливих питань безперервності бізнесу щодо зберігання та опрацювання особистих і конфіденційних даних. Необхідні навички простягаються за межі розуміння нормативно-правової відповідності законам і правилам щодо захисту даних.

Більш детальна інформація про функції і роль співробітника з питань захисту даних подана у настановах від 13 грудня 2016 року (документ переглянуто 5 квітня 2017 року).^[32]

Порушення захисту даних

Згідно з GDPR, контролер даних юридично зобов'язаний без зволікань повідомити наглядовий орган про порушення захисту даних, за винятком ситуацій, імовірність яких призвести до ризику для прав і свобод фізичних осіб низька. Повідомити про порушення захисту даних необхідно щонайбільше за 72 години після того, як про нього стало відомо (стаття 33). Фізичні особи повинні бути повідомлені, якщо передбачається несприятливий вплив (ст. 34). Крім того, оператор даних має одразу повідомити контролера після того, як стало відомо про порушення захисту персональних даних (стаття 33).

Однак, повідомляти суб'єктів персональних даних не вимагається, якщо контролер даних вжив відповідних технічних та організаційних заходів захисту, які роблять особисті дані недоступними для будь-якої людини, яка не має права доступу до неї, — таких як шифрування (стаття 34).^[13]

Санкції

Такі санкції можуть бути накладені:

• попередження в письмовій формі у випадках першого і ненавмисного недотримання
• регулярні періодичні перевірки захисту даних
• штраф до €10 млн або до 2 % щорічного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, абзац 5—6^[13])
  • обов'язки контролера й оператора згідно зі статтями 8, 11, 25—39, 42 та 43
  • обов'язки органу з сертифікації у відповідності зі статтями 42 та 43
  • обов'язки наглядового органу відповідно до статті 41(4)
• штраф у розмірі до €20 млн, або 4 % від річного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, пункт 4)
  • основні принципи опрацювання, в тому числі умови згоди, відповідно до статей 5, 6, 7 та 9
  • права суб'єктів даних у відповідності зі статтями 12—22
  • передача персональних даних одержувачу, що знаходиться в третій країні або міжнародній організації у відповідності зі статтями 44—49
  • будь-які зобов'язання згідно з національним законодавством членів, прийнятим у відповідності до розділу IX
  • недотримання вимоги або тимчасове чи остаточне обмеження на опрацювання або зупинення потоків даних наглядовим органом відповідно до статті 58(2) або відмова у наданні доступу, яка порушує статтю 58(1)

B2B маркетинг

GDPR розрізняє B2C (англ. business to consumer, бізнес—споживачеві) і В2В (англ. business to business, бізнес—бізнесу) маркетинг. Згідно з GDPR є шість підстав для опрацювання персональних даних, які є однаковою мірою чинними. Дві з них мають відношення до прямого маркетингу В2В, а саме згода або законний інтерес. У пункті 47 GDPR говориться, що «опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу».^[33]

Використання законного інтересу як основи для B2B маркетингу включає забезпечення ключових умов:

• «Опрацювання повинне стосуватися законних інтересів вашого бізнесу або зазначеної третьої сторони, за умови, що інтереси або фундаментальні права суб'єкта даних не перекривають законний інтерес бізнесу».
• «Опрацювання повинне бути необхідним для досягнення законних інтересів організації».^[34]

Крім того, у статті 6.1(f) GDPR стверджується, що опрацювання є законним, якщо воно: «є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина».

Європейська комісія зазначила, що «уніфіковані закони про конфіденційність даних дозволять створити надзвичайні можливості та мотивують інноваційний бізнес не тільки в Європі, але і організації, які готові вести бізнес з європейськими державами». Комісія передбачає, що компанії будуть підтримувати зв'язок і будувати взаємини щодо підтримки регулювання одна з одною, щоб забезпечити найкращі практики через legitimate balance checks.^[35]

Обмеження

Такі випадки не підпадають під дію регламенту^[36]:

• Законне перехоплення, національна безпека, військова техніка, поліція, юстиція
• Статистичний та науковий аналіз
• Померлі особи є суб'єктами національного законодавства
• Існує спеціальний закон про трудові відносини
• опрацювання персональних даних фізичною особою в ході суто особистої або побутової діяльності

Дискусії та проблеми

Примітки

1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex, « 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf [Архівовано 6 серпня 2018 у Wayback Machine.]
2. Стаття 25. Захист даних за призначенням і за замовчуванням | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019.
3. Стаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019.
4. Стаття 33. Нотифікація наглядового органу про порушення захисту персональних даних | GDPR-Text.com. GDPR 🕮 Text (рос.). 14 жовтня 2019. Процитовано 1 грудня 2019.
5. GDPR Portal: Site Overview. General Data Protection Regulation (GDPR) (амер.). Архів оригіналу за 24 квітня 2020. Процитовано 3 травня 2018.
6. Art. 99 GDPR – Entry into force and application | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR) (амер.). Архів оригіналу за 26 червня 2018. Процитовано 3 травня 2018.
7. EUR-Lex - 31995L0046 - EN - EUR-Lex. eur-lex.europa.eu. Архів оригіналу за 29 грудня 2017. Процитовано 23 травня 2018.
8. Blackmer, W.S. (5 травня 2016). GDPR: Getting Ready for the New EU General Data Protection Regulation. Information Law Group. InfoLawGroup LLP. Архів оригіналу за 14 травня 2018. Процитовано 22 червня 2016.
9. „Inofficial [Архівовано 31 грудня 2013 у Wayback Machine.] consolidated version GDPR“. Rapporteur Jan Philipp Albrecht^[en]. Retrieved 9 December 2013.
10. Proposal for the EU General Data Protection Regulation [Архівовано 3 грудня 2012 у Wayback Machine.]. European Commission. 25 January 2012. Retrieved 3 January 2013.
11. Стаття 3(2): Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з: (a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або (b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу.
12. European Commission's press release announcing the proposed comprehensive reform of data protection rules [Архівовано 24 березня 2018 у Wayback Machine.]. 25 January 2012. Retrieved 3 January 2013.
13. РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням п ерсональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (PDF). kmu.gov.ua (укр.). Архів оригіналу (PDF) за 26 травня 2018.
14. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA. 4 травня 2016.
15. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
16. У разі застосування пункту (а) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини. Держави-члени можуть передбачити в законі нижчий вік для такої мети за умови, що такий вік не менше 13 років.»
17. «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide» [Архівовано 17 лютого 2021 у Wayback Machine.]. Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
18. How Smart Businesses Can Avoid GDPR Penalties When Recording Calls. www.xewave.io (брит.). Архів оригіналу за 14 квітня 2018. Процитовано 13 квітня 2018.
19. Privacy notices under the EU General Data Protection Regulation. ico.org.uk (англ.). 19 січня 2018. Архів оригіналу за 23 травня 2018. Процитовано 22 травня 2018.
20. What information must be given to individuals whose data is collected?. European Commission - European Commission (англ.). Архів оригіналу за 23 травня 2018. Процитовано 23 травня 2018.
21. editor, Ian Sample Science (27 січня 2017). AI watchdog needed to regulate automated decision-making, say experts. The Guardian (брит.). ISSN 0261-3077. Архів оригіналу за 18 червня 2017. Процитовано 15 липня 2017.
22. EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence. www.techzone360.com (англ.). Архів оригіналу за 4 серпня 2017. Процитовано 15 липня 2017.
23. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 грудня 2016). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. Архів оригіналу за 4 березня 2021. Процитовано 23 травня 2018 — через SSRN.
24. Edwards, Lilian; Veale, Michael (2017). Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for. Duke Law and Technology Review. doi:10.2139/ssrn.2972855. SSRN 2972855.
25. Privacy and Data Protection by Design — ENISA. www.enisa.europa.eu (брит.). Архів оригіналу за 5 квітня 2017. Процитовано 4 квітня 2017.
26. Data science under GDPR with pseudonymization in the data pipeline [Архівовано 18 квітня 2018 у Wayback Machine.] Published by Dativa, 17 April, 2018
27. Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization. iapp.org. Архів оригіналу за 19 лютого 2018. Процитовано 23 травня 2018.
28. Article 29 Working Party (2017). Guidelines on the right to data portability. European Commission. Архів оригіналу за 29 червня 2017. Процитовано 23 травня 2018.
29. The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4. Bloomberg BNA. 12 лютого 2016. Архів оригіналу за 19 квітня 2016. Процитовано 23 травня 2018.(Note that the Article 18 in the draft GDPR became Article 20 in the final version.)
30. Baldry, Tony; Hyams, Oliver. The Right to Be Forgotten. 1 Essex Court. Архів оригіналу за 19 жовтня 2017. Процитовано 23 травня 2018.
31. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). European Parliament. Архів оригіналу за 5 червня 2014. Процитовано 23 травня 2018.
32. Guidelines on Data Protection Officers. Архів оригіналу за 29 червня 2017. Процитовано 27 серпня 2017.
33. What’s new under the GDPR?. ico.org.uk. 22 березня 2018. Архів оригіналу за 18 травня 2018. Процитовано 23 травня 2018.
34. Архівована копія (PDF). Архів оригіналу (PDF) за 18 травня 2018. Процитовано 23 травня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
35. How do we apply legitimate interests in practice?. ico.org.uk. 22 березня 2018. Архів оригіналу за 22 травня 2018. Процитовано 23 травня 2018.
36. Стаття 2. Матеріальна сфера дії | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019.

Посилання

• Регламент (ЄС) 2016/679 Європейського парламенту та Ради [Архівовано 26 травня 2018 у Wayback Machine.] від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (укр.)
• Згода суб’єкта персональних даних // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 280. — ISBN 978-617-7627-10-3.
• Загальний регламент про захист даних (GDPR) [Архівовано 3 червня 2021 у Wayback Machine.]
• Сторінка захисту даних ЄС [Архівовано 2 січня 2018 у Wayback Machine.] (англ.)
• Загальний регламент про захист даних, фінальна версія від 27 квітня 2016 [Архівовано 24 травня 2018 у Wayback Machine.] (PDF) (англ.)
• Інші мовні версії у форматах HTML та PDF [Архівовано 27 травня 2018 у Wayback Machine.]
• Процедура 2012/0011/COD [Архівовано 20 червня 2018 у Wayback Machine.]
• 2012/0011(COD) — Захист персональних даних: опрацювання та вільний рух даних (General Data Protection Regulation) [Архівовано 12 жовтня 2018 у Wayback Machine.]