У нихОбщий регламент о защите данных (GDPR)Устанавливают руководящие принципы, которые охватывают различные аспекты защиты данных и конфиденциальности физических лиц в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ), включая то, как организации должны обрабатывать, обрабатывать и защищать персональные данные. Ниже приводится обзор основных элементов, охватываемых руководящими принципами GDPR:

1.и сфера применения

GDPR применяется к:

• Все организации(включая компании, некоммерческие организации и правительства), которые обрабатывают персональные данные физических лиц в ЕС или ЕЭЗ, независимо от того, где находится организация.
• Контроллеры данных(которые определяют цель и средства обработки) иОбработчики данных(которые обрабатывают данные от имени контроллеров).

Это применяется к любому типу обработки персональных данных, включая сбор, запись, хранение, изменение, поиск, консультацию, использование, раскрытие, удаление и уничтожение.

2.Ключевые определения

• Персональные данныеЛюбая информация, которая может прямо или косвенно идентифицировать человека (например, имя, адрес электронной почты, IP-адрес, данные о местоположении и т. Д.).).
• Конфиденциальные персональные данныеСпециальные категории данных, требующие дополнительной защиты, такие как расовое или этническое происхождение, политические убеждения, религиозные убеждения, данные о здоровье, биометрические данные и сексуальная ориентация.
• Субъект данныхЛицо, которому принадлежат персональные данные.
• Контроллер данныхСубъект, который определяет цели и средства обработки персональных данных.
• Процессор данныхСубъект, который обрабатывает данные от имени контроллера.

3.Принципы обработки данных

GDPR основан на следующемСемь ключевых принциповобработки данных:

1. Законность, справедливость и прозрачностьДанные должны обрабатываться законно, справедливо и прозрачным образом. Физические лица должны быть проинформированы об обработке своих данных.
2. Ограничение целиПерсональные данные должны собираться в конкретных, явных и законных целях и не использоваться способами, несовместимыми с этими целями.
3. Минимизация данныхСобранные данные должны быть адекватными, актуальными и ограничены тем, что необходимо для предполагаемой цели.
4. ТочностьПерсональные данные должны быть точными и постоянно обновляться.
5. Ограничение храненияДанные не должны храниться дольше, чем необходимо для целей, для которых они были собраны.
6. Целостность и конфиденциальностьДанные должны обрабатываться безопасно, обеспечивая защиту от несанкционированного или незаконного доступа, потери или повреждения.
7. ПодотчетностьКонтроллеры данных несут ответственность за обеспечение соблюдения вышеуказанных принципов и должны быть в состоянии продемонстрировать соответствие.

4.Правовые основы обработки

Персональные данные могут обрабатываться только при наличии действительной правовой основания, такой как:

• СогласиеЛицо дало явное согласие на конкретную цель.
• КонтрактОбработка необходима для исполнения договора с физическим лицом.
• Правовое обязательствоОбработка необходима для соблюдения закона.
• Жизненно важные интересыОбработка необходима для защиты чьей-то жизни.
• Общественная задачаОбработка необходима для выполнения задачи в общественных интересах.
• Законные интересыОбработка необходима для законных интересов контроллера данных, если только не преодолена правами физического лица.

5.Права субъекта данных

GDPR предоставляет несколько прав физическим лицам в отношении их персональных данных:

1. Право быть информированнымФизические лица имеют право знать, как их данные собираются, используются и совместно используются (через политику конфиденциальности).
2. Право доступаФизические лица могут запросить доступ к своим персональным данным и тому, как они обрабатываются.
3. Право на исправлениеФизические лица могут потребовать исправления неточных или неполных данных.
4. Право на стирание ("Право быть забытым")Физические лица могут запросить удаление своих персональных данных при определенных обстоятельствах (например, когда данные больше не нужны).
5. Право на ограничение обработкиФизические лица могут потребовать ограничения обработки их данных при определенных условиях.
6. Право на переносимость данныхЛюди могут потребовать передачи их данных другой организации или непосредственно себе в структурированном, широко используемом и машиночитаемом формате.
7. Право на возражениеФизические лица могут возразить против обработки своих персональных данных для определенных целей, включая прямой маркетинг.
8. Связанные с автоматизированным принятием решений и профилированиемФизические лица имеют право не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование, если не выполнены определенные условия.

6.Оценки воздействия на защиту данных (DPIA)

DPIA должны проводиться, когда деятельность по обработке данных может привести к высокому риску для прав и свобод физических лиц. Обычно это относится к крупномасштабной обработке, профилированию или обработке конфиденциальных данных.

7.Уведомления о нарушениях данных

Организации должны уведомить соответствующий орган по защите данных (в Великобритании это Управление Уполномоченного по информации или ICO) в пределах72 часаосознание нарушения персональных данных, которое представляет риск для прав и свобод физических лиц. Если нарушение может привести к высоким рискам, пострадавшие лица также должны быть проинформированы.

8.Передача данных за пределы ЕС/ЕЭЗ

Передача персональных данных в страны за пределами ЕС/ЕЭЗ разрешена только в том случае, если:

• Страна принимающей предлагаетАдекватный уровень защитыкак это определено Европейской комиссией.
• Соответствующие гарантии, такие какСтандартные договорные положения (SCC)илиОбязательные корпоративные правила (BCR), находятся на месте.
• Субъект данных дал явное согласие.

9.Защита данных по дизайну и по умолчанию

Организации должны включать меры по защите данных с самого начала любого проекта или процесса, который включает обработку персональных данных. Этот принцип известен какПо дизайну и по умолчанию конфиденциальностиЭто означает конфиденциальность должна рассматриваться на этапе проектирования и на протяжении всего жизненного цикла обработки данных.

10.Сотрудник по защите данных (DPO)

DPO должен быть назначен, если:

• Организация является государственным органом.
• Основные виды деятельности включают регулярный и систематический мониторинг отдельных лиц в крупных масштабах.
• Организация обрабатывает большие объемы конфиденциальных персональных данных.

В обязанности DPO входят:

• Мониторинг соблюдения GDPR.
• Консультирование по вопросам обязательств по защите данных.
• действовать в качестве контактного пункта с органами по защите данных.

11.Штрафы и санкции

Организации, которые не соблюдают GDPR, могут грозить значительные штрафы:

• До20 млн. евроили4% от мирового годового оборота компанииВ зависимости от того, что выше, за самые серьезные нарушения.
• Меньшие нарушения могут привести к штрафам до10 млн. евроили2% от годового оборотаДа, не.

12.Подотчетность и ведение учета

Организации должны вести документацию для демонстрации соответствия GDPR, в том числе:

• записи деятельности по обработке.
• Политика и процедуры защиты данных.
• DPIA там, где это необходимо.
• Запросы и ответы субъектов данных.

13.Требования к соглашению

Опираясь на согласие в качестве правового основания для обработки персональных данных, необходимо следовать следующим руководящим принципам:

• Согласие должно быть свободно, конкретным, информированным и недвусмысленным.
• Согласие должно быть дано путем четкого положительного действия (например, выбора), а не через предварительно помеченные поля.
• Организации должны иметь возможность доказать, что согласие было получено.
• Физические лица должны иметь право отозвать согласие в любое время.

GDPR устанавливает высокие стандарты защиты данных и направлен на предоставление физическим лицам большего контроля над своими персональными данными. Придерживаясь этих руководящих принципов, организации могут обеспечить соблюдение и избежать риска наказания.