Открыть сервис

GDPR

Общий регламент по защите данных (GDPR) — это нормативный акт Европейского союза, регулирующий обработку и защиту персональных данных физических лиц на территории ЕС и Европейской экономической зоны (ЕЭЗ). Полное официальное название — Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года «О защите физических лиц в отношении обработки персональных данных и о свободном обращении таких данных». GDPR вступил в силу 25 мая 2018 года, заменив Директиву 95/46/ЕС (Директиву о защите данных). Регламент направлен на усиление прав граждан на конфиденциальность, гармонизацию законов о защите данных в странах-членах ЕС и упрощение трансграничной передачи данных в рамках внутреннего рынка. Его действие распространяется на любые организации (включая расположенные за пределами ЕС), которые обрабатывают персональные данные резидентов ЕС.

История и предпосылки принятия

Разработка GDPR была обусловлена стремительным развитием цифровых технологий, глобализацией экономики и ростом объёмов собираемых персональных данных. Предшествующая Директива 95/46/ЕС, принятая в эпоху раннего интернета, не учитывала реалий облачных вычислений, социальных сетей, поведенческой рекламы и массового сбора данных. Необходимость реформы была признана Европейской комиссией в 2010 году.

В 2012 году Комиссия представила проект регламента. После длительных переговоров между Европейским парламентом, Советом ЕС и Комиссией, а также масштабной кампании лоббирования со стороны технологических компаний, текст был согласован в декабре 2015 года. Окончательное утверждение состоялось 14 апреля 2016 года. Двухлетний переходный период (до 25 мая 2018 года) был предоставлен для адаптации бизнеса и национальных законодательств.

Ключевыми катализаторами принятия GDPR стали:

Ключевые принципы и определения

GDPR базируется на нескольких фундаментальных принципах обработки данных, закреплённых в Статье 5 Регламента:

Ключевые термины:

Права субъектов данных

GDPR значительно расширил права граждан на контроль над своими данными. К числу основных прав относятся:

Обязанности организаций (контролёров и обработчиков)

GDPR налагает на организации ряд строгих обязательств:

Территориальная сфера действия и международная передача данных

GDPR имеет экстерриториальный характер (Статья 3). Он применяется к:

  1. Контролёрам и обработчикам, учреждённым в ЕС, независимо от того, где происходит обработка.
  2. Контролёрам и обработчикам, не учреждённым в ЕС, если они обрабатывают персональные данные субъектов, находящихся в ЕС, в связи с:

Передача персональных данных за пределы ЕС/ЕЭЗ разрешена только при условии, что страна-получатель обеспечивает «адекватный уровень защиты». Европейская комиссия периодически принимает решения об адекватности (adequacy decisions) для отдельных стран (например, Япония, Южная Корея, Великобритания, Канада). В отсутствие такого решения, передача возможна только с использованием «соответствующих гарантий» (например, стандартных договорных оговорок (SCC), обязательных корпоративных правил (BCR)) или в исключительных случаях (например, явное согласие субъекта, выполнение договора).

Надзорные органы и ответственность

Каждая страна-член ЕС назначает независимый надзорный орган (DPA), ответственный за мониторинг применения GDPR. Например, во Франции — CNIL, в Германии — BfDI, в Ирландии — DPC. DPA имеют широкие полномочия, включая:

Штрафы за нарушение GDPR являются одними из самых высоких в мире. Они делятся на два уровня:

Влияние и критика

GDPR стал глобальным стандартом в области защиты данных, оказав влияние на законодательство многих стран, включая Калифорнию (CCPA), Бразилию (LGPD), Японию и Индию. Он способствовал повышению осведомлённости граждан о конфиденциальности и заставил компании пересмотреть свои практики сбора данных.

Критика GDPR включает:

Источники

  1. Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года (GDPR).
  2. European Data Protection Board (EDPB) — Guidelines and Recommendations.
  3. Статья «GDPR: A Practical Guide for Businesses» — International Association of Privacy Professionals (IAPP).
  4. Отчёты о правоприменении национальных надзорных органов (CNIL, DPC, BfDI и др.).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →