06 Апр, 2023

Общие положения о защите данных (GDPR)

Услуги Соответствия И Управления

Helps organizations meet regulatory requirements and industry standards.

Обзор GDPR 

В современную цифровую эпоху кража данных стала серьезной проблемой для компаний всех размеров и отраслей. Кража данных происходит, когда неуполномоченное физическое или юридическое лицо получает доступ к конфиденциальным данным, принадлежащим организации, таким как конфиденциальная деловая информация, данные клиентов или интеллектуальная собственность. 

Кража данных может происходить многими способами, например, посредством кибератак, фишинговых мошенничеств или даже физической кражи устройств, содержащих конфиденциальные данные. Когда компания сталкивается с утечкой данных, это может привести к значительным финансовым потерям, ущербу репутации и юридическим последствиям. 

Компании изо всех сил пытались защитить пользовательские данные по разным причинам, таким как слабые меры безопасности, недостаточная осведомленность о защите данных и акцент на монетизации данных, а не на конфиденциальности. Эта практика привела к многочисленным громким утечкам данных и случаям неправомерного использования персональных данных. 

Для решения этих проблем был введен GDPR, регулирующий обработку персональных данных. GDPR требует, чтобы компании получали явное и осознанное согласие пользователей перед сбором и обработкой их данных, внедряли соответствующие меры безопасности для защиты пользовательских данных и информировали пользователей о любых возможных утечках данных. 

Регламент также предоставляет пользователям больший контроль над своими данными, предоставляя им право доступа к своим данным и их удаления, а также право возражать против их обработки. Кроме того, GDPR уполномочивает регулирующие органы налагать существенные штрафы на компании, которые нарушают его положения, что побудило организации уделять приоритетное внимание защите данных и внедрять практику, соответствующую GDPR. 

В целом, GDPR сыграл решающую роль в регулировании того, как компании обрабатывают пользовательские данные, и сместил акцент на конфиденциальность и защиту данных. 

Что такое GDPR? 

Общий регламент по защите данных (GDPR) - это всеобъемлющий закон о защите данных, который был введен в действие Европейским союзом (ЕС) 25 мая 2018 года. GDPR заменяет предыдущую Директиву о защите данных 95/46 / EC и предназначен для усиления и унификации защиты данных физических лиц на территории ЕС, а также для решения проблемы экспорта персональных данных за пределы ЕС. 

Регламент применяется к любой организации, которая обрабатывает персональные данные резидентов ЕС, независимо от того, базируется ли организация на территории ЕС или нет. Персональные данные широко определяются в соответствии с GDPR и включают любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу, такую как имя, адрес электронной почты или даже IP-адрес. 

GDPR уделяет большее внимание правам отдельных лиц, включая право на доступ к своим персональным данным и контроль над ними, право быть забытым и право получать уведомления о нарушении данных. Это также требует от организаций внедрения надежных мер защиты данных, включая конфиденциальность по замыслу и по умолчанию, минимизацию данных и соответствующие меры безопасности. 

История GDPR 

Общий регламент по защите данных (GDPR) был принят Европейским союзом (ЕС) в апреле 2016 года и вступил в силу 25 мая 2018 года. Однако история GDPR восходит к 1990-м годам, когда ЕС признал необходимость регулирования сбора и обработки персональных данных. 

В 1995 году ЕС принял Директиву о защите данных 95/46/EC, которая была направлена на гармонизацию законов о защите данных во всех государствах-членах. Директива устанавливала основные принципы защиты данных и требовала, чтобы компании получали согласие от физических лиц перед сбором и обработкой их персональных данных. 

Со временем ЕС признал необходимость обновления Директивы о защите данных, чтобы учесть меняющийся характер технологий и проблемы конфиденциальности данных. В 2012 году Европейская комиссия предложила всеобъемлющую реформу законов о защите данных, ведущую к созданию GDPR. 

GDPR был разработан, чтобы обеспечить более надежный и унифицированный подход к защите данных по всему ЕС. Постановление укрепило индивидуальные права, предоставив пользователям больший контроль над их персональными данными и создав основу для обеспечения соблюдения законов о защите данных. Это положение создало сильный стимул для компаний уделять приоритетное внимание защите данных и внедрять практику, соответствующую GDPR. 

GDPR оказал значительное влияние на то, как компании собирают и обрабатывают персональные данные, как внутри ЕС, так и за его пределами. Его положения привели к повышению осведомленности и пониманию принципов защиты данных, и компании вложили значительные ресурсы в соблюдение этого регламента. 

В целом, история GDPR подчеркивает важность защиты персональных данных и необходимость всеобъемлющих и подлежащих исполнению законов о защите данных в эпоху цифровых технологий. 

Почему существует GDPR? 

Общий регламент по защите данных (GDPR) существует для укрепления и гармонизации законов о защите данных во всем Европейском союзе (ЕС) и защиты конфиденциальности и персональных данных физических лиц. GDPR признает растущий объем персональных данных, собираемых и обрабатываемых в современную цифровую эпоху, и необходимость ужесточения правил для обеспечения того, чтобы отдельные лица имели контроль над своими данными, а компании обращались с ними ответственно. 

GDPR был создан для замены устаревшей Директивы о защите данных 95/46 / EC и обеспечения более всеобъемлющего и единообразного подхода к защите данных по всему ЕС. Постановление направлено на то, чтобы предоставить отдельным лицам больший контроль над своими персональными данными, предоставляя им такие права, как право доступа, удаления и передачи своих данных, а также право на получение информации о том, как используются их данные. 

GDPR также требует, чтобы компании применяли надлежащие меры безопасности для защиты персональных данных, проводили оценку воздействия на конфиденциальность и сообщали о нарушениях данных регулирующим органам в течение 72 часов (около 3 дней). Эти положения призваны повысить прозрачность и подотчетность при обработке данных и гарантировать, что компании ответственно обращаются с персональными данными. 

Кроме того, GDPR применяется к любой компании, которая обрабатывает персональные данные жителей ЕС, независимо от того, базируется компания в ЕС или нет. Это положение направлено на обеспечение того, чтобы компании, которые собирают и обрабатывают персональные данные граждан ЕС, несли ответственность за свои действия и чтобы отдельные лица имели доступ к средствам правовой защиты в случае утечки данных или нарушения их прав. 

GDPR существует для защиты конфиденциальности и персональных данных физических лиц, установления единого подхода к защите данных по всему ЕС и привлечения компаний к ответственности за их действия. 

Какие виды личные данные защищены ли они GDPR?

Общий регламент по защите данных (GDPR) защищает широкий спектр персональных данных, включая любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу. Это включает в себя данные, которые прямо или косвенно идентифицируют физическое лицо, такие как: 

• Основная идентификационная информация: Имя, адрес, адрес электронной почты, номер телефона, идентификационный номер, номер паспорта или другое удостоверение личности, выданное правительством. 

• Конфиденциальная личная информация: Информация о здоровье, генетические данные, биометрические данные, сексуальная ориентация, политические взгляды, религиозные убеждения или расовое /этническое происхождение. 

• Финансовая информация и информация о транзакциях: Номера кредитных карт, информация о банковском счете и другие финансовые данные. 

• Онлайн - идентификаторы: IP-адрес, идентификатор устройства, данные о местоположении и другие онлайн-идентификаторы. 

• Информация, связанная с профессиональной деятельностью и трудоустройством: Названия должностей, история работы и другая профессиональная информация. 

• Образовательная информация: история образования, квалификация и другая академическая информация. 

GDPR также защищает персональные данные, которые собираются с помощью автоматизированных средств, таких как файлы cookie, веб-маяки и другие технологии отслеживания. 

GDPR защищает широкий спектр персональных данных и направлен на то, чтобы предоставить отдельным лицам больший контроль над своими данными и тем, как они обрабатываются. Регламент требует, чтобы компании получали явное и осознанное согласие перед сбором и обработкой персональных данных, применяли соответствующие меры безопасности для защиты пользовательских данных и информировали пользователей о любых утечках данных, которые могут произойти. 

Кого касается GDPR? 

Общий регламент по защите данных (GDPR) касается защиты конфиденциальности и персональных данных физических лиц, которые находятся в пределах Европейского Союза (EU) и Европейской экономической зоны (EEA). GDPR применяется ко всем физическим лицам, независимо от их национальности, которые находятся на территории ЕС или ЕЭЗ на момент сбора или обработки их персональных данных. 

ЕС - это политический и экономический союз 27 государств-членов, расположенных в основном в Европе. Государства-члены ЕС включают Австрию, Бельгию, Болгарию, Хорватию, Кипр, Чехию, Данию, Эстонию, Финляндию, Францию, Германию, Грецию, Венгрию, Ирландию, Италию, Латвию, Литву, Люксембург, Мальту, Нидерланды, Польшу, Португалию, Румынию, Словакию, Словению, Испанию и Швецию. 

В ЕЭЗ входят все государства-члены ЕС, а также Исландия, Лихтенштейн и Норвегия. Эти страны являются частью ЕЭЗ благодаря своему членству в Европейской ассоциации свободной торговли (EFTA), целью которой является содействие свободной торговле и экономической интеграции между ее членами. 

GDPR применяется ко всем организациям, независимо от того, находятся они внутри ЕС или ЕЭЗ или за их пределами, которые обрабатывают персональные данные физических лиц, находящихся на территории ЕС или ЕЭЗ. Это означает, что любая организация, которая предлагает товары или услуги частным лицам в ЕС или следит за поведением физических лиц в ЕС, подпадает под действие GDPR. 

GDPR направлен на то, чтобы предоставить частным лицам больший контроль над своими персональными данными и гарантировать, что компании ответственно обращаются с персональными данными. Регламент требует, чтобы компании получали явное и осознанное согласие перед сбором и обработкой персональных данных, применяли соответствующие меры безопасности для защиты пользовательских данных и информировали пользователей о любых утечках данных, которые могут произойти. 

Таким образом, GDPR касается защиты конфиденциальности и персональных данных физических лиц в ЕС и ЕЭЗ, в которые входят 27 государств-членов ЕС, а также Исландия, Лихтенштейн и Норвегия. Регламент применяется ко всем организациям, которые обрабатывают персональные данные физических лиц, находящихся на территории ЕС или ЕЭЗ, независимо от их местонахождения. 

Какие основные ценности лежат в основе GDPR?

GDPR основан на семи основных принципах, которые можно найти в статье 5 законодательства. Эти принципы были установлены для того, чтобы дать рекомендации относительно того, как могут быть обработаны персональные данные. Хотя они не являются строгими правилами, они служат общей основой для GDPR и очерчивают его основные цели. Эти принципы очень похожи на те, которые действовали в предыдущих законах о защите данных. Следуя этим принципам, организации могут гарантировать, что они обрабатывают персональные данные ответственным и этичным образом. Ключевыми принципами GDPR являются: 

• Законность, справедливость и прозрачность: Этот принцип требует, чтобы обработка данных осуществлялась законно, справедливо и прозрачно. Это означает, что физические лица должны быть проинформированы о целях, для которых будут обрабатываться их данные, и что они должны дать свое согласие на такую обработку. Кроме того, обработка данных не должна осуществляться в нарушение каких-либо других законов или нормативных актов. 

• Ограничение цели: Данные должны собираться и обрабатываться для определенных, явных и законных целей, а не для дальнейшей обработки способом, несовместимым с этими целями. Это означает, что организации должны иметь конкретную и законную причину для сбора и обработки персональных данных физического лица и не должны использовать эти данные для каких-либо других целей без получения дополнительного согласия. 

• Минимизация данных: Собранные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо в связи с целями, для которых они обрабатываются. Это означает, что организации должны собирать и обрабатывать только минимальный объем персональных данных, необходимый для достижения заявленной цели обработки. 

• Точность: Данные должны быть точными и, при необходимости, обновляться. Неточные данные должны быть исправлены или удалены. Это означает, что организации должны предпринять шаги для обеспечения того, чтобы персональные данные, которые они собирают, были точными и, при необходимости, обновлялись или исправлялись. 

• Ограничение на хранение: Данные не должны храниться дольше, чем это необходимо для целей, для которых они были собраны. Это означает, что организации должны иметь четкие правила хранения и удаления персональных данных и хранить их только до тех пор, пока это необходимо. 

• Целостность и конфиденциальность: Данные должны обрабатываться способом, обеспечивающим надлежащую безопасность, включая защиту от несанкционированной или незаконный обработки и от случайной потери, уничтожения или повреждения. Это означает, что организации должны принимать меры для защиты персональных данных, которые они собирают, включая шифрование, контроль доступа и другие меры безопасности. 

• Подотчетность: Контролеры данных несут ответственность за обеспечение соответствия GDPR и должны быть в состоянии продемонстрировать это соответствие. Это означает, что организации должны вести учет своей деятельности по обработке данных и должны быть в состоянии предоставить доказательства своего соответствия GDPR по запросу. 

GDPR разработан для того, чтобы предоставить частным лицам больший контроль над своими персональными данными и обеспечить прозрачность и подотчетность организаций при обработке персональных данных. Следуя этим ключевым принципам, организации могут гарантировать, что они собирают и обрабатывают персональные данные ответственным и этичным образом. 

Какие права предоставлены пользователям GDPR? 

Общий регламент по защите данных (GDPR) предоставляет физическим лицам ряд прав в отношении их персональных данных. Эти права включают в себя: 

• Право на получение информации: Физические лица имеют право на получение информации о сборе и использовании их персональных данных. 

• Право доступа: Физические лица имеют право на доступ к своим персональным данным и знать, как они обрабатываются. 

• Право на исправление: Физические лица имеют право на исправление неточных или неполных персональных данных. 

• Право на удаление (или право быть забытым): Физические лица имеют право на удаление своих персональных данных при определенных обстоятельствах, например, когда данные больше не нужны для цели, для которой они были собраны, или когда физическое лицо отзывает свое согласие. 

• Право ограничить обработку: Физические лица имеют право требовать, чтобы их персональные данные не обрабатывались определенным образом. 

• Право на переносимость данных: Физические лица имеют право получать свои персональные данные в структурированном, широко используемом и машиночитаемом формате и передавать эти данные другому контролеру. 

• Право на возражение: Физические лица имеют право возражать против обработки своих персональных данных при определенных обстоятельствах, например, когда обработка основана на законных интересах или в целях прямого маркетинга. 

• Право не подвергаться автоматизированному принятию решений: Физические лица имеют право не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое имеет для них юридические или существенные последствия. 

Эти права дают отдельным лицам больший контроль над своими персональными данными и тем, как они обрабатываются. Организации должны соблюдать эти права, и невыполнение этого требования может привести к значительным штрафам и ущербу репутации. 

Кто является регулирующим органом, отвечающим за проверку нарушений и обеспечение соблюдения юридических обязательств? 

Регулирующий орган, ответственный за проверку нарушений и обеспечение соблюдения юридических обязательств в соответствии с Общим регламентом по защите данных (GDPR), известен как надзорный орган. Каждое государство-член Европейского союза обязано создать один или несколько надзорных органов для контроля и обеспечения соблюдения GDPR в пределах своей юрисдикции. 

Роль надзорного органа заключается в обеспечении того, чтобы организации, обрабатывающие персональные данные, соблюдали правила GDPR. Это включает в себя расследование жалоб, проведение аудитов и наложение санкций и штрафов за несоблюдение. Надзорный орган имеет право приказать организации предпринять корректирующие действия для устранения любых нарушений GDPR и при необходимости приостановить или запретить деятельность по обработке данных. 

Надзорный орган также несет ответственность за сотрудничество с другими надзорными органами в различных государствах-членах для обеспечения последовательного соблюдения GDPR по всему Европейскому Союзу. Это сотрудничество включает в себя обмен информацией и оказание взаимной помощи в проведении расследований. 

Кроме того, надзорный орган играет определенную роль в предоставлении рекомендаций организациям о том, как соблюдать правила GDPR. Они могут издавать руководства, рекомендации и передовой опыт, чтобы помочь организациям понять свои обязательства по GDPR и внедрить эффективные меры по защите данных. 

В целом, надзорный орган является важнейшим элементом нормативной базы GDPR, гарантирующим, что организации уважают права отдельных лиц на неприкосновенность частной жизни и содействующим надлежащему использованию персональных данных. 

 

Каковы штрафы GDPR за несоблюдение? 

Общий регламент по защите данных (GDPR) устанавливает значительные штрафы для организаций, которые не соблюдают его требования. Наказания за несоблюдение можно разделить на две категории: административные штрафы и другие санкции. 

Административные штрафы являются наиболее распространенными наказаниями за нарушения GDPR. Они могут быть введены надзорным органом и призваны быть соразмерной и сдерживающей мерой. Размер штрафа зависит от нескольких факторов, включая характер, серьезность и продолжительность нарушения, количество пострадавших лиц и уровень сотрудничества с надзорным органом. Максимальный административный штраф, который может быть наложен за наиболее серьезные нарушения, составляет до 4% от глобального годового дохода организации или 20 миллионов евро, в зависимости от того, что больше. 

Другие санкции за несоблюдение включают судебные запреты, приостановление деятельности по обработке данных и уголовные наказания. Могут быть вынесены судебные запреты, требующие от организации предпринять конкретные действия для соблюдения GDPR, такие как удаление персональных данных или внедрение новых мер по защите данных. Надзорный орган может также распорядиться о приостановлении деятельности по обработке данных, что может оказать существенное влияние на деятельность организации. За умышленные или небрежные нарушения GDPR могут быть применены уголовные наказания, включая штрафы и тюремное заключение. 

В дополнение к финансовым и юридическим последствиям несоблюдение GDPR также может привести к репутационному ущербу для организаций. Неспособность защитить персональные данные может подорвать доверие клиентов и нанести ущерб репутации бренда, что приведет к долгосрочным негативным последствиям для бизнеса организации. 

В целом, штрафы за несоблюдение GDPR являются значительными и призваны побудить организации серьезно относиться к защите данных и внедрять эффективные меры по защите персональных данных. 

Другие Услуги

Готовы к безопасности?

Связаться с нами