06 Кві, 2023

Загальні положення про захист даних (GDPR)

Послуги Відповідності та Управління

Helps organizations meet regulatory requirements and industry standards.

Огляд GDPR 

В сучасну цифрову епоху крадіжка даних стала серйозною проблемою для компаній всіх розмірів і галузей. Крадіжка даних відбувається, коли неуповноважені фізична або юридична особа отримує доступ до конфіденційних даних, що належить організації, таким як ділова конфіденційна інформація, дані клієнтів або інтелектуальна власність. 

Крадіжка даних може відбуватися багатьма способами, наприклад, за допомогою кібератак, фішингових шахрайств або навіть фізичної крадіжки пристроїв, що містять конфіденційні дані. Коли компанія стикається з витоком даних, це може призвести до значних фінансових втрат, збитку репутації та юридичних наслідків. 

Компанії з усіх сил намагалися захистити дані з різних причин, таким як слабкі заходи безпеки, недостатня поінформованість про захист даних і акцент на монетизації даних, а не на конфіденційність. Ця практика призвела до численних гучним витоків даних і випадків неправомірного використання персональних даних. 

Для вирішення цих проблем був введений GDPR, що регулює обробку персональних даних. GDPR вимагає, щоб компанії отримували явне і усвідомлене згоду користувачів перед збором і обробкою даних, впроваджували відповідні заходи безпеки для захисту даних користувача і інформували користувачів про будь-які можливі витоки даних. 

Регламент також надає користувачам більший контроль над своїми даними, надаючи їм право доступу до своїх даних і їх видалення, а також право заперечувати проти їх обробки. Крім того, GDPR уповноважує регулюючі органи накладати значні штрафи на компанії, які порушують його положення, що спонукало організації приділяти пріоритетну увагу захисту даних і впроваджувати практику, відповідну GDPR. 

В цілому, GDPR зіграв вирішальну роль у регулюванні того, як компанії обробляють дані, і змістив акцент на конфіденційність і захист даних. 

Що таке GDPR? 

Загальний регламент щодо захисту даних (GDPR) - це всеосяжний закон про захист даних, який був введений в дію Європейським союзом (ЄС) 25 травня 2018 року. GDPR замінює попередню Директиву про захист даних 95/46 / EC і призначений для посилення та уніфікації захисту даних фізичних осіб на території ЄС, а також для вирішення проблеми експорту персональних даних за межі ЄС. 

Регламент застосовується до будь-якої організації, яка обробляє персональні дані резидентів ЄС, незалежно від того, чи базується організація на території ЄС чи ні. Персональні дані широко визначаються відповідно до GDPR і включають будь-яку інформацію, яка відноситься до ідентифікованого або идентифицируемому фізичній особі, таку як ім'я, адресу електронної пошти або навіть IP-адресу. 

GDPR приділяє більшу увагу правам окремих осіб, включаючи право на доступ до своїх персональних даних і контроль над ними, право бути забутим і право отримувати повідомлення про порушення даних. Це також вимагає від організацій впровадження надійних заходів захисту даних, включаючи конфіденційність за задумом і за замовчуванням, мінімізацію даних і відповідних заходів безпеки. 

Історія GDPR 

Загальний регламент щодо захисту даних (GDPR) був прийнятий Європейським союзом (ЄС) у квітні 2016 року і набрав чинності 25 травня 2018 року. Однак історія GDPR сходить до 1990-м рокам, коли ЄС визнав необхідність регулювання збору та обробки персональних даних. 

У 1995 році ЄС прийняв Директиву про захист даних 95/46/EC, яка була спрямована на гармонізацію законів про захист даних у всіх державах-членах. Директива встановлювала основні принципи захисту даних і вимагала, щоб компанії отримували згоду від фізичних осіб перед збором і обробкою їх персональних даних. 

З часом ЄС визнав необхідність оновлення Директиви про захист даних, щоб врахувати мінливий характер технологій і проблеми конфіденційності даних. У 2012 році Європейська комісія запропонувала всеосяжну реформу законів про захист даних, що веде до створення GDPR. 

GDPR був розроблений, щоб забезпечити більш надійний і уніфікований підхід до захисту даних по всьому ЄС. Постанова зміцнило індивідуальні права, надавши користувачам більший контроль над їхніми персональними даними і створивши основу для забезпечення дотримання законів про захист даних. Це положення створило сильний стимул для компаній приділяти пріоритетну увагу захисту даних і впроваджувати практику, відповідну GDPR. 

GDPR справив значний вплив на те, як компанії збирають і обробляють персональні дані, як всередині ЄС, так і за його межами. Його положення призвели до підвищення обізнаності та розуміння принципів захисту даних, і компанії вклали значні ресурси в дотримання цього регламенту. 

В цілому, історія GDPR підкреслює важливість захисту персональних даних і необхідність всеосяжних і підлягають виконанню законів про захист даних в епоху цифрових технологій. 

Чому існує GDPR? 

Загальний регламент щодо захисту даних (GDPR) існує для зміцнення та гармонізації законів про захист даних у всьому Європейському союзі (ЄС) та захисту конфіденційності персональних даних фізичних осіб. GDPR визнає зростаючий обсяг персональних даних, що збираються і обробляються в сучасну цифрову епоху, і необхідність посилення правил для забезпечення того, щоб окремі особи мали контроль над своїми даними, а компанії зверталися з ними відповідально. 

GDPR був створений для заміни застарілої Директиви про захист даних 95/46 / EC та забезпечення більш всеосяжного і однакового підходу до захисту даних по всьому ЄС. Постанова спрямована на те, щоб надати окремим особам більший контроль над своїми персональними даними, надаючи їм такі права, як право доступу, вилучення і передачі своїх даних, а також право на отримання інформації про те, як використовуються їхні дані. 

GDPR також вимагає, щоб компанії застосовували належні заходи безпеки для захисту персональних даних, проводили оцінку впливу на конфіденційність і повідомляли про порушення даних регулюючим органам протягом 72 годин (близько 3 днів). Ці положення покликані підвищити прозорість і підзвітність при обробці даних і гарантувати, що компанії відповідально звертаються з персональними даними. 

Крім того, GDPR застосовується до будь-якої компанії, яка обробляє персональні дані жителів ЄС, незалежно від того, чи базується компанія в ЄС чи ні. Це положення спрямоване на забезпечення того, щоб компанії, які збирають і обробляють персональні дані громадян ЄС, несли відповідальність за свої дії і щоб окремі особи мали доступ до засобів правового захисту у разі витоку даних або порушення їх прав. 

GDPR існує для захисту конфіденційності та персональних даних фізичних осіб, встановлення єдиного підходу до захисту даних по всьому ЄС і залучення компаній до відповідальності за їхні дії. 

Які види особисті дані чи захищені вони GDPR?

Загальний регламент щодо захисту даних (GDPR) захищає широкий спектр персональних даних, включаючи будь-яку інформацію, що відноситься до ідентифікованого або піддається ідентифікації фізичній особі. Це включає в себе дані, які прямо або побічно ідентифікують фізичну особу, такі як: 

• Основна ідентифікаційна інформація: Ім'я, адреса, адреса електронної пошти, номер телефону, ідентифікаційний номер, номер паспорта або іншого посвідчення особи, видане урядом. 

• Конфіденційна особиста інформація: Інформація про здоров'я, генетичні дані, біометричні дані, сексуальна орієнтація, політичні погляди, релігійні переконання чи расове /етнічне походження. 

• Фінансова інформація та інформація про транзакції: Номери кредитних карт, інформація про банківському рахунку і інші фінансові дані. 

• Онлайн - ідентифікатори: IP-адреса-ідентифікатор пристрою, дані про місцезнаходження та інші онлайн-ідентифікатори. 

• Інформація, пов'язана з професійною діяльністю і працевлаштуванням: Назви посад, історія роботи та інша професійна інформація. 

• Освітня інформація: історія освіти, кваліфікація та інша академічна інформація. 

GDPR також захищає персональні дані, які збираються з допомогою автоматизованих засобів, таких як файли cookie, веб-маяки та інші технології відстеження. 

GDPR захищає широкий спектр персональних даних і спрямований на те, щоб надати окремим особам більший контроль над своїми даними і тим, як вони обробляються. Регламент вимагає, щоб компанії отримували явне і усвідомлене згоду перед збором і обробкою персональних даних, застосовували відповідні заходи безпеки для захисту даних користувача і інформували користувачів про будь витоках даних, які можуть статися. 

Кого стосується GDPR? 

Загальний регламент щодо захисту даних (GDPR) стосується захисту конфіденційності та персональних даних фізичних осіб, які знаходяться в межах Європейського Союзу (EU) та Європейської економічної зони (EEA). GDPR застосовується до всіх фізичним особам, незалежно від їх національності, які знаходяться на території ЄС або ЄЕЗ на момент збирання або обробки їх персональних даних. 

ЄС - це політичний та економічний союз 27 держав-членів, розташованих в основному в Європі. Держави-члени ЄС включають Австрію, Бельгію, Болгарію, Хорватію, Кіпр, Чехію, Данію, Естонію, Фінляндію, Францію, Німеччину, Грецію, Угорщину, Ірландію, Італію, Латвію, Литву, Люксембург, Мальту, Нідерланди, Польщу, Португалію, Румунію, Словаччину, Словенію, Іспанії і Швеції. 

В ЄЕЗ входять усі держави-члени ЄС, а також Ісландія, Ліхтенштейн і Норвегія. Ці країни є частиною ЄЕЗ завдяки своєму членству у Європейській асоціації вільної торгівлі (EFTA), метою якої є сприяння вільної торгівлі та економічної інтеграції між її членами. 

GDPR застосовується до всіх організацій, незалежно від того, знаходяться вони всередині ЄС або ЄЕЗ або за їх межами, які обробляють персональні дані фізичних осіб, що знаходяться на території ЄС або ЄЕЗ. Це означає, що будь-яка організація, що пропонує товари або послуги приватним особам в ЄС або стежить за поведінкою фізичних осіб в ЄС, підпадає під дію GDPR. 

GDPR спрямований на те, щоб надати приватним особам більший контроль над своїми персональними даними і гарантувати, що компанії відповідально звертаються з персональними даними. Регламент вимагає, щоб компанії отримували явне і усвідомлене згоду перед збором і обробкою персональних даних, застосовували відповідні заходи безпеки для захисту даних користувача і інформували користувачів про будь витоках даних, які можуть статися. 

Таким чином, GDPR стосується захисту конфіденційності та персональних даних фізичних осіб у ЄС і ЄЕЗ, в які входять 27 держав-членів ЄС, а також Ісландія, Ліхтенштейн і Норвегія. Регламент застосовується до всіх організацій, які обробляють персональні дані фізичних осіб, що знаходяться на території ЄС або ЄЕЗ, незалежно від їх місцезнаходження. 

Які основні цінності лежать в основі GDPR?

GDPR заснований на семи основних принципах, які можна знайти у статті 5 законодавства. Ці принципи були встановлені для того, щоб дати рекомендації щодо того, як можуть бути оброблені персональні дані. Хоча вони не є строгими правилами, вони служать загальною основою для GDPR і окреслюють його основні цілі. Ці принципи дуже схожі на ті, які діяли в попередніх законах про захист даних. Слідуючи цим принципам, організації можуть гарантувати, що вони обробляють персональні дані відповідальним і етичним чином. Ключовими принципами GDPR є: 

• Законність, справедливість та прозорість: Цей принцип вимагає, щоб обробка даних здійснювалася законно, справедливо і прозоро. Це означає, що фізичні особи мають бути проінформовані про цілі, для яких будуть оброблятися дані, і що вони повинні дати свою згоду на таку обробку. Крім того, обробка даних не повинна здійснюватися порушення будь-яких інших законів чи нормативних актів. 

• Обмеження цілі: Дані повинні збиратися та оброблятися для певних, явних і законних цілей, а не для подальшої обробки способом, несумісним з цими цілями. Це означає, що організації повинні мати конкретну і законну причину для збору та обробки персональних даних фізичної особи і не повинні використовувати ці дані для будь-яких інших цілей без отримання додаткової згоди. 

• Мінімізація даних: Зібрані дані повинні бути адекватними, відповідними і обмежуватися тим, що необхідно у зв'язку з цілями, для яких вони обробляються. Це означає, що організації повинні збирати й обробляти тільки мінімальний обсяг персональних даних, необхідний для досягнення заявленої мети обробки. 

• Точність: Дані повинні бути точними і, при необхідності, оновлюватися. Неточні дані повинні бути виправлені або вилучені. Це означає, що організації повинні зробити кроки для забезпечення того, щоб персональні дані, які вони збирають, були точними і, при необхідності, оновлювались або виправлялися. 

• Обмеження на зберігання: Дані не повинні зберігатися довше, ніж це необхідно для цілей, для яких вони були зібрані. Це означає, що організації повинні мати чіткі правила зберігання та видалення персональних даних і зберігати їх тільки до тих пір, поки це необхідно. 

• Цілісність і конфіденційність: Дані повинні оброблятися способом, що забезпечує належну безпеку, включаючи захист від несанкціонованої або незаконний обробки і від випадкової втрати, знищення або пошкодження. Це означає, що організації повинні вживати заходів для захисту персональних даних, які вони збирають, включаючи шифрування, контроль доступу і інші заходи безпеки. 

• Підзвітність: Контролери даних несуть відповідальність за забезпечення відповідності GDPR і повинні бути в змозі продемонструвати це відповідність. Це означає, що організації повинні вести облік своєї діяльності по обробці даних і повинні бути в змозі надати докази своєї відповідності GDPR за запитом. 

GDPR розроблений для того, щоб надати приватним особам більший контроль над своїми персональними даними та забезпечити прозорість і підзвітність організацій при обробці персональних даних. Слідуючи цим ключовим принципам, організації можуть гарантувати, що вони збирають і обробляють персональні дані відповідальним і етичним чином. 

Які права надані користувачам GDPR? 

Загальний регламент щодо захисту даних (GDPR) надає фізичним особам ряд прав щодо їх персональних даних. Ці права включають в себе: 

• Право на отримання інформації: Фізичні особи мають право на отримання інформації про збір та використання їх персональних даних. 

• Право доступу: Фізичні особи мають право на доступ до своїх персональних даних і знати, як вони обробляються. 

• Право на виправлення: Фізичні особи мають право на виправлення неточних або неповних персональних даних. 

• Право на видалення (або право бути забутим): Фізичні особи мають право на видалення своїх персональних даних при певних обставинах, наприклад, коли дані більше не потрібні для мети, для якої вони були зібрані, або коли фізична особа відкликає свою згоду. 

• Право на обмеження обробки: Фізичні особи мають право вимагати, щоб їхні персональні дані не оброблялися певним чином. 

• Право на переносимість даних: Фізичні особи мають право одержувати свої персональні дані у структурованому, широко використовується і машиночитаемом форматі і передавати ці дані іншого контролеру. 

• Право на заперечення: Фізичні особи мають право заперечувати проти обробки своїх персональних даних при певних обставинах, наприклад, коли обробка заснована на законних інтересах або в цілях прямого маркетингу. 

• Право не піддаватися автоматизованого прийняття рішень: Фізичні особи мають право не піддаватися рішення, що грунтується виключно на автоматизованій обробці, включаючи профілювання, яке має для них юридичні або істотні наслідки. 

Ці права дають окремим особам більший контроль над своїми персональними даними і тим, як вони обробляються. Організації повинні дотримуватися ці права, і невиконання цієї вимоги може призвести до значних штрафів і збитку репутації. 

Хто є регулюючим органом, відповідальним за перевірку порушень та забезпечення дотримання юридичних зобов'язань? 

Регулюючий орган, відповідальний за перевірку порушень та забезпечення дотримання юридичних зобов'язань у відповідності з Загальним регламентом щодо захисту даних (GDPR), відомий як наглядовий орган. Кожна держава-член Європейського союзу зобов'язана створити один або кілька наглядових органів для контролю та забезпечення дотримання GDPR в межах своєї юрисдикції. 

Роль наглядового органу полягає у забезпеченні того, щоб організації, які обробляють персональні дані, дотримувалися правила GDPR. Це включає в себе розслідування скарг, проведення аудитів та накладення санкцій і штрафів за недотримання. Наглядовий орган має право наказати організації вжити коригуючі дії для усунення будь-яких порушень GDPR і при необхідності припинити або заборонити діяльність по обробці даних. 

Наглядовий орган також несе відповідальність за співпрацю з іншими наглядовими органами в різних державах-членах для забезпечення послідовного дотримання GDPR по всьому Європейському Союзу. Це співробітництво включає в себе обмін інформацією та надання взаємної допомоги в проведенні розслідувань. 

Крім того, наглядовий орган відіграє певну роль у наданні рекомендацій організаціям про те, як дотримуватися правила GDPR. Вони можуть видавати посібники, рекомендації, передовий досвід, щоб допомогти організаціям зрозуміти свої зобов'язання за GDPR і впровадити ефективні заходи щодо захисту даних. 

В цілому, наглядовий орган є найважливішим елементом нормативної бази GDPR, гарантує, що організації поважають права окремих осіб на недоторканність приватного життя і сприяє належному використанню персональних даних. 

 

Які штрафи GDPR за недотримання? 

Загальний регламент щодо захисту даних (GDPR) встановлює значні штрафи для організацій, які не дотримуються його вимоги. Покарання за недотримання можна розділити на дві категорії: адміністративні штрафи та інші санкції. 

Адміністративні штрафи є найбільш поширеними покараннями за порушення GDPR. Вони можуть бути введені наглядовим органом і покликані бути сумірною і стримуючою мірою. Розмір штрафу залежить від декількох факторів, включаючи характер, серйозність і тривалість порушення, кількість постраждалих осіб та рівень співробітництва з наглядовим органом. Максимальний адміністративний штраф, який може бути накладений за найбільш серйозні порушення, становить до 4% від глобального річного доходу організації або 20 мільйонів євро, в залежності від того, що більше. 

Інші санкції за недотримання включають судові заборони, призупинення діяльності по обробці даних і кримінальні покарання. Можуть бути винесені судові заборони, що вимагають від організації зробити конкретні дії для дотримання GDPR, такі як видалення персональних даних або впровадження нових заходів щодо захисту даних. Наглядовий орган може також розпорядитись про призупинення діяльності по обробці даних, що може зробити істотний вплив на діяльність організації. За умисні або недбалі порушення GDPR можуть бути застосовані кримінальні покарання, включаючи штрафи і тюремне ув'язнення. 

В доповнення до фінансових і юридичних наслідків недотримання GDPR також може призвести до репутаційного збитку для організацій. Нездатність захистити персональні дані може підірвати довіру клієнтів і завдати шкоди репутації бренду, що призведе до довгострокових негативних наслідків для бізнесу організації. 

В цілому, штрафи за недотримання GDPR є значними і покликані спонукати організації серйозно ставитися до захисту даних та впроваджувати ефективні заходи по захисту персональних даних. 

Інші Послуги

Готові до безпеки?

зв'язатися з нами