Общее положение о защите данных GDPR 2018
Общее положение о защите данных (GDPR) – это самый сильный в мире набор правил защиты данных, который применяется в ЕС. Этот закон был разработан для улучшения защиты личной информации человека и ее обработки организациями.
GDPR вступил в силу 25 мая 2018 года; однако GDPR был опубликован в Официальном журнале ЕС в мае 2016 года. Двухлетний период был предоставлен предприятиям и государственным органам для подготовки положений, которые были включены в закон.
В этом регламенте содержатся правила для предприятий и организаций государственного сектора о том, как обращаться с информацией клиента. Более того, он дает привилегии отдельным лицам за их права и больше управляет их информацией.
GDPR заменяет какой закон?
GDPR заменяет ранее действовавший в Европе закон «Директива о защите данных 1995 года». Эта директива шла в ногу с технологическими изменениями.
GDPR – это набор правил для всей Европы, но он обязывает каждое государство-член осуществлять небольшие изменения в своей стране. Поэтому правительство Великобритании приняло новый Закон о защите данных (DPA) 2018 года, который заменил предыдущий Закон о защите данных 1998 года.
DPA (2018) был вынужден в Великобритании незадолго до реализации GDPR. Этот закон Великобритании был принят после официального разрешения Палаты общин и Палаты лордов.
У DPA, в начале, было много противоречий и путаницы. Позже в закон были внесены поправки, обеспечивающие защиту исследователей в области кибербезопасности, которые занимаются выявлением нарушений персональных данных после того, как эксперты отметили, что закон может привести к криминализации их работы.
Тем не менее, политики стремятся провести второе расследование в отношении стандартов прессы в Великобритании, проведенное Левесоном, но это было отменено в самом конце.
Что такое GDPR?
GDPR – это новый закон, принятый в Европе для законов о защите данных. Основной целью GDPR является внедрение единых законов о конфиденциальности данных в Европе. Кроме того, он нацелен на обеспечение лучшей защиты и расширение прав граждан.
Регулирование GDPR охватывает важные изменения для общественности, а также организаций и органов, которые занимаются личной информацией человека.
Этот иск был принят Европейским парламентом и Европейским советом в апреле 2016 года после четырех лет обсуждений и переговоров. Затем закон был опубликован в конце месяца.
Но закон вступил в силу через два года в 2018 году, чтобы дать адекватный период подготовки пострадавшим органам.
Полное регулирование GDPR включает в себя в общей сложности 99 статей, касающихся права личности и обязательств, возложенных на организации в соответствии с регламентом.
На кого влияет закон?
Закон может затронуть практически все организации, отдельных лиц и компании. Все субъекты, которые являются контролерами или обработчиками персональных данных, подпадают под действие правил GDRP.
Те, кто подпадают под действие закона DPA, также подчиняются GDPR, как сообщает ICO на официальном сайте.
Термины «персональные данные» и «конфиденциальные персональные данные» охватываются GDPR. Персональные данные – это более широкая категория, которая определяется как материал, который может дать ключ к идентификации личности. Например, имя человека, адрес электронной почты или IP-адрес.
К конфиденциальным личным данным относятся такие данные, как генетические данные, информация о религиозных и политических взглядах, сексуальной ориентации и другие.
Эти определения почти такие же, как и в предыдущих законах о защите данных. Однако GDPR отличается от существующих законов о защите данных таким образом, что псевдонимные персональные данные могут подпадать под действие закона, если лицо может быть идентифицировано псевдонимом.
Подотчетность и соответствие
GDPR привлекает компании к ответственности за то, как они обрабатывают данные отдельных лиц. Это может включать в себя политики защиты данных, оценку воздействия на защиту данных и наличие соответствующих документов о том, как обрабатываются данные.
Согласно законам GDPR, «уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к» данным человека должны быть адресованы государственному регулятору защиты данных, когда есть вероятность разрушительного воздействия на тех, чьи данные задействованы. Сюда также могут входить финансовые потери, нарушения конфиденциальности, влияние на репутацию или что-то еще, но это не ограничивается этим.
Также необходимо сообщить ICO о нарушении в течение 72 часов после того, как организация получит информацию об этом. Кроме того, они должны поделиться влиянием нарушения на людей.
Организации, в которых работает более 250 человек, должны иметь документацию о том, почему информация о человеке собирается и обрабатывается. Кроме того, они должны описать данные, которые хранятся, время, в течение которого они хранятся, и информацию о предлагаемых технических мерах безопасности.
Более того, организациям, которые регулярно и систематически обрабатывают информацию отдельного лица или обрабатывают много конфиденциальной информации, приходится нанимать сотрудника по защите данных (DPO).
DPO должен обращаться к старшим сотрудникам, контролировать соглашение с GDPR и быть связующим звеном для сотрудников и клиентов.
Организациям также необходимо получить согласие на обработку данных в определенных ситуациях. В таких ситуациях требуется согласие, организация должна четко объяснить, какое согласие дано, и оно должно быть «положительным».
Вот сообщение в блоге, из которого организации могут искать ситуации, когда данные отдельных лиц могут обрабатываться без согласия.
Права на личность
GDPR дает людям больше возможностей для доступа к информации, которой владеют окружающие их организации.
Subject Access Request (SAR) предоставляет людям право запрашивать данные, которые компания или организация хранит о них. В предыдущем регламенте запрос на доступ стоил £ 10, но GDPR убирает эту стоимость и делает ее абсолютно бесплатной. Когда кто-либо предпринимает попытку SAR, предприятия должны предоставить информацию в течение одного месяца.
Каждый человек имеет право подтвердить, что организация имеет информацию о них, подход к информации и любую другую дополнительную информацию.
Люди могут также принудительно удалить свои личные данные при определенных обстоятельствах. Например, если цель обработки данных больше не существует, если согласие отозвано, в этом нет никакой юридической необходимости или она обрабатывается незаконно.
Штрафы
Регулирование GDPR налагает штрафы на предприятия и организации, которые не соответствуют закону. Например, в случае нарушения безопасности отсутствие сотрудника по защите данных или ненадлежащее обращение с данными людей может привести к штрафу.
GDPR может наложить штраф в размере до 10 миллионов евро или двух процентов от глобального оборота фирмы за мелкое правонарушение. Компании с более серьезными правонарушениями могут получить штраф в размере 20 миллионов евро или четыре процента от мирового оборота фирмы. Тем не менее, денежные штрафы в Великобритании будут решаться в офисе Denham. Эти штрафы больше, чем предыдущая сумма в 500 000 фунтов стерлингов, наложенная ICO.
Дальнейшая информация
Для предприятий действительно трудно полностью соблюдать правила и положения GDPR. Существует руководство ICO по различным правам и принципам GDPR.
Кроме того, есть руководство для начинающих, которое включает в себя руководство по таким шагам, как информирование старших руководителей бизнеса о регулировании, обновлении процесса вокруг запросов на предметный доступ и о том, что должно произойти в момент взлома данных.
Вы можете прочитать полный документ GDPR (88 страниц и 99 статей) здесь .