Общий регламент по защите данных (Регламент (ЕС) 2016/679, сокращенно GDPR ) — это регламент Европейского Союза о конфиденциальности информации в Европейском Союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). GDPR является важным компонентом законодательства ЕС о конфиденциальности и законодательства о правах человека , в частности статьи 8(1) Хартии основных прав Европейского Союза . Он также регулирует передачу персональных данных за пределы ЕС и ЕЭЗ. Целями GDPR являются усиление контроля и прав отдельных лиц в отношении их личной информации, а также упрощение правил международного бизнеса . [1] Она заменяет Директиву о защите данных 95/46/EC и, среди прочего, упрощает терминологию.
Европейский парламент и Совет Европейского Союза приняли GDPR 14 апреля 2016 года, который вступит в силу 25 мая 2018 года. Будучи постановлением ЕС (вместо директивы ) , GDPR имеет силу закона сам по себе, без необходимости транспозиции . _ Однако он также предоставляет отдельным государствам-членам возможность изменять (отступать от) некоторых его положений.
Постановление стало образцом для многих других законов по всему миру, в том числе в Турции, Маврикии, Чили, Японии, Бразилии, Южной Корее, Южной Африке, Аргентине и Кении. После выхода из Европейского Союза Соединенное Королевство приняло «GDPR Великобритании», идентичный GDPR. Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR. [2]
GDPR 2016 состоит из одиннадцати глав, касающихся общих положений, принципов, прав субъекта данных, обязанностей контролеров или обработчиков данных, передачи персональных данных в третьи страны, надзорных органов, сотрудничества между государствами-членами, средств правовой защиты, ответственности или санкций за нарушение права и различные заключительные положения. В декларативной части 4 провозглашается, что «обработка персональных данных должна быть направлена на служение человечеству».
Постановление применяется, если контролер данных (организация, которая собирает информацию о живых людях, независимо от того, находятся они в ЕС или нет) или процессор (организация, которая обрабатывает данные от имени контролера данных, например, поставщики облачных услуг), или данные субъект (человек) находится в ЕС. При определенных обстоятельствах [3] это регулирование также применяется к организациям, базирующимся за пределами ЕС, если они собирают или обрабатывают персональные данные физических лиц, находящихся на территории ЕС. Постановление не распространяется на обработку данных лицом для «чисто личной или бытовой деятельности и, следовательно, не связанной с профессиональной или коммерческой деятельностью». (Концерт 18)
По мнению Европейской комиссии , «Персональные данные — это информация, которая относится к идентифицированному или поддающемуся идентификации физическому лицу. Если вы не можете напрямую идентифицировать физическое лицо на основе этой информации, вам необходимо рассмотреть вопрос о том, можно ли еще идентифицировать это физическое лицо. Вам следует принять во внимание информацию вы обрабатываете данные вместе со всеми средствами, которые могут быть разумно использованы вами или любым другим лицом для идентификации этого человека». [4] Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контролер» и «обработчик» приведены в статье 4 Регламента. [5]
Постановление не распространяется на обработку персональных данных в целях национальной безопасности или правоохранительных органов ЕС; однако отраслевые группы, обеспокоенные возможным конфликтом законов, задаются вопросом, можно ли использовать статью 48 [5] GDPR, чтобы помешать контроллеру данных, на которого распространяются законы третьей страны, соблюдать законный приказ правоохранительных органов этой страны. , судебным органам или органам национальной безопасности раскрывать таким органам персональные данные лица из ЕС, независимо от того, находятся ли эти данные в ЕС или за его пределами. Статья 48 гласит, что любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от контролера или обработчика передать или раскрыть персональные данные, не могут быть признаны или подлежать исполнению каким-либо образом, если они не основаны на международном соглашении, например договор о взаимной правовой помощи , действующий между запрашивающей третьей страной (не входящей в ЕС) и ЕС или государством-членом. [6] Пакет реформ по защите данных также включает отдельную Директиву о защите данных для полиции и сектора уголовного правосудия, которая устанавливает правила обмена личными данными на уровне штата , Союза и международном уровне. [7]
Единый свод правил применяется ко всем государствам-членам ЕС. Каждое государство-член создает независимый надзорный орган (SA) для рассмотрения и расследования жалоб, применения санкций к административным правонарушениям и т. д. SA в каждом государстве-члене сотрудничают с другими SA, оказывая взаимную помощь и организуя совместные операции. Если у компании есть несколько предприятий в ЕС, у нее должен быть один SA в качестве «ведущего органа» в зависимости от местоположения ее «основного предприятия», где осуществляется основная деятельность по переработке. Таким образом, ведущий орган действует как « единое окно », контролируя всю перерабатывающую деятельность этого бизнеса на всей территории ЕС ( статьи 46–55 GDPR). [8] [9] Европейский совет по защите данных (EDPB) координирует деятельность SA. Таким образом, EDPB заменяет Рабочую группу по защите данных, предусмотренную статьей 29 . Существуют исключения для данных, обрабатываемых в контексте трудоустройства или национальной безопасности, которые по-прежнему могут регулироваться правилами отдельных стран ( статьи 2(2)(a) и 88 GDPR).
Статья 5 устанавливает шесть принципов , касающихся законности обработки персональных данных. Первый из них предусматривает, что данные должны обрабатываться законно, справедливо и прозрачно. Статья 6 развивает этот принцип, уточняя, что персональные данные не могут обрабатываться, если для этого нет хотя бы одного юридического основания. Другие принципы относятся к «ограничению цели», « минимизации данных », «точности», «ограничению хранения» и «целостности и конфиденциальности». [10] : Статья 5
Статья 6 гласит, что законными целями являются: [10] : Статья 6.
Если информированное согласие используется в качестве законного основания для обработки, согласие должно быть явным для собранных данных и для каждой цели использования данных ( статья 7 ; определено в статье 4 ). [11] [12] Согласие должно быть конкретным, свободно данным, ясно сформулированным и недвусмысленным подтверждением, данным субъектом данных; онлайн-форма, в которой параметры согласия структурированы как вариант отказа, выбранный по умолчанию, является нарушением GDPR, поскольку согласие не подтверждается однозначно пользователем. Кроме того, несколько типов обработки не могут быть «объединены» в один запрос подтверждения, поскольку это не является специфичным для каждого использования данных, а отдельные разрешения не предоставляются свободно. (Концерт 32)
Субъектам данных должно быть разрешено отозвать это согласие в любое время, и процесс этого не должен быть сложнее, чем процесс согласия. ( Статья 7(3) ). Контроллер данных не может отказать в обслуживании пользователям, которые отклоняют согласие на обработка, которая не является строго необходимой для использования услуги. ( Статья 8 ) Согласие для детей, определенных в постановлении как достигшие возраста менее 16 лет (хотя с возможностью для государств-членов в индивидуальном порядке сделать этот возраст менее 13 лет ( Статья 8(1) ), должно быть дано родителем или опекуном ребенка и поддающимся проверке ( статья 8 ). [13] [14]
Если согласие на обработку уже было предоставлено в соответствии с Директивой о защите данных, контролеру данных не нужно повторно получать согласие, если обработка документирована и получена в соответствии с требованиями GDPR (декларатив 171). [15] [16]
Статья 12 требует, чтобы контролер данных предоставлял информацию «субъекту данных в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык, в частности, для любой информации, адресованной конкретно ребенку». [6]
Право доступа ( статья 15 ) является правом субъекта данных. [17] Оно дает людям право на доступ к своим личным данным и информации о том, как эти личные данные обрабатываются. Контроллер данных должен предоставить по запросу обзор категорий обрабатываемых данных (статья 15(1)(b)), а также копию фактических данных ( статья 15(3) ); кроме того, контролер данных должен информировать субъекта данных о деталях обработки, таких как цели обработки ( статья 15(1)(a) ), кому передаются данные ( статья 15(1)(c) ) и как он получил данные ( статья 15(1)(g) ).
Субъект данных должен иметь возможность передавать персональные данные из одной электронной системы обработки в другую без препятствий со стороны контролера данных. Данные, которые были достаточно анонимизированы, исключаются, но данные, которые были только обезличены, но которые можно связать с рассматриваемым лицом, например, путем предоставления соответствующего идентификатора, не исключаются. [18] Однако на практике предоставление таких идентификаторов может оказаться затруднительным, как, например, в случае с Siri от Apple , где голосовые и расшифрованные данные хранятся с личным идентификатором, к которому производитель ограничивает доступ, [19] или в онлайн-поведенческом таргетинге. , который в значительной степени зависит от отпечатков пальцев устройства , которые может быть сложно захватить, отправить и проверить. [20]
Включены как данные, «предоставляемые» субъектом данных, так и данные, которые «наблюдаются», например, о поведении. Кроме того, данные должны предоставляться контролером в структурированном и широко используемом стандартном электронном формате. Право на переносимость данных предусмотрено статьей 20 GDPR. [21]
Право на забвение было заменено более ограниченным правом на удаление в версии GDPR, принятой Европейским парламентом в марте 2014 года. [22] [23] Статья 17 предусматривает, что субъект данных имеет право запросить удаление. связанных с ними персональных данных по любому из ряда оснований, включая несоблюдение статьи 6(1) (законность), которая включает случай (f), если законные интересы контролера преобладают над интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных (см. также Google Spain SL, Google Inc. против Испанского агентства по защите данных, Марио Костеха Гонсалес ). [6] [24]
Статья 21 GDPR позволяет физическому лицу возражать против обработки личной информации в маркетинговых или не связанных с обслуживанием целях. [25] Это означает, что контролер данных должен предоставить физическому лицу право остановить или запретить контролеру обработку его персональных данных.
Есть некоторые случаи, когда это возражение не применимо. Например, если:
GDPR также четко определяет, что контролер данных должен информировать людей об их праве на возражение при первом общении с ними. Это должно быть ясно и отдельно от любой другой информации, которую предоставляет контролер, и предоставлять им варианты того, как лучше всего возражать против обработки их данных.
Бывают случаи, когда контролер может отклонить запрос в обстоятельствах, когда запрос на возражение является «явно необоснованным» или «чрезмерным», поэтому каждый случай возражения должен рассматриваться индивидуально. [25] Другие страны, такие как Канада [26] , также, следуя GDPR, рассматривают возможность принятия законодательства, регулирующего автоматизированное принятие решений в соответствии с законами о конфиденциальности, хотя существуют политические вопросы относительно того, является ли это лучшим способом регулирования ИИ. [ нужна цитата ]
Статья 82 GDPR предусматривает, что любое лицо, понесшее материальный или нематериальный ущерб в результате нарушения настоящего Регламента, имеет право на получение компенсации от контролера или процессора за причиненный ущерб.
В решении Österreichische Post (C-300/21) Суд Европейского Союза дал толкование права на компенсацию. [27] Статья 82(1) GDPR требует возмещения убытков (i) за нарушение GDPR, (ii) (фактического) понесенного ущерба и (iii) причинно-следственной связи между нарушением и понесенным ущербом. Не обязательно, чтобы причиненный ущерб достиг определенной степени серьезности. В Европе не существует определенной концепции ущерба. Компенсация определяется на национальном уровне в соответствии с национальным законодательством. Необходимо учитывать принципы эквивалентности и эффективности. [28]
См. также заключение Генерального адвоката по делу Krankenversicherung Nordrhein (C-667/21). [29]
Контроллеры данных должны четко раскрывать информацию о любом сборе данных , заявлять о законных основаниях и целях обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим лицам или за пределами ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей до такой степени, чтобы извлекались только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить портативную копию данных, собранных контролером, в общем формате, а также право на удаление своих данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых состоит в регулярной или систематической обработке персональных данных, обязаны нанять сотрудника по защите данных (DPO), который отвечает за контроль соблюдения GDPR. Предприятия должны сообщать об утечках данных национальным надзорным органам в течение 72 часов, если они оказывают негативное влияние на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% от годового мирового оборота за предыдущий финансовый год для предприятия, в зависимости от того, что больше.
Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен реализовать меры, которые соответствуют принципам защиты данных по замыслу и по умолчанию. Статья 25 требует, чтобы меры защиты данных были включены в разработку бизнес-процессов для продуктов и услуг. Такие меры включают псевдонимизацию персональных данных контролером в кратчайшие сроки (пункт 78 декларативной информации). Контроллер данных несет ответственность за реализацию эффективных мер и способность продемонстрировать соответствие действий по обработке, даже если обработка выполняется обработчиком данных от имени контроллера (пункт 74 декларативной части). [6] При сборе данных субъекты данных должны быть четко проинформированы об объеме сбора данных, правовой основе обработки персональных данных, как долго хранятся данные, передаются ли данные третьей стороне и/или за пределами ЕС, а также любое автоматизированное принятие решений , осуществляемое исключительно на алгоритмической основе. Субъекты данных должны быть проинформированы о своих правах на конфиденциальность в соответствии с GDPR, включая их право отозвать согласие на обработку данных в любое время, их право просматривать свои личные данные и получить доступ к обзору того, как они обрабатываются, их право на получение портативного устройства . копию сохраненных данных , их право на удаление своих данных при определенных обстоятельствах, их право оспаривать любое автоматическое принятие решения, которое было принято исключительно на алгоритмической основе, а также их право подавать жалобы в орган по защите данных . Таким образом, субъекту данных также должны быть предоставлены контактные данные контролера данных и назначенного им сотрудника по защите данных, где это применимо. [30] [31]
Оценка воздействия на защиту данных ( статья 35 ) должна проводиться в случае возникновения особых рисков для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а в случае высоких рисков требуется предварительное одобрение органов по защите данных.
Статья 25 требует, чтобы защита данных была предусмотрена при разработке бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности по умолчанию должны быть установлены на высоком уровне, а контролер должен принять технические и процедурные меры, чтобы гарантировать, что обработка на протяжении всего жизненного цикла обработки соответствует нормативам. Контролеры также должны внедрить механизмы, гарантирующие, что персональные данные не будут обрабатываться, кроме случаев, когда это необходимо для каждой конкретной цели. Это известно как минимизация данных.
В отчете [32] Агентства Европейского Союза по сетевой и информационной безопасности подробно описывается, что необходимо сделать, чтобы обеспечить конфиденциальность и защиту данных по умолчанию. В нем указывается, что операции шифрования и дешифрования должны выполняться локально, а не с помощью удаленной службы, поскольку и ключи, и данные должны оставаться во власти владельца данных, если требуется обеспечить какую-либо конфиденциальность. В отчете указывается, что аутсорсинговое хранение данных в удаленных облаках практично и относительно безопасно, если только владелец данных, а не облачная служба, владеет ключами расшифровки.
Согласно GDPR, псевдонимизация — это обязательный процесс для хранимых данных, который преобразует персональные данные таким образом, что полученные данные невозможно отнести к конкретному субъекту данных без использования дополнительной информации (в качестве альтернативы другому варианту полных данных) . анонимизация ). [33] Примером является шифрование , которое делает исходные данные неразборчивыми в процессе, который невозможно отменить без доступа к правильному ключу дешифрования . GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонимизированных данных.
Другим примером псевдонимизации является токенизация , которая представляет собой нематематический подход к защите хранящихся данных, при котором конфиденциальные данные заменяются неконфиденциальными заменителями, называемыми токенами. Хотя токены не имеют никакого внешнего или эксплуатационного значения или ценности, они позволяют полностью или частично видеть определенные данные для обработки и анализа, в то время как конфиденциальная информация остается скрытой. Токенизация не меняет тип или длину данных, а это означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных. Это также требует гораздо меньше вычислительных ресурсов для обработки и меньше места для хранения в базах данных, чем традиционно зашифрованные данные.
Псевдонимизация — это технология, повышающая конфиденциальность , и ее рекомендуется снижать риски для соответствующих субъектов данных, а также помогать контролерам и обработчикам выполнять свои обязательства по защите данных (декларатив 28). [34]
Согласно статьям 30 , [6] записи о деятельности по обработке должны вестись каждой организацией, соответствующей одному из следующих критериев:
Такие требования могут быть изменены каждой страной ЕС. Записи должны быть в электронной форме, и контролер или обработчик и, если применимо, контролер или представитель обработчика должны предоставить записи надзорному органу по запросу.
Записи контролера должны содержать всю следующую информацию:
Записи обработчика должны содержать всю следующую информацию:
Контролеры и обработчики персональных данных должны принять соответствующие технические и организационные меры для реализации принципов защиты данных. Бизнес-процессы обработки персональных данных должны быть спроектированы и построены с учетом принципов и обеспечивать меры защиты данных (например, с использованием псевдонимизации или полной анонимизации , где это необходимо). Контролеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, по умолчанию используются максимально возможные настройки конфиденциальности, чтобы наборы данных по умолчанию не были общедоступными и не могли использоваться для идентификации субъекта. Никакие персональные данные не могут обрабатываться, если эта обработка не осуществляется на основании одного из шести законных оснований, указанных в постановлении ( согласие , договор, общественное задание, жизненный интерес, законный интерес или законное требование). Если обработка основана на согласии, субъект данных имеет право отозвать его в любое время.
Статья 33 гласит, что контролер данных обязан по закону уведомить надзорный орган без неоправданной задержки, за исключением случаев, когда нарушение маловероятно приведет к риску для прав и свобод отдельных лиц. Чтобы сообщить об утечке данных, может пройти максимум 72 часа после того, как стало известно об утечке данных. Лица должны быть уведомлены, если установлен высокий риск неблагоприятного воздействия ( статья 34 ). Кроме того, обработчик данных должен будет безотлагательно уведомить контролера после того, как ему станет известно об утечке персональных данных ( статья 33 ). Однако уведомление субъектов данных не требуется, если контролер данных принял соответствующие технические и организационные меры защиты, которые делают персональные данные непонятными для любого лица, не имеющего права доступа к ним, например, шифрование ( статья 34 ). [6]
Статья 37 требует назначения уполномоченного по защите данных. Если обработка осуществляется государственным органом (за исключением судов или независимых судебных органов, действующих в их судебных полномочиях), или если операции по обработке предполагают регулярный и систематический мониторинг субъектов данных в больших масштабах, или если обработка в больших масштабах особых категорий данных и персональных данных, касающихся уголовных судимостей и преступлений ( статьи 9 и статьи 10 , [35] ), должно быть назначено должностное лицо по защите данных (DPO) — лицо, обладающее экспертными знаниями законодательства и практики защиты данных — для оказания помощи контролера или обработчика при контроле их внутреннего соблюдения Регламента. [6]
Назначенный DPO может быть действующим сотрудником контролера или процессора, либо эта роль может быть передана на аутсорсинг внешнему лицу или агентству посредством контракта на обслуживание. В любом случае обрабатывающий орган должен убедиться в отсутствии конфликта интересов в других ролях или интересах, которыми может обладать DPO. Контактные данные DPO должны быть опубликованы обрабатывающей организацией (например, в уведомлении о конфиденциальности) и зарегистрированы в надзорном органе.
DPO аналогичен сотруднику по обеспечению соответствия, и ожидается, что он также будет владеть навыками управления ИТ-процессами, безопасностью данных (включая борьбу с кибератаками ) и другими важными вопросами непрерывности бизнеса , связанными с хранением и обработкой личных и конфиденциальных данных. Требуемый набор навыков выходит за рамки понимания соблюдения законов и правил о защите данных. DPO должен поддерживать актуальный реестр всех данных, собранных и хранящихся от имени организации. [36] Более подробная информация о функциях и роли ответственного за защиту данных представлена 13 декабря 2016 г. (с изменениями от 5 апреля 2017 г.) в руководящем документе. [37]
Организации, базирующиеся за пределами ЕС, также должны назначить лицо, находящееся в ЕС, в качестве представителя и контактного лица для выполнения своих обязательств GDPR ( статья 27 ). Это отдельная роль от функции DPO, хотя существует дублирование обязанностей, что позволяет предположить, что эту роль также может выполнять назначенный DPO. [38]
Помимо определения уголовного преступления в соответствии с национальным законодательством в соответствии со статьей 83 GDPR, могут быть наложены следующие санкции:
Это некоторые случаи, которые конкретно не рассматриваются в GDPR и поэтому рассматриваются как исключения. [40]
Когда создавался GDPR, он был создан исключительно для регулирования персональных данных, которые попадают в руки компаний. [ нужна ссылка ] GDPR не распространяется на некоммерческую информацию или бытовую деятельность. [41] [ не удалось пройти проверку ] Примером таких домашних дел могут быть электронные письма между двумя школьными друзьями.
И наоборот, чтобы на него распространялся GDPR, организация или, точнее, «предприятие» должна заниматься «экономической деятельностью». [b] Экономическая деятельность имеет широкое определение в соответствии с законодательством Европейского Союза о конкуренции . [42]
GDPR также применяется к контролерам и обработчикам данных за пределами Европейской экономической зоны (ЕЭЗ), если они занимаются «предложением товаров или услуг» (независимо от того, требуется ли оплата) субъектам данных в пределах ЕЭЗ или осуществляют мониторинг. поведение субъектов данных в ЕЭЗ (статья 3(2)). Постановление применяется независимо от того, где происходит обработка. [43] Это было истолковано как намеренное предоставление экстерриториальной юрисдикции GDPR предприятиям, не входящим в ЕС, если они ведут бизнес с людьми, находящимися в ЕС. Сомнительно, смогут ли ЕС или его государства-члены на практике обеспечить соблюдение GDPR в отношении организаций, которые не имеют представительства в ЕС. [44]
Согласно статье 27, предприятия, не входящие в ЕС, на которые распространяется GDPR, обязаны иметь уполномоченного представителя в Европейском Союзе, «представителя ЕС», который будет служить контактным лицом для выполнения своих обязательств в соответствии с регламентом. Представитель ЕС является контактным лицом Контролера или Обработчика по отношению к европейским органам надзора за соблюдением конфиденциальности и субъектами данных по всем вопросам, связанным с обработкой, для обеспечения соблюдения настоящего GDPR. Роль Представителя ЕС может играть физическое (физическое лицо) или моральное (корпоративное) лицо. [45] Учреждение, не входящее в ЕС, должно выдать должным образом подписанный документ (письмо об аккредитации), назначающий данное физическое лицо или компанию своим представителем в ЕС. Указанное обозначение может быть дано только в письменной форме. [46]
Неспособность учреждения назначить представителя в ЕС считается незнанием правил и соответствующих обязательств, что само по себе является нарушением GDPR и влечет за собой штраф в размере до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год. в случае предприятия, в зависимости от того, что больше. Умышленный или небрежный (умышленная слепота) характер нарушения (неназначение представителя ЕС) скорее может представлять собой отягчающее обстоятельство. [47]
Учреждению не нужно назначать Представителя ЕС, если оно занимается лишь эпизодической обработкой, которая не включает в себя в больших масштабах обработку особых категорий данных, указанных в статье 9 (1) GDPR, или обработку персональных данных, касающихся к уголовным осуждениям и правонарушениям, указанным в статье 10, и такая обработка вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, объем и цели обработки. [6] Государственные органы и органы, не входящие в ЕС, в равной степени освобождаются от налога. [48]
Глава V GDPR запрещает передачу персональных данных субъектов данных ЕС в страны за пределами ЕЭЗ, известные как третьи страны , за исключением случаев, когда установлены соответствующие гарантии или правила защиты данных третьей страны официально считаются адекватными Европейской комиссией ( статья 45). [49] [50] Среди примеров можно назвать обязательные корпоративные правила , стандартные договорные положения о защите данных, сформулированные в Соглашении об обработке данных (DPA), или схему обязательных и подлежащих исполнению обязательств контролера или процессора данных, находящегося в третьей стране. [51]
На применимость GDPR в Соединенном Королевстве влияет Брексит . Хотя Великобритания официально вышла из Европейского Союза 31 января 2020 года, она оставалась под действием законодательства ЕС, включая GDPR, до конца переходного периода 31 декабря 2020 года. [49] Соединенное Королевство предоставило королевское согласие на защиту данных. Закон 2018 года от 23 мая 2018 года, который дополнил GDPR, включая аспекты регулирования, которые должны быть определены национальным законодательством, а также уголовные преступления за сознательное или неосторожное получение, перераспределение или хранение персональных данных без согласия контролера данных. [53] [54]
В соответствии с Законом о Европейском Союзе (выходе) 2018 года существующее и соответствующее законодательство ЕС было перенесено в местное законодательство после завершения перехода, а в GDPR были внесены поправки нормативным актом , удаляющие определенные положения, которые больше не нужны из-за нечленства Великобритании в ЕС. ЕВРОСОЮЗ. После этого регламент будет называться «GDPR Великобритании». [55] [50] [49] Великобритания не будет ограничивать передачу персональных данных в страны ЕЭЗ в соответствии с GDPR Великобритании. Тем не менее, Великобритания станет третьей страной в соответствии с GDPR ЕС, а это означает, что персональные данные не могут быть переданы в страну, если не будут установлены соответствующие меры безопасности или Европейская комиссия не примет решение об адекватности британского законодательства о защите данных (Глава V). ). В рамках соглашения о выходе Европейская комиссия обязалась провести оценку адекватности. [49] [50]
В апреле 2019 года Управление комиссара по информации Великобритании (ICO) опубликовало свод правил для детей в отношении услуг социальных сетей при их использовании несовершеннолетними, подлежащий исполнению в соответствии с GDPR, который также включает ограничения на механизмы « лайков » и «полос», чтобы препятствовать использованию социальных сетей. зависимость и использование этих данных для обработки интересов. [56] [57]
В марте 2021 года государственный секретарь по цифровым технологиям, культуре, СМИ и спорту Оливер Дауден заявил, что Великобритания изучает возможность отклонения от GDPR ЕС, чтобы «[сосредоточиться] больше на результатах, которые мы хотим получить, а не на бремени правила, налагаемые на отдельные предприятия». [58]
Некоторые распространенные заблуждения о GDPR включают в себя:
Согласно исследованию, проведенному Deloitte в 2018 году, 92% компаний считают, что они смогут соблюдать GDPR в своей деловой практике в долгосрочной перспективе. [63]
Компании, работающие за пределами ЕС, вложили значительные средства в приведение своей деловой практики в соответствие с GDPR. Область согласия GDPR имеет ряд последствий для предприятий, которые на практике записывают звонки. Типичный отказ от ответственности не считается достаточным для получения предполагаемого согласия на запись разговоров. Кроме того, если после начала записи вызывающий абонент отзовет свое согласие, агент, принимающий вызов, должен иметь возможность остановить ранее начатую запись и гарантировать, что запись не будет сохранена. [64]
ИТ-специалисты ожидают, что соблюдение GDPR в целом потребует дополнительных инвестиций: более 80 процентов опрошенных ожидали, что расходы, связанные с GDPR, составят не менее 100 000 долларов США. [65] Эти опасения были отражены в отчете, подготовленном по заказу юридической фирмы Baker & McKenzie , в котором говорится, что «около 70 процентов респондентов считают, что организациям потребуется инвестировать дополнительный бюджет/усилия для соблюдения согласия, картирования данных и трансграничного сотрудничества». требования к передаче данных в соответствии с GDPR». [66] Общая стоимость для компаний ЕС оценивается в 200 миллиардов евро, а для компаний США – в 41,7 миллиарда долларов. [67] Утверждалось, что малые предприятия и стартапы могут не иметь финансовых ресурсов для адекватного соблюдения GDPR, в отличие от более крупных международных технологических компаний (таких как Facebook и Google ), на которые это регулирование якобы направлено в первую очередь. . [68] [69] Недостаток знаний и понимания правил также вызывал обеспокоенность в преддверии их принятия. [70] Противоположным аргументом было то, что компании были уведомлены об этих изменениях за два года до их вступления в силу и у них должно было быть достаточно времени для подготовки. [71]
Правила, в том числе вопрос о том, должно ли предприятие иметь ответственного за защиту данных, подверглись критике за потенциальное административное бремя и нечеткие требования к соблюдению. [72] Хотя минимизация данных является обязательным требованием, а псевдонимизация является одним из возможных средств, в постановлении не содержится указаний о том, как и что представляет собой эффективная схема деидентификации данных, с серой зоной в отношении того, что будет считаться неадекватным объектом псевдонимизации. к разделу 5 принудительные действия. [34] [73] [74] Также существует обеспокоенность по поводу реализации GDPR в системах блокчейна , поскольку прозрачная и фиксированная запись транзакций блокчейна противоречит самой природе GDPR. [75] Многие средства массовой информации прокомментировали введение « права на объяснение » алгоритмических решений, [76] [77] но ученые-юристы с тех пор утверждают, что существование такого права совершенно неясно без судебных проверок и ограничено. в лучшем случае. [78] [79]
GDPR получил поддержку со стороны предприятий, которые рассматривают его как возможность улучшить управление данными. [80] [81] Марк Цукерберг также назвал это «очень позитивным шагом для Интернета », [82] и призвал к принятию в США законов в стиле GDPR. [83] Группы по защите прав потребителей, такие как Европейская организация потребителей, являются одними из самых ярых сторонников законодательства. [84] Другие сторонники приписывают его принятие разоблачителю Эдварду Сноудену . [85] Защитник свободного программного обеспечения Ричард Столлман похвалил некоторые аспекты GDPR, но призвал к дополнительным гарантиям, чтобы не допустить, чтобы технологические компании «добывали согласие». [86]
Академические эксперты, участвовавшие в разработке GDPR, писали, что этот закон «является наиболее значимым нормативным нововведением в информационной политике за последнее поколение. GDPR вводит персональные данные в сложный и защитный режим регулирования». [ нужна цитата ]
Несмотря на то, что у них было как минимум два года на подготовку, многие компании и веб-сайты изменили свои политики и функции конфиденциальности по всему миру непосредственно перед введением GDPR и обычно отправляли электронные письма и другие уведомления с обсуждением этих изменений. Это подверглось критике за то, что привело к утомительному количеству сообщений, в то время как эксперты отметили, что в некоторых электронных письмах с напоминанием неверно утверждалось, что новое согласие на обработку данных должно быть получено до вступления в силу GDPR (любое ранее полученное согласие на обработку действительно до тех пор, пока оно соответствует требованиям регламента). Фишинговые мошенничества также возникали с использованием фальсифицированных версий электронных писем, связанных с GDPR, и также утверждалось, что некоторые электронные письма с уведомлениями GDPR могли фактически быть отправлены с нарушением законов о борьбе со спамом. [87] [15] В марте 2019 года поставщик программного обеспечения для обеспечения соответствия требованиям обнаружил, что многие веб-сайты, управляемые правительствами государств-членов ЕС, содержат встроенное отслеживание от поставщиков рекламных технологий. [88] [89]
Поток уведомлений, связанных с GDPR, также породил мемы , в том числе те, которые касаются уведомлений о политике конфиденциальности, доставляемых нетипичными способами (например, доской для спиритических сеансов или открывающим сканированием «Звездных войн » ), предполагая, что список «непослушных или хороших» Санта-Клауса был нарушением. и запись выдержек из постановления бывшего диктора BBC Radio 4 Shipping Forecast . Также был создан блог GDPR Hall of Shame , чтобы продемонстрировать необычную доставку уведомлений GDPR и попытки соблюдения требований, которые содержали вопиющие нарушения требований регламента. Его автор отметил, что в постановлении «много мелких, скрытых деталей, но мало информации о том, как его соблюдать», но также признал, что у предприятий есть два года на соблюдение требований, что делает некоторые из его ответов неоправданными. . [90] [91] [92] [93] [94]
Исследования показывают, что примерно 25% уязвимостей программного обеспечения имеют последствия GDPR. [95] Поскольку в статье 33 особое внимание уделяется нарушениям, а не ошибкам, эксперты по безопасности советуют компаниям инвестировать в процессы и возможности выявления уязвимостей до того, как они могут быть использованы, включая скоординированные процессы раскрытия уязвимостей . [96] [97] Исследование политики конфиденциальности приложений Android, возможностей доступа к данным и поведения при доступе к данным показало, что многие приложения демонстрируют несколько более дружественное к конфиденциальности поведение с момента введения GDPR, хотя они по-прежнему сохраняют большую часть своего доступа к данным. привилегии в своем коде. [98] [99] Расследование Норвежского совета потребителей по информационным панелям субъектов данных после вступления в силу GDPR на платформах социальных сетей (таких как панель инструментов Google ) пришло к выводу, что крупные компании, занимающиеся социальными сетями, используют тактику обмана, чтобы отговорить своих клиентов от заострения внимания. настройки конфиденциальности. [100]
С даты вступления в силу некоторые веб-сайты начали полностью блокировать посетителей из стран ЕС (включая Instapaper , [101] Unroll.me, [102] и газеты, принадлежащие Tribune Publishing , такие как Chicago Tribune и Los Angeles Times ) или перенаправлять их. на урезанные версии своих услуг (в случае National Public Radio и USA Today ) с ограниченной функциональностью и/или без рекламы, чтобы они не несли ответственности. [103] [104] [105] [106] Некоторые компании, такие как Klout и несколько онлайн-видеоигр, полностью прекратили свою деятельность, чтобы совпасть с его внедрением, ссылаясь на GDPR как бремя для их дальнейшей деятельности, особенно из-за модель прежнего. [107] [108] [109] 25 мая 2018 года объем размещений онлайн- поведенческой рекламы в Европе упал на 25–40% . [110] [111]
В 2020 году, через два года после начала реализации GDPR, Европейская комиссия подсчитала, что пользователи по всему ЕС расширили свои знания о своих правах, заявив, что «69% населения ЕС старше 16 лет слышали о GDPR. и 71% людей слышали о своем национальном органе по защите данных». [112] [113] Комиссия также установила, что конфиденциальность стала конкурентным качеством для компаний, которое потребители принимают во внимание в процессе принятия решений. [112]
Facebook и дочерние компании WhatsApp и Instagram , а также Google LLC (таргетирующая Android ) были немедленно привлечены к ответственности со стороны некоммерческой организации NOYB Макса Шремса всего через несколько часов после полуночи 25 мая 2018 года за использование «принудительного согласия». Шремс утверждает, что обе компании нарушили статью 7(4), не предоставив согласие на обработку данных на индивидуальной основе и потребовав от пользователей согласия на все действия по обработке данных (включая те, которые не являются строго необходимыми), иначе им будет запрещено использовать услуги. [114] [115] [116] [117] [118] 21 января 2019 года Google была оштрафована французским DPA на 50 миллионов евро за демонстрацию недостаточного контроля, согласия и прозрачности при использовании личных данных для поведенческой рекламы. [119] [120] В ноябре 2018 года, после журналистского расследования в отношении Ливиу Драгня , румынское DPA (ANSPDCP) использовало запрос GDPR, чтобы запросить информацию об источниках проекта RISE . [121] [122]
В июле 2019 года Управление комиссара по информации Великобритании опубликовало намерение оштрафовать British Airways на рекордные 183 миллиона фунтов стерлингов (1,5% от оборота) за плохие меры безопасности, которые позволили провести в 2018 году веб-скимминг -атаку, затронувшую около 380 000 транзакций. [123] [124] [125] [126] [127] British Airways в конечном итоге была оштрафована на уменьшенную сумму в 20 миллионов фунтов стерлингов, при этом в ICO отметили, что они «учитывали как заявления BA, так и экономическое влияние COVID-19 на их дела, прежде чем назначить окончательный штраф». [128]
В декабре 2019 года издание Politico сообщило, что Ирландия и Люксембург – две небольшие страны ЕС, имеющие репутацию налоговых убежищ и (особенно в случае с Ирландией) базы для европейских дочерних компаний крупных технологических компаний США – столкнулись со значительными отставаниями в свои расследования в отношении крупных иностранных компаний в соответствии с GDPR, причем Ирландия в качестве одного из факторов назвала сложность регулирования. Критики, опрошенные Politico, также утверждали, что правоприменению также мешают различные толкования между государствами-членами, приоритет руководства над правоприменением со стороны некоторых органов власти и отсутствие сотрудничества между государствами-членами. [129]
В ноябре 2021 года Ирландский совет по гражданским свободам подал официальную жалобу в Комиссию о том, что она нарушает свои обязательства в соответствии с законодательством ЕС по тщательному мониторингу того, как Ирландия применяет GDPR. [130] До января 2023 года Комиссия опубликовала новое обязательство на основании жалобы ICCL. [130]
Хотя компании теперь несут юридические обязательства, все еще существуют различные несоответствия в практической и технической реализации GDPR. [131] Например, согласно праву на доступ, предусмотренному GDPR, компании обязаны предоставлять субъектам данных данные, которые они о них собирают. Однако в исследовании карт лояльности в Германии компании не предоставили субъектам данных точную информацию о приобретенных товарах. [132] Можно возразить, что такие компании не собирают информацию о приобретаемых товарах, что не соответствует их бизнес-моделям. Таким образом, субъекты данных склонны рассматривать это как нарушение GDPR. В результате исследования показали, что контроль со стороны властей должен быть лучше. [132]
Согласно GDPR, согласие конечных пользователей должно быть действительным, предоставленным свободно, конкретным, информированным и активным. [133] Однако отсутствие исполнительной силы в отношении получения законных согласий было проблемой. Например, исследование 2020 года показало, что крупные технологические компании , то есть Google , Amazon , Facebook , Apple и Microsoft (GAFAM), используют темные шаблоны в своих механизмах получения согласия, что вызывает сомнения относительно законности полученного согласия. [133]
Сообщалось, что в марте 2021 года государства-члены ЕС во главе с Францией пытаются изменить влияние регулирования конфиденциальности в Европе, освободив от него органы национальной безопасности. [134]
После того, как в 2020 году были наложены штрафы GDPR на сумму около 160 миллионов евро, в 2021 году эта цифра уже превысила один миллиард евро. [135]
Массовое принятие этих новых стандартов конфиденциальности транснациональными компаниями было приведено в качестве примера « брюссельского эффекта » - явления, при котором европейские законы и правила используются в качестве основы из-за их серьезности. [136]
Американский штат Калифорния принял Калифорнийский закон о конфиденциальности потребителей 28 июня 2018 года, который вступит в силу 1 января 2020 года; он предоставляет права на прозрачность и контроль над сбором личной информации компаниями аналогично GDPR. Критики утверждают, что такие законы должны быть реализованы на федеральном уровне, чтобы быть эффективными, поскольку сборник законов на уровне штата будет иметь разные стандарты, которые усложнят соблюдение. [137] [138] [139] С тех пор аналогичные законы были приняты в двух других штатах США: 2 марта 2021 года Вирджиния приняла Закон о конфиденциальности потребительских данных, [140] а 8 июля 2021 года Колорадо принял Закон о конфиденциальности штата Колорадо. [141]
Турецкая Республика , кандидат на членство в Европейском Союзе , приняла Закон о защите персональных данных 24 марта 2016 года в соответствии с законодательством ЕС . [142]
В Китае в 2021 году вступил в силу Закон о защите личной информации ( PIPL ), «первый комплексный закон Китая, призванный регулировать онлайн-данные и защищать личную информацию». [143]
Швейцария также примет новый закон о защите данных, который во многом соответствует GDPR ЕС. [144]
Исследование 2024 года показало, что GDPR снизил как количество просмотров страниц веб-сайтов пользователей из ЕС, так и доход веб-сайта на 12%. [145]
Стратегия единого цифрового рынка ЕС связана с деятельностью « цифровой экономики », связанной с бизнесом и людьми в ЕС. [153] В рамках стратегии GDPR и Директива NIS применяются с 25 мая 2018 года. Предлагаемый Регламент электронной конфиденциальности также планировалось применить с 25 мая 2018 года, но его действие будет отложено на несколько месяцев. [154] Регламент eIDAS также является частью стратегии.
В первоначальной оценке Европейский совет заявил, что GDPR следует рассматривать «предпосылкой для разработки будущих инициатив в области цифровой политики». [155]
Похожие законы о конфиденциальности в других странах:
Соответствующее регулирование ЕС:
Связанные понятия: