stringtranslate.com

Общие положения о защите данных

Общий регламент по защите данных (Регламент (ЕС) 2016/679, сокращенно GDPR ) — это регламент Европейского Союза о конфиденциальности информации в Европейском Союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). GDPR является важным компонентом законодательства ЕС о конфиденциальности и законодательства о правах человека , в частности статьи 8(1) Хартии основных прав Европейского Союза . Он также регулирует передачу персональных данных за пределы ЕС и ЕЭЗ. Целями GDPR являются усиление контроля и прав отдельных лиц в отношении их личной информации, а также упрощение правил международного бизнеса . [1] Она заменяет Директиву о защите данных 95/46/EC и, среди прочего, упрощает терминологию.

Европейский парламент и Совет Европейского Союза приняли GDPR 14 апреля 2016 года, который вступит в силу 25 мая 2018 года. Будучи постановлением ЕС (вместо директивы ) , GDPR имеет силу закона сам по себе, без необходимости транспозиции . _ Однако он также предоставляет отдельным государствам-членам возможность изменять (отступать от) некоторых его положений.

Постановление стало образцом для многих других законов по всему миру, в том числе в Турции, Маврикии, Чили, Японии, Бразилии, Южной Корее, Южной Африке, Аргентине и Кении. После выхода из Европейского Союза Соединенное Королевство приняло «GDPR Великобритании», идентичный GDPR. Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR. [2]

Содержание

GDPR 2016 состоит из одиннадцати глав, касающихся общих положений, принципов, прав субъекта данных, обязанностей контролеров или обработчиков данных, передачи персональных данных в третьи страны, надзорных органов, сотрудничества между государствами-членами, средств правовой защиты, ответственности или санкций за нарушение права и различные заключительные положения. В декларативной части 4 провозглашается, что «обработка персональных данных должна быть направлена ​​на служение человечеству».

Основные положения

Постановление применяется, если контролер данных (организация, которая собирает информацию о живых людях, независимо от того, находятся они в ЕС или нет) или процессор (организация, которая обрабатывает данные от имени контролера данных, например, поставщики облачных услуг), или данные субъект (человек) находится в ЕС. При определенных обстоятельствах [3] это регулирование также применяется к организациям, базирующимся за пределами ЕС, если они собирают или обрабатывают персональные данные физических лиц, находящихся на территории ЕС. Постановление не распространяется на обработку данных лицом для «чисто личной или бытовой деятельности и, следовательно, не связанной с профессиональной или коммерческой деятельностью». (Концерт 18)

По мнению Европейской комиссии , «Персональные данные — это информация, которая относится к идентифицированному или поддающемуся идентификации физическому лицу. Если вы не можете напрямую идентифицировать физическое лицо на основе этой информации, вам необходимо рассмотреть вопрос о том, можно ли еще идентифицировать это физическое лицо. Вам следует принять во внимание информацию вы обрабатываете данные вместе со всеми средствами, которые могут быть разумно использованы вами или любым другим лицом для идентификации этого человека». [4] Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контролер» и «обработчик» приведены в статье 4 Регламента. [5]

Постановление не распространяется на обработку персональных данных в целях национальной безопасности или правоохранительных органов ЕС; однако отраслевые группы, обеспокоенные возможным конфликтом законов, задаются вопросом, можно ли использовать статью 48 [5] GDPR, чтобы помешать контроллеру данных, на которого распространяются законы третьей страны, соблюдать законный приказ правоохранительных органов этой страны. , судебным органам или органам национальной безопасности раскрывать таким органам персональные данные лица из ЕС, независимо от того, находятся ли эти данные в ЕС или за его пределами. Статья 48 гласит, что любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от контролера или обработчика передать или раскрыть персональные данные, не могут быть признаны или подлежать исполнению каким-либо образом, если они не основаны на международном соглашении, например договор о взаимной правовой помощи , действующий между запрашивающей третьей страной (не входящей в ЕС) и ЕС или государством-членом. [6] Пакет реформ по защите данных также включает отдельную Директиву о защите данных для полиции и сектора уголовного правосудия, которая устанавливает правила обмена личными данными на уровне штата , Союза и международном уровне. [7]

Единый свод правил применяется ко всем государствам-членам ЕС. Каждое государство-член создает независимый надзорный орган (SA) для рассмотрения и расследования жалоб, применения санкций к административным правонарушениям и т. д. SA в каждом государстве-члене сотрудничают с другими SA, оказывая взаимную помощь и организуя совместные операции. Если у компании есть несколько предприятий в ЕС, у нее должен быть один SA в качестве «ведущего органа» в зависимости от местоположения ее «основного предприятия», где осуществляется основная деятельность по переработке. Таким образом, ведущий орган действует как « единое окно », контролируя всю перерабатывающую деятельность этого бизнеса на всей территории ЕС ( статьи 46–55 GDPR). [8] [9] Европейский совет по защите данных (EDPB) координирует деятельность SA. Таким образом, EDPB заменяет Рабочую группу по защите данных, предусмотренную статьей 29 . Существуют исключения для данных, обрабатываемых в контексте трудоустройства или национальной безопасности, которые по-прежнему могут регулироваться правилами отдельных стран ( статьи 2(2)(a) и 88 GDPR).

Принципы и законные цели

Статья 5 устанавливает шесть принципов , касающихся законности обработки персональных данных. Первый из них предусматривает, что данные должны обрабатываться законно, справедливо и прозрачно. Статья 6 развивает этот принцип, уточняя, что персональные данные не могут обрабатываться, если для этого нет хотя бы одного юридического основания. Другие принципы относятся к «ограничению цели», « минимизации данных », «точности», «ограничению хранения» и «целостности и конфиденциальности». [10] : Статья 5 

Статья 6 гласит, что законными целями являются: [10] : Статья 6. 

Если информированное согласие используется в качестве законного основания для обработки, согласие должно быть явным для собранных данных и для каждой цели использования данных ( статья 7 ; определено в статье 4 ). [11] [12] Согласие должно быть конкретным, свободно данным, ясно сформулированным и недвусмысленным подтверждением, данным субъектом данных; онлайн-форма, в которой параметры согласия структурированы как вариант отказа, выбранный по умолчанию, является нарушением GDPR, поскольку согласие не подтверждается однозначно пользователем. Кроме того, несколько типов обработки не могут быть «объединены» в один запрос подтверждения, поскольку это не является специфичным для каждого использования данных, а отдельные разрешения не предоставляются свободно. (Концерт 32)

Субъектам данных должно быть разрешено отозвать это согласие в любое время, и процесс этого не должен быть сложнее, чем процесс согласия. ( Статья 7(3) ). Контроллер данных не может отказать в обслуживании пользователям, которые отклоняют согласие на обработка, которая не является строго необходимой для использования услуги. ( Статья 8 ) Согласие для детей, определенных в постановлении как достигшие возраста менее 16 лет (хотя с возможностью для государств-членов в индивидуальном порядке сделать этот возраст менее 13 лет ( Статья 8(1) ), должно быть дано родителем или опекуном ребенка и поддающимся проверке ( статья 8 ). [13] [14]

Если согласие на обработку уже было предоставлено в соответствии с Директивой о защите данных, контролеру данных не нужно повторно получать согласие, если обработка документирована и получена в соответствии с требованиями GDPR (декларатив 171). [15] [16]

Права субъекта данных

Прозрачность и условия

Статья 12 требует, чтобы контролер данных предоставлял информацию «субъекту данных в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык, в частности, для любой информации, адресованной конкретно ребенку». [6]

Информация и доступ

Право доступа ( статья 15 ) является правом субъекта данных. [17] Оно дает людям право на доступ к своим личным данным и информации о том, как эти личные данные обрабатываются. Контроллер данных должен предоставить по запросу обзор категорий обрабатываемых данных (статья 15(1)(b)), а также копию фактических данных ( статья 15(3) ); кроме того, контролер данных должен информировать субъекта данных о деталях обработки, таких как цели обработки ( статья 15(1)(a) ), кому передаются данные ( статья 15(1)(c) ) и как он получил данные ( статья 15(1)(g) ).

Субъект данных должен иметь возможность передавать персональные данные из одной электронной системы обработки в другую без препятствий со стороны контролера данных. Данные, которые были достаточно анонимизированы, исключаются, но данные, которые были только обезличены, но которые можно связать с рассматриваемым лицом, например, путем предоставления соответствующего идентификатора, не исключаются. [18] Однако на практике предоставление таких идентификаторов может оказаться затруднительным, как, например, в случае с Siri от Apple , где голосовые и расшифрованные данные хранятся с личным идентификатором, к которому производитель ограничивает доступ, [19] или в онлайн-поведенческом таргетинге. , который в значительной степени зависит от отпечатков пальцев устройства , которые может быть сложно захватить, отправить и проверить. [20]

Включены как данные, «предоставляемые» субъектом данных, так и данные, которые «наблюдаются», например, о поведении. Кроме того, данные должны предоставляться контролером в структурированном и широко используемом стандартном электронном формате. Право на переносимость данных предусмотрено статьей 20 GDPR. [21]

Исправление и удаление

Право на забвение было заменено более ограниченным правом на удаление в версии GDPR, принятой Европейским парламентом в марте 2014 года. [22] [23] Статья 17 предусматривает, что субъект данных имеет право запросить удаление. связанных с ними персональных данных по любому из ряда оснований, включая несоблюдение статьи 6(1) (законность), которая включает случай (f), если законные интересы контролера преобладают над интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных (см. также Google Spain SL, Google Inc. против Испанского агентства по защите данных, Марио Костеха Гонсалес ). [6] [24]

Право на возражение и автоматизированные решения

Статья 21 GDPR позволяет физическому лицу возражать против обработки личной информации в маркетинговых или не связанных с обслуживанием целях. [25] Это означает, что контролер данных должен предоставить физическому лицу право остановить или запретить контролеру обработку его персональных данных.

Есть некоторые случаи, когда это возражение не применимо. Например, если:

  1. Юридические или официальные полномочия осуществляются
  2. «Законный интерес», когда организации необходимо обработать данные, чтобы предоставить субъекту данных услугу, на которую он подписался.
  3. Задача, выполняемая в общественных интересах.

GDPR также четко определяет, что контролер данных должен информировать людей об их праве на возражение при первом общении с ними. Это должно быть ясно и отдельно от любой другой информации, которую предоставляет контролер, и предоставлять им варианты того, как лучше всего возражать против обработки их данных.

Бывают случаи, когда контролер может отклонить запрос в обстоятельствах, когда запрос на возражение является «явно необоснованным» или «чрезмерным», поэтому каждый случай возражения должен рассматриваться индивидуально. [25] Другие страны, такие как Канада [26] , также, следуя GDPR, рассматривают возможность принятия законодательства, регулирующего автоматизированное принятие решений в соответствии с законами о конфиденциальности, хотя существуют политические вопросы относительно того, является ли это лучшим способом регулирования ИИ. [ нужна цитата ]

Право на компенсацию

Статья 82 GDPR предусматривает, что любое лицо, понесшее материальный или нематериальный ущерб в результате нарушения настоящего Регламента, имеет право на получение компенсации от контролера или процессора за причиненный ущерб.

В решении Österreichische Post (C-300/21) Суд Европейского Союза дал толкование права на компенсацию. [27] Статья 82(1) GDPR требует возмещения убытков (i) за нарушение GDPR, (ii) (фактического) понесенного ущерба и (iii) причинно-следственной связи между нарушением и понесенным ущербом. Не обязательно, чтобы причиненный ущерб достиг определенной степени серьезности. В Европе не существует определенной концепции ущерба. Компенсация определяется на национальном уровне в соответствии с национальным законодательством. Необходимо учитывать принципы эквивалентности и эффективности. [28]

См. также заключение Генерального адвоката по делу Krankenversicherung Nordrhein (C-667/21). [29]

Контроллер и процессор

Контроллеры данных должны четко раскрывать информацию о любом сборе данных , заявлять о законных основаниях и целях обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим лицам или за пределами ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей до такой степени, чтобы извлекались только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить портативную копию данных, собранных контролером, в общем формате, а также право на удаление своих данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых состоит в регулярной или систематической обработке персональных данных, обязаны нанять сотрудника по защите данных (DPO), который отвечает за контроль соблюдения GDPR. Предприятия должны сообщать об утечках данных национальным надзорным органам в течение 72 часов, если они оказывают негативное влияние на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% от годового мирового оборота за предыдущий финансовый год для предприятия, в зависимости от того, что больше.

Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен реализовать меры, которые соответствуют принципам защиты данных по замыслу и по умолчанию. Статья 25 требует, чтобы меры защиты данных были включены в разработку бизнес-процессов для продуктов и услуг. Такие меры включают псевдонимизацию персональных данных контролером в кратчайшие сроки (пункт 78 декларативной информации). Контроллер данных несет ответственность за реализацию эффективных мер и способность продемонстрировать соответствие действий по обработке, даже если обработка выполняется обработчиком данных от имени контроллера (пункт 74 декларативной части). [6] При сборе данных субъекты данных должны быть четко проинформированы об объеме сбора данных, правовой основе обработки персональных данных, как долго хранятся данные, передаются ли данные третьей стороне и/или за пределами ЕС, а также любое автоматизированное принятие решений , осуществляемое исключительно на алгоритмической основе. Субъекты данных должны быть проинформированы о своих правах на конфиденциальность в соответствии с GDPR, включая их право отозвать согласие на обработку данных в любое время, их право просматривать свои личные данные и получить доступ к обзору того, как они обрабатываются, их право на получение портативного устройства . копию сохраненных данных , их право на удаление своих данных при определенных обстоятельствах, их право оспаривать любое автоматическое принятие решения, которое было принято исключительно на алгоритмической основе, а также их право подавать жалобы в орган по защите данных . Таким образом, субъекту данных также должны быть предоставлены контактные данные контролера данных и назначенного им сотрудника по защите данных, где это применимо. [30] [31]

Оценка воздействия на защиту данных ( статья 35 ) должна проводиться в случае возникновения особых рисков для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а в случае высоких рисков требуется предварительное одобрение органов по защите данных.

Статья 25 требует, чтобы защита данных была предусмотрена при разработке бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности по умолчанию должны быть установлены на высоком уровне, а контролер должен принять технические и процедурные меры, чтобы гарантировать, что обработка на протяжении всего жизненного цикла обработки соответствует нормативам. Контролеры также должны внедрить механизмы, гарантирующие, что персональные данные не будут обрабатываться, кроме случаев, когда это необходимо для каждой конкретной цели. Это известно как минимизация данных.

В отчете [32] Агентства Европейского Союза по сетевой и информационной безопасности подробно описывается, что необходимо сделать, чтобы обеспечить конфиденциальность и защиту данных по умолчанию. В нем указывается, что операции шифрования и дешифрования должны выполняться локально, а не с помощью удаленной службы, поскольку и ключи, и данные должны оставаться во власти владельца данных, если требуется обеспечить какую-либо конфиденциальность. В отчете указывается, что аутсорсинговое хранение данных в удаленных облаках практично и относительно безопасно, если только владелец данных, а не облачная служба, владеет ключами расшифровки.

Псевдонимизация

Согласно GDPR, псевдонимизация — это обязательный процесс для хранимых данных, который преобразует персональные данные таким образом, что полученные данные невозможно отнести к конкретному субъекту данных без использования дополнительной информации (в качестве альтернативы другому варианту полных данных) . анонимизация ). [33] Примером является шифрование , которое делает исходные данные неразборчивыми в процессе, который невозможно отменить без доступа к правильному ключу дешифрования . GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонимизированных данных.

Другим примером псевдонимизации является токенизация , которая представляет собой нематематический подход к защите хранящихся данных, при котором конфиденциальные данные заменяются неконфиденциальными заменителями, называемыми токенами. Хотя токены не имеют никакого внешнего или эксплуатационного значения или ценности, они позволяют полностью или частично видеть определенные данные для обработки и анализа, в то время как конфиденциальная информация остается скрытой. Токенизация не меняет тип или длину данных, а это означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных. Это также требует гораздо меньше вычислительных ресурсов для обработки и меньше места для хранения в базах данных, чем традиционно зашифрованные данные.

Псевдонимизация — это технология, повышающая конфиденциальность , и ее рекомендуется снижать риски для соответствующих субъектов данных, а также помогать контролерам и обработчикам выполнять свои обязательства по защите данных (декларатив 28). [34]

Записи о деятельности по обработке

Согласно статьям 30 , [6] записи о деятельности по обработке должны вестись каждой организацией, соответствующей одному из следующих критериев:

Такие требования могут быть изменены каждой страной ЕС. Записи должны быть в электронной форме, и контролер или обработчик и, если применимо, контролер или представитель обработчика должны предоставить записи надзорному органу по запросу.

Записи контролера должны содержать всю следующую информацию:

Записи обработчика должны содержать всю следующую информацию:

Безопасность персональных данных

Контролеры и обработчики персональных данных должны принять соответствующие технические и организационные меры для реализации принципов защиты данных. Бизнес-процессы обработки персональных данных должны быть спроектированы и построены с учетом принципов и обеспечивать меры защиты данных (например, с использованием псевдонимизации или полной анонимизации , где это необходимо). Контролеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, по умолчанию используются максимально возможные настройки конфиденциальности, чтобы наборы данных по умолчанию не были общедоступными и не могли использоваться для идентификации субъекта. Никакие персональные данные не могут обрабатываться, если эта обработка не осуществляется на основании одного из шести законных оснований, указанных в постановлении ( согласие , договор, общественное задание, жизненный интерес, законный интерес или законное требование). Если обработка основана на согласии, субъект данных имеет право отозвать его в любое время.

Статья 33 гласит, что контролер данных обязан по закону уведомить надзорный орган без неоправданной задержки, за исключением случаев, когда нарушение маловероятно приведет к риску для прав и свобод отдельных лиц. Чтобы сообщить об утечке данных, может пройти максимум 72 часа после того, как стало известно об утечке данных. Лица должны быть уведомлены, если установлен высокий риск неблагоприятного воздействия ( статья 34 ). Кроме того, обработчик данных должен будет безотлагательно уведомить контролера после того, как ему станет известно об утечке персональных данных ( статья 33 ). Однако уведомление субъектов данных не требуется, если контролер данных принял соответствующие технические и организационные меры защиты, которые делают персональные данные непонятными для любого лица, не имеющего права доступа к ним, например, шифрование ( статья 34 ). [6]

Сотрудник по защите данных

Статья 37 требует назначения уполномоченного по защите данных. Если обработка осуществляется государственным органом (за исключением судов или независимых судебных органов, действующих в их судебных полномочиях), или если операции по обработке предполагают регулярный и систематический мониторинг субъектов данных в больших масштабах, или если обработка в больших масштабах особых категорий данных и персональных данных, касающихся уголовных судимостей и преступлений ( статьи 9 и статьи 10 , [35] ), должно быть назначено должностное лицо по защите данных (DPO) — лицо, обладающее экспертными знаниями законодательства и практики защиты данных — для оказания помощи контролера или обработчика при контроле их внутреннего соблюдения Регламента. [6]

Назначенный DPO может быть действующим сотрудником контролера или процессора, либо эта роль может быть передана на аутсорсинг внешнему лицу или агентству посредством контракта на обслуживание. В любом случае обрабатывающий орган должен убедиться в отсутствии конфликта интересов в других ролях или интересах, которыми может обладать DPO. Контактные данные DPO должны быть опубликованы обрабатывающей организацией (например, в уведомлении о конфиденциальности) и зарегистрированы в надзорном органе.

DPO аналогичен сотруднику по обеспечению соответствия, и ожидается, что он также будет владеть навыками управления ИТ-процессами, безопасностью данных (включая борьбу с кибератаками ) и другими важными вопросами непрерывности бизнеса , связанными с хранением и обработкой личных и конфиденциальных данных. Требуемый набор навыков выходит за рамки понимания соблюдения законов и правил о защите данных. DPO должен поддерживать актуальный реестр всех данных, собранных и хранящихся от имени организации. [36] Более подробная информация о функциях и роли ответственного за защиту данных представлена ​​13 декабря 2016 г. (с изменениями от 5 апреля 2017 г.) в руководящем документе. [37]

Организации, базирующиеся за пределами ЕС, также должны назначить лицо, находящееся в ЕС, в качестве представителя и контактного лица для выполнения своих обязательств GDPR ( статья 27 ). Это отдельная роль от функции DPO, хотя существует дублирование обязанностей, что позволяет предположить, что эту роль также может выполнять назначенный DPO. [38]

Средства правовой защиты, ответственность и штрафы

Помимо определения уголовного преступления в соответствии с национальным законодательством в соответствии со статьей 83 GDPR, могут быть наложены следующие санкции:

Исключения

Это некоторые случаи, которые конкретно не рассматриваются в GDPR и поэтому рассматриваются как исключения. [40]

Когда создавался GDPR, он был создан исключительно для регулирования персональных данных, которые попадают в руки компаний. [ нужна ссылка ] GDPR не распространяется на некоммерческую информацию или бытовую деятельность. [41] [ не удалось пройти проверку ] Примером таких домашних дел могут быть электронные письма между двумя школьными друзьями.

И наоборот, чтобы на него распространялся GDPR, организация или, точнее, «предприятие» должна заниматься «экономической деятельностью». [b] Экономическая деятельность имеет широкое определение в соответствии с законодательством Европейского Союза о конкуренции . [42]

Применимость за пределами Европейского Союза

GDPR также применяется к контролерам и обработчикам данных за пределами Европейской экономической зоны (ЕЭЗ), если они занимаются «предложением товаров или услуг» (независимо от того, требуется ли оплата) субъектам данных в пределах ЕЭЗ или осуществляют мониторинг. поведение субъектов данных в ЕЭЗ (статья 3(2)). Постановление применяется независимо от того, где происходит обработка. [43] Это было истолковано как намеренное предоставление экстерриториальной юрисдикции GDPR предприятиям, не входящим в ЕС, если они ведут бизнес с людьми, находящимися в ЕС. Сомнительно, смогут ли ЕС или его государства-члены на практике обеспечить соблюдение GDPR в отношении организаций, которые не имеют представительства в ЕС. [44]

Представитель ЕС

Согласно статье 27, предприятия, не входящие в ЕС, на которые распространяется GDPR, обязаны иметь уполномоченного представителя в Европейском Союзе, «представителя ЕС», который будет служить контактным лицом для выполнения своих обязательств в соответствии с регламентом. Представитель ЕС является контактным лицом Контролера или Обработчика по отношению к европейским органам надзора за соблюдением конфиденциальности и субъектами данных по всем вопросам, связанным с обработкой, для обеспечения соблюдения настоящего GDPR. Роль Представителя ЕС может играть физическое (физическое лицо) или моральное (корпоративное) лицо. [45] Учреждение, не входящее в ЕС, должно выдать должным образом подписанный документ (письмо об аккредитации), назначающий данное физическое лицо или компанию своим представителем в ЕС. Указанное обозначение может быть дано только в письменной форме. [46]

Неспособность учреждения назначить представителя в ЕС считается незнанием правил и соответствующих обязательств, что само по себе является нарушением GDPR и влечет за собой штраф в размере до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год. в случае предприятия, в зависимости от того, что больше. Умышленный или небрежный (умышленная слепота) характер нарушения (неназначение представителя ЕС) скорее может представлять собой отягчающее обстоятельство. [47]

Учреждению не нужно назначать Представителя ЕС, если оно занимается лишь эпизодической обработкой, которая не включает в себя в больших масштабах обработку особых категорий данных, указанных в статье 9 (1) GDPR, или обработку персональных данных, касающихся к уголовным осуждениям и правонарушениям, указанным в статье 10, и такая обработка вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, объем и цели обработки. [6] Государственные органы и органы, не входящие в ЕС, в равной степени освобождаются от налога. [48]

Третьи страны

Глава V GDPR запрещает передачу персональных данных субъектов данных ЕС в страны за пределами ЕЭЗ, известные как третьи страны , за исключением случаев, когда установлены соответствующие гарантии или правила защиты данных третьей страны официально считаются адекватными Европейской комиссией ( статья 45). [49] [50] Среди примеров можно назвать обязательные корпоративные правила , стандартные договорные положения о защите данных, сформулированные в Соглашении об обработке данных (DPA), или схему обязательных и подлежащих исполнению обязательств контролера или процессора данных, находящегося в третьей стране. [51]

Реализация в Соединенном Королевстве

Объяснение возможных результатов отклонения Великобритании от европейского GDPR [52]

На применимость GDPR в Соединенном Королевстве влияет Брексит . Хотя Великобритания официально вышла из Европейского Союза 31 января 2020 года, она оставалась под действием законодательства ЕС, включая GDPR, до конца переходного периода 31 декабря 2020 года. [49] Соединенное Королевство предоставило королевское согласие на защиту данных. Закон 2018 года от 23 мая 2018 года, который дополнил GDPR, включая аспекты регулирования, которые должны быть определены национальным законодательством, а также уголовные преступления за сознательное или неосторожное получение, перераспределение или хранение персональных данных без согласия контролера данных. [53] [54]

В соответствии с Законом о Европейском Союзе (выходе) 2018 года существующее и соответствующее законодательство ЕС было перенесено в местное законодательство после завершения перехода, а в GDPR были внесены поправки нормативным актом , удаляющие определенные положения, которые больше не нужны из-за нечленства Великобритании в ЕС. ЕВРОСОЮЗ. После этого регламент будет называться «GDPR Великобритании». [55] [50] [49] Великобритания не будет ограничивать передачу персональных данных в страны ЕЭЗ в соответствии с GDPR Великобритании. Тем не менее, Великобритания станет третьей страной в соответствии с GDPR ЕС, а это означает, что персональные данные не могут быть переданы в страну, если не будут установлены соответствующие меры безопасности или Европейская комиссия не примет решение об адекватности британского законодательства о защите данных (Глава V). ). В рамках соглашения о выходе Европейская комиссия обязалась провести оценку адекватности. [49] [50]

В апреле 2019 года Управление комиссара по информации Великобритании (ICO) опубликовало свод правил для детей в отношении услуг социальных сетей при их использовании несовершеннолетними, подлежащий исполнению в соответствии с GDPR, который также включает ограничения на механизмы « лайков » и «полос», чтобы препятствовать использованию социальных сетей. зависимость и использование этих данных для обработки интересов. [56] [57]

В марте 2021 года государственный секретарь по цифровым технологиям, культуре, СМИ и спорту Оливер Дауден заявил, что Великобритания изучает возможность отклонения от GDPR ЕС, чтобы «[сосредоточиться] больше на результатах, которые мы хотим получить, а не на бремени правила, налагаемые на отдельные предприятия». [58]

Заблуждения

Некоторые распространенные заблуждения о GDPR включают в себя:

Прием

Согласно исследованию, проведенному Deloitte в 2018 году, 92% компаний считают, что они смогут соблюдать GDPR в своей деловой практике в долгосрочной перспективе. [63]

Компании, работающие за пределами ЕС, вложили значительные средства в приведение своей деловой практики в соответствие с GDPR. Область согласия GDPR имеет ряд последствий для предприятий, которые на практике записывают звонки. Типичный отказ от ответственности не считается достаточным для получения предполагаемого согласия на запись разговоров. Кроме того, если после начала записи вызывающий абонент отзовет свое согласие, агент, принимающий вызов, должен иметь возможность остановить ранее начатую запись и гарантировать, что запись не будет сохранена. [64]

ИТ-специалисты ожидают, что соблюдение GDPR в целом потребует дополнительных инвестиций: более 80 процентов опрошенных ожидали, что расходы, связанные с GDPR, составят не менее 100 000 долларов США. [65] Эти опасения были отражены в отчете, подготовленном по заказу юридической фирмы Baker & McKenzie , в котором говорится, что «около 70 процентов респондентов считают, что организациям потребуется инвестировать дополнительный бюджет/усилия для соблюдения согласия, картирования данных и трансграничного сотрудничества». требования к передаче данных в соответствии с GDPR». [66] Общая стоимость для компаний ЕС оценивается в 200 миллиардов евро, а для компаний США – в 41,7 миллиарда долларов. [67] Утверждалось, что малые предприятия и стартапы могут не иметь финансовых ресурсов для адекватного соблюдения GDPR, в отличие от более крупных международных технологических компаний (таких как Facebook и Google ), на которые это регулирование якобы направлено в первую очередь. . [68] [69] Недостаток знаний и понимания правил также вызывал обеспокоенность в преддверии их принятия. [70] Противоположным аргументом было то, что компании были уведомлены об этих изменениях за два года до их вступления в силу и у них должно было быть достаточно времени для подготовки. [71]

Правила, в том числе вопрос о том, должно ли предприятие иметь ответственного за защиту данных, подверглись критике за потенциальное административное бремя и нечеткие требования к соблюдению. [72] Хотя минимизация данных является обязательным требованием, а псевдонимизация является одним из возможных средств, в постановлении не содержится указаний о том, как и что представляет собой эффективная схема деидентификации данных, с серой зоной в отношении того, что будет считаться неадекватным объектом псевдонимизации. к разделу 5 принудительные действия. [34] [73] [74] Также существует обеспокоенность по поводу реализации GDPR в системах блокчейна , поскольку прозрачная и фиксированная запись транзакций блокчейна противоречит самой природе GDPR. [75] Многие средства массовой информации прокомментировали введение « права на объяснение » алгоритмических решений, [76] [77] но ученые-юристы с тех пор утверждают, что существование такого права совершенно неясно без судебных проверок и ограничено. в лучшем случае. [78] [79]

GDPR получил поддержку со стороны предприятий, которые рассматривают его как возможность улучшить управление данными. [80] [81] Марк Цукерберг также назвал это «очень позитивным шагом для Интернета », [82] и призвал к принятию в США законов в стиле GDPR. [83] Группы по защите прав потребителей, такие как Европейская организация потребителей, являются одними из самых ярых сторонников законодательства. [84] Другие сторонники приписывают его принятие разоблачителю Эдварду Сноудену . [85] Защитник свободного программного обеспечения Ричард Столлман похвалил некоторые аспекты GDPR, но призвал к дополнительным гарантиям, чтобы не допустить, чтобы технологические компании «добывали согласие». [86]

Влияние

Академические эксперты, участвовавшие в разработке GDPR, писали, что этот закон «является наиболее значимым нормативным нововведением в информационной политике за последнее поколение. GDPR вводит персональные данные в сложный и защитный режим регулирования». [ нужна цитата ]

Несмотря на то, что у них было как минимум два года на подготовку, многие компании и веб-сайты изменили свои политики и функции конфиденциальности по всему миру непосредственно перед введением GDPR и обычно отправляли электронные письма и другие уведомления с обсуждением этих изменений. Это подверглось критике за то, что привело к утомительному количеству сообщений, в то время как эксперты отметили, что в некоторых электронных письмах с напоминанием неверно утверждалось, что новое согласие на обработку данных должно быть получено до вступления в силу GDPR (любое ранее полученное согласие на обработку действительно до тех пор, пока оно соответствует требованиям регламента). Фишинговые мошенничества также возникали с использованием фальсифицированных версий электронных писем, связанных с GDPR, и также утверждалось, что некоторые электронные письма с уведомлениями GDPR могли фактически быть отправлены с нарушением законов о борьбе со спамом. [87] [15] В марте 2019 года поставщик программного обеспечения для обеспечения соответствия требованиям обнаружил, что многие веб-сайты, управляемые правительствами государств-членов ЕС, содержат встроенное отслеживание от поставщиков рекламных технологий. [88] [89]

Поток уведомлений, связанных с GDPR, также породил мемы , в том числе те, которые касаются уведомлений о политике конфиденциальности, доставляемых нетипичными способами (например, доской для спиритических сеансов или открывающим сканированием «Звездных войн » ), предполагая, что список «непослушных или хороших» Санта-Клауса был нарушением. и запись выдержек из постановления бывшего диктора BBC Radio 4 Shipping Forecast . Также был создан блог GDPR Hall of Shame , чтобы продемонстрировать необычную доставку уведомлений GDPR и попытки соблюдения требований, которые содержали вопиющие нарушения требований регламента. Его автор отметил, что в постановлении «много мелких, скрытых деталей, но мало информации о том, как его соблюдать», но также признал, что у предприятий есть два года на соблюдение требований, что делает некоторые из его ответов неоправданными. . [90] [91] [92] [93] [94]

Исследования показывают, что примерно 25% уязвимостей программного обеспечения имеют последствия GDPR. [95] Поскольку в статье 33 особое внимание уделяется нарушениям, а не ошибкам, эксперты по безопасности советуют компаниям инвестировать в процессы и возможности выявления уязвимостей до того, как они могут быть использованы, включая скоординированные процессы раскрытия уязвимостей . [96] [97] Исследование политики конфиденциальности приложений Android, возможностей доступа к данным и поведения при доступе к данным показало, что многие приложения демонстрируют несколько более дружественное к конфиденциальности поведение с момента введения GDPR, хотя они по-прежнему сохраняют большую часть своего доступа к данным. привилегии в своем коде. [98] [99] Расследование Норвежского совета потребителей по информационным панелям субъектов данных после вступления в силу GDPR на платформах социальных сетей (таких как панель инструментов Google ) пришло к выводу, что крупные компании, занимающиеся социальными сетями, используют тактику обмана, чтобы отговорить своих клиентов от заострения внимания. настройки конфиденциальности. [100]

С даты вступления в силу некоторые веб-сайты начали полностью блокировать посетителей из стран ЕС (включая Instapaper , [101] Unroll.me, [102] и газеты, принадлежащие Tribune Publishing , такие как Chicago Tribune и Los Angeles Times ) или перенаправлять их. на урезанные версии своих услуг (в случае National Public Radio и USA Today ) с ограниченной функциональностью и/или без рекламы, чтобы они не несли ответственности. [103] [104] [105] [106] Некоторые компании, такие как Klout и несколько онлайн-видеоигр, полностью прекратили свою деятельность, чтобы совпасть с его внедрением, ссылаясь на GDPR как бремя для их дальнейшей деятельности, особенно из-за модель прежнего. [107] [108] [109] 25 мая 2018 года объем размещений онлайн- поведенческой рекламы в Европе упал на 25–40% . [110] [111]

В 2020 году, через два года после начала реализации GDPR, Европейская комиссия подсчитала, что пользователи по всему ЕС расширили свои знания о своих правах, заявив, что «69% населения ЕС старше 16 лет слышали о GDPR. и 71% людей слышали о своем национальном органе по защите данных». [112] [113] Комиссия также установила, что конфиденциальность стала конкурентным качеством для компаний, которое потребители принимают во внимание в процессе принятия решений. [112]

Правоприменение и непоследовательность

Facebook и дочерние компании WhatsApp и Instagram , а также Google LLC (таргетирующая Android ) были немедленно привлечены к ответственности со стороны некоммерческой организации NOYB Макса Шремса всего через несколько часов после полуночи 25 мая 2018 года за использование «принудительного согласия». Шремс утверждает, что обе компании нарушили статью 7(4), не предоставив согласие на обработку данных на индивидуальной основе и потребовав от пользователей согласия на все действия по обработке данных (включая те, которые не являются строго необходимыми), иначе им будет запрещено использовать услуги. [114] [115] [116] [117] [118] 21 января 2019 года Google была оштрафована французским DPA на 50 миллионов евро за демонстрацию недостаточного контроля, согласия и прозрачности при использовании личных данных для поведенческой рекламы. [119] [120] В ноябре 2018 года, после журналистского расследования в отношении Ливиу Драгня , румынское DPA (ANSPDCP) использовало запрос GDPR, чтобы запросить информацию об источниках проекта RISE . [121] [122]

В июле 2019 года Управление комиссара по информации Великобритании опубликовало намерение оштрафовать British Airways на рекордные 183 миллиона фунтов стерлингов (1,5% от оборота) за плохие меры безопасности, которые позволили провести в 2018 году веб-скимминг -атаку, затронувшую около 380 000 транзакций. [123] [124] [125] [126] [127] British Airways в конечном итоге была оштрафована на уменьшенную сумму в 20 миллионов фунтов стерлингов, при этом в ICO отметили, что они «учитывали как заявления BA, так и экономическое влияние COVID-19 на их дела, прежде чем назначить окончательный штраф». [128]

В декабре 2019 года издание Politico сообщило, что Ирландия и Люксембург – две небольшие страны ЕС, имеющие репутацию налоговых убежищ и (особенно в случае с Ирландией) базы для европейских дочерних компаний крупных технологических компаний США – столкнулись со значительными отставаниями в свои расследования в отношении крупных иностранных компаний в соответствии с GDPR, причем Ирландия в качестве одного из факторов назвала сложность регулирования. Критики, опрошенные Politico, также утверждали, что правоприменению также мешают различные толкования между государствами-членами, приоритет руководства над правоприменением со стороны некоторых органов власти и отсутствие сотрудничества между государствами-членами. [129]

В ноябре 2021 года Ирландский совет по гражданским свободам подал официальную жалобу в Комиссию о том, что она нарушает свои обязательства в соответствии с законодательством ЕС по тщательному мониторингу того, как Ирландия применяет GDPR. [130] До января 2023 года Комиссия опубликовала новое обязательство на основании жалобы ICCL. [130]

Хотя компании теперь несут юридические обязательства, все еще существуют различные несоответствия в практической и технической реализации GDPR. [131] Например, согласно праву на доступ, предусмотренному GDPR, компании обязаны предоставлять субъектам данных данные, которые они о них собирают. Однако в исследовании карт лояльности в Германии компании не предоставили субъектам данных точную информацию о приобретенных товарах. [132] Можно возразить, что такие компании не собирают информацию о приобретаемых товарах, что не соответствует их бизнес-моделям. Таким образом, субъекты данных склонны рассматривать это как нарушение GDPR. В результате исследования показали, что контроль со стороны властей должен быть лучше. [132]

Согласно GDPR, согласие конечных пользователей должно быть действительным, предоставленным свободно, конкретным, информированным и активным. [133] Однако отсутствие исполнительной силы в отношении получения законных согласий было проблемой. Например, исследование 2020 года показало, что крупные технологические компании , то есть Google , Amazon , Facebook , Apple и Microsoft (GAFAM), используют темные шаблоны в своих механизмах получения согласия, что вызывает сомнения относительно законности полученного согласия. [133]

Сообщалось, что в марте 2021 года государства-члены ЕС во главе с Францией пытаются изменить влияние регулирования конфиденциальности в Европе, освободив от него органы национальной безопасности. [134]

После того, как в 2020 году были наложены штрафы GDPR на сумму около 160 миллионов евро, в 2021 году эта цифра уже превысила один миллиард евро. [135]

Влияние на зарубежные законы

Массовое принятие этих новых стандартов конфиденциальности транснациональными компаниями было приведено в качестве примера « брюссельского эффекта » - явления, при котором европейские законы и правила используются в качестве основы из-за их серьезности. [136]

Американский штат Калифорния принял Калифорнийский закон о конфиденциальности потребителей 28 июня 2018 года, который вступит в силу 1 января 2020 года; он предоставляет права на прозрачность и контроль над сбором личной информации компаниями аналогично GDPR. Критики утверждают, что такие законы должны быть реализованы на федеральном уровне, чтобы быть эффективными, поскольку сборник законов на уровне штата будет иметь разные стандарты, которые усложнят соблюдение. [137] [138] [139] С тех пор аналогичные законы были приняты в двух других штатах США: 2 марта 2021 года Вирджиния приняла Закон о конфиденциальности потребительских данных, [140] а 8 июля 2021 года Колорадо принял Закон о конфиденциальности штата Колорадо. [141]

Турецкая Республика , кандидат на членство в Европейском Союзе , приняла Закон о защите персональных данных 24 марта 2016 года в соответствии с законодательством ЕС . [142]

В Китае в 2021 году вступил в силу Закон о защите личной информации ( PIPL ), «первый комплексный закон Китая, призванный регулировать онлайн-данные и защищать личную информацию». [143]

Швейцария также примет новый закон о защите данных, который во многом соответствует GDPR ЕС. [144]

Просмотры веб-сайта и доход

Исследование 2024 года показало, что GDPR снизил как количество просмотров страниц веб-сайтов пользователей из ЕС, так и доход веб-сайта на 12%. [145]

График

Единый цифровой рынок ЕС

Стратегия единого цифрового рынка ЕС связана с деятельностью « цифровой экономики », связанной с бизнесом и людьми в ЕС. [153] В рамках стратегии GDPR и Директива NIS применяются с 25 мая 2018 года. Предлагаемый Регламент электронной конфиденциальности также планировалось применить с 25 мая 2018 года, но его действие будет отложено на несколько месяцев. [154] Регламент eIDAS также является частью стратегии.

В первоначальной оценке Европейский совет заявил, что GDPR следует рассматривать «предпосылкой для разработки будущих инициатив в области цифровой политики». [155]

Смотрите также

Похожие законы о конфиденциальности в других странах:

Соответствующее регулирование ЕС:

Связанные понятия:

Сноски

  1. ^ Совместный контроль возникает, «когда два или более контролеров совместно определяют цели и средства обработки» данных. Они обязаны согласовать свои соответствующие обязанности «прозрачным» образом и донести «суть договоренности» до субъектов данных. [5] : Статья 26. 
  2. ^ См. статью  4 (18) GDPR: «предприятие» означает физическое или юридическое лицо, занимающееся экономической деятельностью, независимо от его юридической формы, включая партнерства или ассоциации, регулярно занимающиеся экономической деятельностью. [6]

Рекомендации

  1. ^ «Президентство Совета: «Компромиссный текст. Несколько частичных общих подходов сыграли важную роль в сближении взглядов в Совете по предложению об Общем положении о защите данных в целом. Текст Постановления, который Президентство представляет на утверждение в качестве общего Подход представлен в приложении, 201 страница, 11 июня 2015 г., PDF». Архивировано из оригинала 25 декабря 2015 года . Проверено 30 декабря 2015 г.
  2. ^ Франческа Лукарини, «Различия между Калифорнийским Законом о конфиденциальности потребителей и GDPR». Архивировано 12 июля 2020 г. на Wayback Machine , консультант .
  3. ^ Статья 3(2) : Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или обработчиком, не зарегистрированным в Союзе, если деятельность по обработке связана с: (a) предложением товаров или услуги, независимо от того, требуется ли оплата от субъекта данных, таким субъектам данных в Союзе; или (b) мониторинг их поведения, поскольку их поведение происходит в пределах Союза.
  4. ^ «Что такое персональные данные?». Январь 2021 г. Архивировано из оригинала 24 июля 2019 г. Проверено 22 июля 2019 г.
  5. ^ abc «EUR-Lex – 32016R0679 – EN – EUR-Lex». eur-lex.europa.eu . Архивировано из оригинала 17 марта 2018 года . Проверено 21 марта 2018 г.
  6. ^ abcdefghijklm «РЕГЛАМЕНТ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА (статья 30)». Архивировано из оригинала 28 июня 2017 года . Проверено 7 июня 2017 г. Текст был скопирован из этого источника, который доступен по международной лицензии Creative Commons Attribution 4.0. Архивировано 16 октября 2017 г. на Wayback Machine .
  7. ^ «Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления или судебного преследования. уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных и об отмене Рамочного решения Совета 2008/977/JHA». 4 мая 2016 г.
  8. ^ Предлагаемый Общий регламент ЕС по защите данных. Руководство для штатных юристов, Hunton & Williams LLP, июнь 2015 г., с. 14
  9. ^ ab «Защита данных» (PDF) . Европейская комиссия – Европейская комиссия . Архивировано (PDF) из оригинала 3 декабря 2012 года . Проверено 3 января 2013 г.
  10. ^ ab «EUR-Lex – 32016R0679 – EN – EUR-Lex». eur-lex.europa.eu . Архивировано из оригинала 6 ноября 2017 года . Проверено 7 ноября 2017 г..
  11. Ссылки _ Архивировано из оригинала 22 октября 2020 года . Проверено 21 октября 2020 г.
  12. ^ "Общие_правила_защиты_данных" . Архивировано из оригинала 22 октября 2020 года . Проверено 21 октября 2020 г.
  13. ^ «Возраст согласия в GDPR: обновленное сопоставление» . iapp.org . Архивировано из оригинала 27 мая 2018 года . Проверено 26 мая 2018 г.
  14. ^ «Как предлагаемые правила ЕС о защите данных создают волновой эффект во всем мире». Архивировано 17 февраля 2021 года в Wayback Machine . Джуди Шмитт, Флориан Шталь. 11 октября 2012 г. Проверено 3 января 2013 г.
  15. ^ Аб Херн, Алекс (21 мая 2018 г.). «Большинство электронных писем GDPR не нужны, а некоторые незаконны, говорят эксперты». Хранитель . Архивировано из оригинала 28 мая 2018 года . Проверено 28 мая 2018 г.
  16. ^ Камлейтнер, Бернадетт; Митчелл, Винс (1 октября 2019 г.). «Ваши данные — мои данные: основа борьбы с взаимозависимыми нарушениями конфиденциальности». Журнал государственной политики и маркетинга . 38 (4): 433–450. дои : 10.1177/0743915619858924 . ISSN  0743-9156. S2CID  201343307.
  17. ^ abc «Официальный журнал L 119/2016». eur-lex.europa.eu . Архивировано из оригинала 22 ноября 2018 года . Проверено 26 мая 2018 г.
  18. ^ «Руководство по праву на переносимость данных в соответствии с Постановлением 2016/679» . Европейская комиссия. 2017. Архивировано из оригинала 29 июня 2017 года . Проверено 2 ноября 2023 г.
  19. ^ Вил, Майкл; Биннс, Рубен; Ауслос, Джеф (2018). «Когда защита данных по замыслу и права субъекта данных сталкиваются». Международный закон о конфиденциальности данных . 8 (2): 105–123. дои : 10.1093/idpl/ipy002 .
  20. ^ Зейдервен Боргезиус, Фредерик Дж. (апрель 2016 г.). «Выделение людей без знания их имен – поведенческий таргетинг, псевдонимные данные и новые правила защиты данных». Обзор компьютерного права и безопасности . 32 (2): 256–271. дои : 10.1016/j.clsr.2015.12.013. ISSN  0267-3649.
  21. ^ Предложение по Общему регламенту ЕС по защите данных. Архивировано 3 декабря 2012 г. в Wayback Machine . Европейская комиссия. 25 января 2012 г. Проверено 3 января 2013 г.
  22. ^ Болдри, Тони ; Хайамс, Оливер (15 мая 2014 г.). «Право на забвение». 1 Эссексский суд. Архивировано из оригинала 19 октября 2017 года . Проверено 1 июня 2014 г.
  23. ^ «Законодательная резолюция Европейского парламента от 12 марта 2014 г. о предложении по постановлению Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Общий регламент по защите данных) )». Европейский парламент . Архивировано из оригинала 5 июня 2014 года . Проверено 1 июня 2014 г.
  24. ^ «Практическая конфиденциальность данных | Книги мыслителей» . Мыслительные работы . Проверено 25 августа 2023 г.
  25. ^ ab «Право на возражение». ico.org.uk. _ 30 августа 2019 года. Архивировано из оригинала 2 декабря 2019 года . Проверено 14 ноября 2019 г.
  26. ^ Сукман, Барри; Чарльз Морган; Адам Гольденберг (30 апреля 2021 г.). «Использование законов о конфиденциальности для регулирования автоматического принятия решений». Барри Сукман . Архивировано из оригинала 24 мая 2021 года . Проверено 24 мая 2021 г.
  27. ^ Решение Суда (Третьей палаты) от 4 мая 2023 г. UI против Österreichische Post AG. Запрос на предварительное решение Верховного суда. Дело C-300/21, ECLI:EU:C:2023:370: Ссылка на предварительное постановление – Защита физических лиц в отношении обработки персональных данных – Регламент (ЕС) 2016/679 – Статья 82(1) – Право на компенсацию ущерба, причиненного обработкой данных, нарушающей это правило - Условия, регулирующие право на компенсацию - Простого нарушения этого правила недостаточно - Необходимость возмещения ущерба, причиненного этим нарушением - Компенсация нематериального ущерба, возникшего в результате такой обработки - Несовместимость национальное правило, предусматривающее компенсацию такого ущерба при условии превышения порога серьезности - Правила определения ущерба национальными судами.
  28. ^ Österreichische Post (C-300/21), суб 54.
  29. ^ Мнение генерального адвоката Кампоса Санчеса-Бордоны, вынесенное 25 мая 2023 г. ZQ против Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Дело C‑667/21, ECLI:EU:C:2023:433 (предварительный текст)
  30. ^ «Уведомления о конфиденциальности в соответствии с Общим регламентом ЕС по защите данных» . ico.org.uk. _ 19 января 2018 года. Архивировано из оригинала 23 мая 2018 года . Проверено 22 мая 2018 г.
  31. ^ «Какая информация должна быть предоставлена ​​лицам, чьи данные собираются?». Европа (веб-портал). Архивировано из оригинала 23 мая 2018 года . Проверено 23 мая 2018 г.
  32. ^ «Конфиденциальность и защита данных задумана - ENISA» . Европа (веб-портал). Архивировано из оригинала 5 апреля 2017 года . Проверено 4 апреля 2017 г.
  33. ^ Наука о данных в соответствии с GDPR с псевдонимизацией в конвейере данных. Архивировано 18 апреля 2018 г. на Wayback Machine . Опубликовано Dativa, 17 апреля 2018 г.
  34. ^ аб Уэс, Мэтт (25 апреля 2017 г.). «Хотите соблюдать GDPR? Вот учебник по анонимизации и псевдонимизации». ИАПП. Архивировано из оригинала 19 февраля 2018 года . Проверено 19 февраля 2018 г.
  35. ^ «EUR-Lex – Статья 37» . eur-lex.europa.eu . Архивировано из оригинала 22 января 2017 года . Проверено 23 января 2017 г.
  36. ^ «Объяснение запросов субъектов данных GDPR» . ТруВолт . Архивировано из оригинала 20 февраля 2019 года . Проверено 19 февраля 2019 г.
  37. ^ «Руководство для сотрудников по защите данных («DPO»)» . Архивировано из оригинала 29 июня 2017 года . Проверено 2 ноября 2023 г.
  38. Янковски, Пайпер-Мередит (21 июня 2017 г.). «Охват GDPR: что поставлено на карту?». Лексология . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  39. ^ ab "L_2016119EN.01000101.xml". eur-lex.europa.eu . Архивировано из оригинала 10 ноября 2017 года . Проверено 28 августа 2016 г.
  40. ^ «Исключения». ico.org.uk. _ 20 июля 2020 года. Архивировано из оригинала 11 ноября 2020 года . Проверено 11 ноября 2020 г.
  41. ^ «Освобождение домохозяйств в GDPR» . Фенек Фарруджа Фиотт Юридические услуги . 22 мая 2020 г. Архивировано из оригинала 29 октября 2020 г. . Проверено 11 ноября 2020 г.
  42. ^ Веландер, Кэролайн (2016). «Экономическая деятельность»: критерии и значимость в области законодательства ЕС о внутреннем рынке, законодательства о конкуренции и законодательства о закупках» (PDF) . В Веландере, Кэролайн (ред.). Услуги общеэкономического значения как конституционная концепция права ЕС . Гаага, Нидерланды: TMC Asser Press. стр. 35–65. дои : 10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. Архивировано (PDF) из оригинала 26 мая 2018 года . Проверено 23 мая 2018 г.
  43. ^ «(Дополнительный) территориальный охват GDPR: право на забвение» . Фаскен.com . 28 ноября 2019 г. Архивировано из оригинала 21 февраля 2020 г. . Проверено 21 февраля 2020 г.
  44. ^ «Экстерриториальная сфера применения GDPR: нужно ли соблюдать требования бизнеса за пределами ЕС?» Американская ассоциация адвокатов. Архивировано из оригинала 21 февраля 2020 года . Проверено 21 февраля 2020 г.
  45. ^ Ст. 27(4) GDPR.
  46. ^ Ст. 27(1) GDPR.
  47. ^ Ст. 83(1), (2) и (4a) GDPR.
  48. ^ Ст. 27(2) GDPR.
  49. ^ abcd «Великобритания: понимание полного влияния Брексита на Великобританию: потоки данных ЕС». Конфиденциальность имеет значение . ДЛА Пайпер . 23 сентября 2019 г. Архивировано из оригинала 20 февраля 2020 г. Проверено 20 февраля 2020 г.
  50. ^ abc Палмер, Дэнни. «Что касается защиты данных, Великобритания заявляет, что будет действовать в одиночку. Вероятно, этого не произойдет». ЗДНет . Архивировано из оригинала 16 февраля 2020 года . Проверено 20 февраля 2020 г.
  51. Доннелли, Конор (18 января 2018 г.). «Как передать данные в «третью страну» в соответствии с GDPR». Блог по управлению ИТ Ru . Архивировано из оригинала 21 февраля 2020 года . Проверено 21 февраля 2020 г.
  52. ^ «Цифровые права после Брексита». YouTube . Группа «Открытые права» . Архивировано из оригинала 22 ноября 2022 года . Проверено 27 ноября 2022 г.Видео от Open Rights Group, разработанное как объяснение предложений Великобритании
  53. ^ «В Великобритании принят новый Закон о защите данных» . Out-Law.com . Архивировано из оригинала 25 мая 2018 года . Проверено 25 мая 2018 г.
  54. Эшфорд, Уорик (24 мая 2018 г.). «Новый закон Великобритании о защите данных не всеми приветствуется» . Компьютерный еженедельник . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  55. Портер, Джон (20 февраля 2020 г.). «После Брексита Google передает полномочия пользователей из Великобритании в США». Грань . Архивировано из оригинала 20 февраля 2020 года . Проверено 20 февраля 2020 г.
  56. ^ «Люди до 18 лет сталкиваются с ограничениями в отношении «подобия» и «полос»» . Новости BBC . 15 апреля 2019 года. Архивировано из оригинала 15 апреля 2019 года . Проверено 15 апреля 2019 г.
  57. Гринфилд, Патрик (15 апреля 2019 г.). «Facebook призвал отключить функцию лайков для детей-пользователей». Хранитель . ISSN  0261-3077. Архивировано из оригинала 15 апреля 2019 года . Проверено 15 апреля 2019 г.
  58. Афифи-Сабет, Кеумарс (12 марта 2021 г.). «Великобритания стремится отойти от GDPR, чтобы «стимулировать рост»». ЭТО ПРО . Архивировано из оригинала 13 марта 2021 года . Проверено 12 марта 2021 г.
  59. ^ «Разоблачение мифов об обмене данными» . Управление комиссара по информации . Проверено 19 октября 2023 г.
  60. ^ «Разоблачены девять главных мифов о GDPR» . Закон ВС . 22 января 2019 года . Проверено 19 октября 2023 г.
  61. ^ «Пять разрушителей мифов о GDPR» . Филд Фишер . 11 мая 2023 г. Проверено 19 октября 2023 г.
  62. ^ Статья 3 (2) GDPR.
  63. ^ Гуч, Питер (2018). «Новая эра конфиденциальности: GDPR спустя шесть месяцев» (PDF) . «Делойт», Великобритания . Архивировано (PDF) из оригинала 12 октября 2020 г. Проверено 26 ноября 2020 г.
  64. ^ «Как умные предприятия могут избежать штрафов GDPR при записи звонков» . xewave.io . Архивировано из оригинала 14 апреля 2018 года . Проверено 13 апреля 2018 г.
  65. Бабель, Крис (11 июля 2017 г.). «Высокая цена соблюдения GDPR». Информационная неделя . Технологическая группа УБМ. Архивировано из оригинала 5 октября 2017 года . Проверено 4 октября 2017 г.
  66. ^ «Подготовка к новым режимам конфиденциальности: взгляды специалистов по конфиденциальности на общие правила защиты данных и защиту конфиденциальности» (PDF) . Bakermckenzie.com . Бейкер и Маккензи. 4 мая 2016 г. Архивировано (PDF) из оригинала 31 августа 2018 г. . Проверено 4 октября 2017 г.
  67. ^ Георгиев, Георгий. «Калькулятор затрат на соблюдение GDPR». GIGAcalculator.com . Архивировано из оригинала 16 мая 2018 года . Проверено 16 мая 2018 г.
  68. Солон, Оливия (19 апреля 2018 г.). «Как европейский «революционный» закон о конфиденциальности влияет на Facebook и Google». Хранитель . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  69. ^ «Новые европейские правила конфиденциальности - не серебряная пуля» . Politico.eu . 22 апреля 2018 г. Архивировано из оригинала 26 мая 2018 г. . Проверено 25 мая 2018 г.
  70. ^ «Недостаток знаний GDPR — это опасность и возможность» . МикроскопВеликобритания . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  71. Чон, Сара (22 мая 2018 г.). «Никто не готов к GDPR». Грань . Архивировано из оригинала 28 мая 2018 года . Проверено 1 июня 2018 г.
  72. Эдвардс, Элейн (22 февраля 2018 г.). «Новые правила защиты данных создают проблемы с соблюдением требований для компаний». Ирландские Таймс . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  73. ^ Чассанг, Г. (2017). Влияние общего регламента ЕС по защите данных на научные исследования. электрораковая медицинская наука, 11.
  74. ^ Тархонен, Лаура (2017). «Псевдонимизация персональных данных в соответствии с Общим регламентом защиты данных». Архивировано из оригинала 19 февраля 2018 года . Проверено 19 февраля 2018 г.
  75. ^ «Недавний отчет, опубликованный Ирландской ассоциацией блокчейнов, показал, что в отношении GDPR гораздо больше вопросов, чем ответов». www.siliconrepublic.com . 23 ноября 2017 года. Архивировано из оригинала 5 марта 2018 года . Проверено 5 марта 2018 г.
  76. Образец, Ян (27 января 2017 г.). «Наблюдающему за искусственным интеллектом необходимо регулировать автоматизированное принятие решений, говорят эксперты». Хранитель . ISSN  0261-3077. Архивировано из оригинала 18 июня 2017 года . Проверено 15 июля 2017 г.
  77. ^ «Право ЕС на объяснение: вредное ограничение искусственного интеллекта». techzone360.com . Архивировано из оригинала 4 августа 2017 года . Проверено 15 июля 2017 г.
  78. ^ Вахтер, Сандра; Миттельштадт, Брент; Флориди, Лучано (28 декабря 2016 г.). «Почему право на объяснение автоматизированного принятия решений не существует в Общем регламенте защиты данных». Международный закон о конфиденциальности данных . ССНН  2903469.
  79. ^ Эдвардс, Лилиан; Вил, Майкл (2017). «Раб алгоритма? Почему «право на объяснение», вероятно, не то средство, которое вы ищете». Обзор права и технологий герцога . дои : 10.2139/ssrn.2972855. ССНН  2972855.
  80. Фримин, Майкл (29 марта 2018 г.). «Пять преимуществ соблюдения GDPR для вашего бизнеса». Форбс . Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  81. Баттерворт, Тревор (23 мая 2018 г.). «Новый жесткий европейский закон о цифровой конфиденциальности должен стать образцом для политиков США». Вокс. Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  82. ^ Джаффе, Джастин; Хаутала, Лаура (25 мая 2018 г.). «Что GDPR означает для Facebook, ЕС и вас». CNET . Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  83. ^ «Призыв генерального директора Facebook Цукерберга к принятию законов о конфиденциальности GDPR вызывает вопросы» . www.cnbc.com . Апрель 2019. Архивировано из оригинала 4 апреля 2019 года . Проверено 8 апреля 2019 г.
  84. Тику, Ниташа (19 марта 2018 г.). «Новый европейский закон о конфиденциальности изменит Интернет и многое другое». Проводной . Архивировано из оригинала 15 октября 2018 года . Проверено 11 сентября 2018 г.
  85. ^ Калянпур, Нихил; Ньюман, Авраам (25 мая 2018 г.). «Сегодня новый закон ЕС меняет права на неприкосновенность частной жизни для каждого. Без Эдварда Сноудена этого могло бы никогда не случиться». Вашингтон Пост . Архивировано из оригинала 11 октября 2018 года . Проверено 11 сентября 2018 г.
  86. Столлман, Ричард (3 апреля 2018 г.). «Радикальное предложение по обеспечению безопасности ваших личных данных». Хранитель . Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  87. Афифи-Сабет, Кеумарс (3 мая 2018 г.). «Мошенники используют электронные оповещения GDPR для проведения фишинговых атак». ЭТО ПРО . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  88. ^ «Правительство ЕС и сайты общественного здравоохранения плохо справляются с рекламными технологиями, как показало исследование» . ТехКранч . 18 марта 2019 года . Проверено 18 марта 2019 г.
  89. ^ «Граждан ЕС отслеживают на конфиденциальных правительственных веб-сайтах» . Файнэншл Таймс . 18 марта 2019 года. Архивировано из оригинала 19 марта 2019 года . Проверено 18 марта 2019 г.
  90. ^ «Засните за считанные секунды, слушая успокаивающий голос, читающий новое законодательство ЕС о GDPR» . Грань . Архивировано из оригинала 17 июня 2018 года . Проверено 16 июня 2018 г.
  91. ^ «Как европейские правила GDPR стали мемом» . Проводной . Архивировано из оригинала 18 июня 2018 года . Проверено 17 июня 2018 г.
  92. ^ «Интернет создал мем, вдохновленный GDPR, с использованием политики конфиденциальности» . Рекламная неделя . Архивировано из оригинала 17 июня 2018 года . Проверено 17 июня 2018 г.
  93. ^ Берджесс, Мэтт. «Помогите, мои лампочки перегорели! Как GDPR стал больше, чем Бейонсе». Wired.co.uk . Архивировано из оригинала 19 июня 2018 года . Проверено 17 июня 2018 г.
  94. ^ «Вот некоторые из худших попыток соблюдения GDPR» . Материнская плата . 25 мая 2018 г. Архивировано из оригинала 18 июня 2018 г. . Проверено 17 июня 2018 г.
  95. ^ «Какой процент уязвимостей вашего программного обеспечения имеет последствия GDPR?» (PDF) . ХакерУан. 16 января 2018 г. Архивировано (PDF) из оригинала 6 июля 2018 г. . Проверено 6 июля 2018 г.
  96. ^ «Сотрудник по защите данных (DPO): все, что вам нужно знать» . Cranium и HackerOne. 20 марта 2018 г. Архивировано из оригинала 31 августа 2018 г. Проверено 6 июля 2018 г.
  97. ^ «Как могут выглядеть программы вознаграждения за обнаружение ошибок в соответствии с GDPR?». Международная ассоциация специалистов по конфиденциальности (IAPP). 27 марта 2018 г. Архивировано из оригинала 6 июля 2018 г. Проверено 6 июля 2018 г.
  98. ^ Момен, Н.; Хатамян, М.; Фрич, Л. (ноябрь 2019 г.). «Улучшилась ли конфиденциальность приложений после GDPR?». Безопасность IEEE Конфиденциальность . 17 (6): 10–20. дои : 10.1109/MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
  99. ^ Хатамиан, Маджид; Момен, Нурул; Фрич, Лотар; Ранненберг, Кай (2019), Нальди, Маурицио; Итальяно, Джузеппе Ф.; Ранненберг, Кай; Медина, Манель (ред.), «Многосторонний метод анализа влияния на конфиденциальность для приложений Android», Технологии и политика конфиденциальности , Конспекты лекций по информатике, Springer International Publishing, vol. 11498, стр. 87–106, номер домена : 10.1007/978-3-030-21752-5_7, ISBN. 978-3-030-21751-8, S2CID  184483219, заархивировано из оригинала 12 июля 2020 г. , получено 3 июня 2020 г.
  100. ^ Моен, Гро Метте, Айло Крог Равна и Финн Мирстад. «Обманутые замыслом: как технологические компании используют темные шаблоны, чтобы отговорить нас от реализации наших прав на конфиденциальность». Архивировано 20 декабря 2019 года на Wayback Machine . 2018. Отчет Норвежского совета потребителей.
  101. ^ «Instapaper временно закрывает доступ европейским пользователям из-за GDPR» . Грань . Архивировано из оригинала 24 мая 2018 года . Проверено 24 мая 2018 г.
  102. ^ «Unroll.me закрывается от пользователей из ЕС, заявляющих, что он не соответствует GDPR» . ТехКранч . 5 мая 2018 г. Архивировано из оригинала 30 мая 2018 г. . Проверено 29 мая 2018 г.
  103. ^ Херн, Алекс; Уотерсон, Джим (24 мая 2018 г.). «Сайты блокируют пользователей, прекращают деятельность и наводняют почтовые ящики, поскольку надвигаются правила GDPR». Хранитель . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  104. ^ «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы» . Bloomberg LP, 25 мая 2018 г. Архивировано из оригинала 25 мая 2018 г. . Проверено 26 мая 2018 г.
  105. ^ «Новостные агентства США блокируют европейских читателей из-за новых правил конфиденциальности» . Нью-Йорк Таймс . 25 мая 2018 г. ISSN  0362-4331. Архивировано из оригинала 26 мая 2018 года . Проверено 26 мая 2018 г.
  106. ^ «Смотрите: вот что видят граждане ЕС теперь, когда вступил в силу GDPR» . Рекламный век . Архивировано из оригинала 25 мая 2018 года . Проверено 26 мая 2018 г.
  107. Тику, Ниташа (24 мая 2018 г.). «Почему ваш почтовый ящик забит политиками конфиденциальности». Проводной . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  108. Чен, Брайан X. (23 мая 2018 г.). «Получаете поток обновлений политики конфиденциальности, связанных с GDPR? Прочтите их». Нью-Йорк Таймс . ISSN  0362-4331. Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  109. Ланксон, Нейт (25 мая 2018 г.). «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы». Блумберг . Архивировано из оригинала 25 мая 2018 года . Проверено 25 мая 2018 г.
  110. ^ «Погром GDPR: покупка программной рекламы резко падает в Европе» . Дигидей . 25 мая 2018 г. Архивировано из оригинала 25 мая 2018 г. Проверено 26 мая 2018 г.
  111. ^ Скиера, Бернд; Миллер, Клаус Матиас; Джин, Юси; Крафт, Леннарт; Лауб, Рене; Шмитт, Юлия (5 июля 2022 г.). Влияние GDPR на рынок онлайн-рекламы. Франкфурт-на-Майне: Бернд Скиера. ISBN 978-3-9824173-0-1. ОСЛК  1322186902.
  112. ^ ab "Уголок прессы". Европейская Комиссия - Европейская Комиссия . Архивировано из оригинала 27 декабря 2020 года . Проверено 18 сентября 2020 г.
  113. ^ «Ваши права имеют значение: защита данных и конфиденциальность - Исследование фундаментальных прав» . Агентство Европейского Союза по основным правам . 12 июня 2020 года. Архивировано из оригинала 25 сентября 2020 года . Проверено 18 сентября 2020 г.
  114. ^ «GDPR: noyb.eu подал четыре жалобы по поводу «принудительного согласия» против Google, Instagram, WhatsApp и Facebook» (PDF) . НОЙБ.eu. 25 мая 2018 г. Архивировано из оригинала (PDF) 25 мая 2018 г. . Проверено 26 мая 2018 г.
  115. ^ «Facebook и Google получили судебные иски на сумму 8,8 миллиарда долларов в первый день принятия GDPR» . Грань . Архивировано из оригинала 25 мая 2018 года . Проверено 26 мая 2018 г.
  116. ^ «Макс Шремс подает первые дела в соответствии с GDPR против Facebook и Google» . Ирландские Таймс . Архивировано из оригинала 25 мая 2018 года . Проверено 26 мая 2018 г.
  117. ^ «Facebook и Google столкнулись с первыми жалобами на GDPR по поводу «принудительного согласия»» . ТехКранч . 25 мая 2018 г. Архивировано из оригинала 26 мая 2018 г. . Проверено 26 мая 2018 г.
  118. ^ Мейер, Дэвид. «Google и Facebook получили серьезные жалобы на GDPR: скоро появятся и другие». ЗДНет . Архивировано из оригинала 28 мая 2018 года . Проверено 26 мая 2018 г.
  119. Фокс, Крис (21 января 2019 г.). «Google оштрафована на 44 миллиона фунтов стерлингов по GDPR». Новости BBC . Архивировано из оригинала 21 января 2019 года . Проверено 14 июня 2019 г.
  120. Портер, Джон (21 января 2019 г.). «Google оштрафована на 50 миллионов евро за нарушение GDPR во Франции». Грань . Архивировано из оригинала 10 июня 2019 года . Проверено 14 июня 2019 г.
  121. Масник, Майк (19 ноября 2018 г.). «Еще одна катастрофа GDPR: журналистам приказали передать секретные источники в соответствии с Законом о защите данных» . Архивировано из оригинала 20 ноября 2018 года . Проверено 20 ноября 2018 г.
  122. Бэлэицы, Джордж (9 ноября 2018 г.). «Английский перевод письма Управления по защите данных Румынии в проект RISE». Проект по освещению организованной преступности и коррупции . Архивировано из оригинала 9 ноября 2018 года . Проверено 20 ноября 2018 г.
  123. ^ «Намерение оштрафовать British Airways на 183,39 миллиона фунтов стерлингов в соответствии с GDPR за утечку данных» . ICO . 8 июля 2019 года. Архивировано из оригинала 6 декабря 2020 года . Проверено 22 декабря 2020 г.
  124. Уиттакер, Зак (11 сентября 2018 г.). «Нарушение в British Airways вызвано вредоносным ПО для скимминга кредитных карт, - говорят исследователи». ТехКранч . Архивировано из оригинала 10 декабря 2018 года . Проверено 9 декабря 2018 г.
  125. ^ «Руководитель British Airways приносит извинения за «злонамеренную» утечку данных» . Новости BBC . 7 сентября 2018 г. Архивировано из оригинала 15 октября 2018 г. Проверено 7 сентября 2018 г.
  126. Суини, Марк (8 июля 2019 г.). «BA грозит штраф в размере 183 миллионов фунтов стерлингов за утечку данных о пассажирах». Хранитель . ISSN  0261-3077. Архивировано из оригинала 8 июля 2019 года . Проверено 8 июля 2019 г.
  127. ^ «British Airways грозит рекордный штраф в размере 183 миллионов фунтов стерлингов за утечку данных» . Новости BBC . 8 июля 2019 года. Архивировано из оригинала 8 июля 2019 года . Проверено 8 июля 2019 г.
  128. ^ «ICO оштрафовала British Airways на 20 миллионов фунтов стерлингов за утечку данных, затронувшую более 400 000 клиентов» . ICO . 16 октября 2020 г. Архивировано из оригинала 16 октября 2020 г. . Проверено 22 декабря 2020 г.
  129. Винокур, Николай (27 декабря 2019 г.). «У нас огромная проблема»: европейский регулятор в отчаянии из-за отсутствия правоприменения». Политик . Архивировано из оригинала 28 декабря 2019 года . Проверено 6 мая 2020 г.
  130. ↑ Аб Райан, Джонни (31 января 2023 г.). «Общеевропейский пересмотр системы мониторинга GDPR, инициированный ICCL». Ирландский совет гражданских свобод . Архивировано из оригинала 6 апреля 2023 года . Проверено 8 апреля 2023 г.
  131. ^ Ализаде, Фатима; Якоби, Тимо; Болдт, Йенс; Стивенс, Гуннар (2019). «GDPR-Проверка реальности права на доступ к данным». Труды Mensch und Computer 2019 . Нью-Йорк: ACM Press. стр. 811–814. дои : 10.1145/3340764.3344913. ISBN 978-1-4503-7198-8. S2CID  202159324.
  132. ^ аб Ализаде, Фатима; Якоби, Тимо; Боден, Александр; Стивенс, Гуннар; Болдт, Йенс (2020). «Проверка реальности GDPR: получение и расследование персональных данных от компаний» (PDF) . ЕвроУСЭК . Архивировано (PDF) из оригинала 17 июня 2020 года . Проверено 17 июня 2020 г.
  133. ^ ab Человек, Сохейл; Чех, Флориан (2021). «Человекоориентированный взгляд на цифровое согласие: пример GAFAM» (PDF) . Циммерманн, Альфред; Хоулетт, Роберт Дж.; Джайн, Лахми К. (ред.). Человекоцентрированные интеллектуальные системы . Умные инновации, системы и технологии. Том. 189. Сингапур: Спрингер. стр. 139–159. дои : 10.1007/978-981-15-5784-2_12. ISBN 978-981-15-5784-2. S2CID  214699040. Архивировано (PDF) из оригинала 14 апреля 2021 года . Проверено 23 августа 2020 г. .
  134. Кристакис и Пропп, Теодор и Кеннет (8 марта 2021 г.). «Как европейские спецслужбы стремятся избежать Высшего суда ЕС - и что это значит для Соединенных Штатов». Законность . Архивировано из оригинала 23 сентября 2023 года . Проверено 13 марта 2021 г.
  135. Браун, Райан (18 января 2022 г.). «Штрафы за нарушение закона ЕС о конфиденциальности выросли в семь раз и составили 1,2 миллиарда долларов, поскольку основной удар приходится на крупные технологические компании». CNBC . Архивировано из оригинала 9 февраля 2022 года . Проверено 9 февраля 2022 г.
  136. Робертс, Джефф Джон (25 мая 2018 г.). «GDPR действует: стоит ли бояться американским компаниям?». Архивировано из оригинала 28 мая 2018 года . Проверено 28 мая 2018 г.
  137. ^ «Комментарий: Новый закон Калифорнии о конфиденциальности данных может стать регуляторной катастрофой» . Удача . Архивировано из оригинала 10 апреля 2019 года . Проверено 10 апреля 2019 г.
  138. ^ «Калифорния единогласно приняла закон об исторической конфиденциальности» . Проводной . Архивировано из оригинала 29 июня 2018 года . Проверено 29 июня 2018 г.
  139. ^ «Маркетологи и технологические компании противостоят калифорнийской версии GDPR» . Архивировано из оригинала 29 июня 2018 года . Проверено 29 июня 2018 г.
  140. ^ «Вирджиния принимает Закон о защите потребительских данных» . Международная ассоциация специалистов по конфиденциальности . 3 марта 2021 года. Архивировано из оригинала 30 августа 2021 года . Проверено 26 августа 2021 г.
  141. ^ «Закон Колорадо о конфиденциальности становится законом» . Международная ассоциация специалистов по конфиденциальности . 8 июля 2021 года. Архивировано из оригинала 26 августа 2021 года . Проверено 26 августа 2021 г.
  142. ^ "КИШИСЕЛ ВЕРИЛЕРИ КОРУМА КУРУМУ | КВКК | История" . www.kvkk.gov.tr. _ Проверено 19 декабря 2020 г.
  143. ^ «Новый национальный закон Китая о конфиденциальности: PIPL - Конфиденциальность - Китай» . www.mondaq.com . Архивировано из оригинала 9 февраля 2022 года . Проверено 9 февраля 2022 г.
  144. ^ Портал МСП «Новый федеральный закон о защите данных (nFADP)». www.kmu.admin.ch . Архивировано из оригинала 25 марта 2023 года . Проверено 25 марта 2023 г.
  145. ^ Голдберг, Сэмюэл Г.; Джонсон, Гаррет А.; Шрайвер, Скотт К. (2024). «Регулирование конфиденциальности в Интернете: экономическая оценка GDPR». Американский экономический журнал: Экономическая политика . 16 (1): 325–358. дои : 10.1257/pol.20210309. ISSN  1945-7731.
  146. ^ «Реформа защиты данных: Совет принимает позицию в первом чтении - Консилиум» . Европа (веб-портал). Архивировано из оригинала 6 октября 2017 года . Проверено 14 апреля 2016 г.
  147. Принятие позиции Совета в первом чтении. Архивировано 25 ноября 2017 г. на Wayback Machine , Votewatch.eu.
  148. Письменная процедура. Архивировано 1 декабря 2017 г. в Wayback Machine , 8 апреля 2016 г., Совет Европейского Союза.
  149. ^ «Реформа защиты данных – Парламент утверждает новые правила, подходящие для цифровой эпохи – Новости – Европейский парламент» . 14 апреля 2016 г. Архивировано из оригинала 17 апреля 2016 г. . Проверено 14 апреля 2016 г.
  150. ^ «История Общего регулирования защиты данных | Европейский инспектор по защите данных» . edps.europa.eu . 25 мая 2018 года . Проверено 2 февраля 2024 г.
  151. ^ «Общий регламент защиты данных (GDPR) вступил в силу в ЕЭЗ» . ЕАСТ . 20 июля 2018 г. Архивировано из оригинала 1 октября 2018 г. Проверено 30 сентября 2018 г.
  152. Кольсруд, Кьетил (10 июля 2018 г.). «GDPR – 20 июля er datoen!». Ретт24 . Архивировано из оригинала 13 июля 2018 года . Проверено 13 июля 2018 г.
  153. ^ «Единый цифровой рынок». Единый цифровой рынок . Архивировано из оригинала 8 октября 2017 года . Проверено 5 октября 2017 г.
  154. ^ «Что означает Положение об электронной конфиденциальности для онлайн-индустрии? - ePrivacy» . www.eprivacy.eu . Архивировано из оригинала 22 мая 2018 года . Проверено 26 мая 2018 г.
  155. ^ «Позиция Совета и выводы по применению Общего регламента защиты данных (GDPR), 19 декабря 2019 г.» . Консилиум . Архивировано из оригинала 23 декабря 2019 года . Проверено 23 декабря 2019 г.

Внешние ссылки

На Wikimedia Commons есть средства массовой информации, связанные с Общими правилами защиты данных .