stringtranslate.com

Общий регламент по защите данных

Общий регламент по защите данных (Регламент (ЕС) 2016/679), [1] сокращенно GDPR , или фр. RGPD (от Règlement général sur la protection des données ) — это регламент Европейского союза о конфиденциальности информации в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). GDPR является важным компонентом законодательства ЕС о конфиденциальности и права человека , в частности статьи 8(1) Хартии основных прав Европейского союза . Он также регулирует передачу персональных данных за пределы ЕС и ЕЭЗ. Цели GDPR — усиление контроля и прав отдельных лиц в отношении их личной информации и упрощение правил для международного бизнеса . [2] Он заменяет Директиву о защите данных 95/46/EC и, среди прочего, упрощает терминологию.

Европейский парламент и Совет Европейского союза приняли GDPR 14 апреля 2016 года, который вступит в силу 25 мая 2018 года. Как регламент ЕС (а не директива ), GDPR применяется напрямую с силой закона сам по себе без необходимости транспонирования . Однако он также предоставляет отдельным государствам-членам гибкость для изменения (отступления от) некоторых его положений.

Как пример эффекта Брюсселя , регулирование стало моделью для многих других законов по всему миру, в том числе в Бразилии, Японии, Сингапуре, Южной Африке, Южной Корее, Шри-Ланке и Таиланде. [ требуется ссылка ] [3] После выхода из Европейского Союза Соединенное Королевство приняло свой «UK GDPR», идентичный GDPR. [4] Закон Калифорнии о защите конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, имеет много общего с GDPR. [5]

Содержание

GDPR 2016 состоит из одиннадцати глав, касающихся общих положений, принципов, прав субъекта данных, обязанностей контролеров или обработчиков данных, передачи персональных данных в третьи страны, надзорных органов, сотрудничества между государствами-членами, средств правовой защиты, ответственности или штрафов за нарушение прав и различных заключительных положений. В пункте 4 провозглашается, что «обработка персональных данных должна быть направлена ​​на служение человечеству».

Общие положения

Регламент применяется, если контролер данных (организация, которая собирает информацию о живых людях, независимо от того, находятся ли они в ЕС или нет), обработчик (организация, которая обрабатывает данные от имени контролера данных, например, поставщики облачных услуг), или субъект данных (лицо) находятся в ЕС. При определенных обстоятельствах [6] регламент также применяется к организациям, базирующимся за пределами ЕС, если они собирают или обрабатывают персональные данные лиц, находящихся в ЕС. Регламент не применяется к обработке данных лицом для «исключительно личной или бытовой деятельности и, следовательно, не связанной с профессиональной или коммерческой деятельностью». (Преамбула 18).

Согласно Европейской комиссии , «Персональные данные — это информация, которая относится к идентифицированному или идентифицируемому лицу. Если вы не можете напрямую идентифицировать лицо по этой информации, то вам необходимо рассмотреть, является ли лицо все еще идентифицируемым. Вам следует учитывать информацию, которую вы обрабатываете, вместе со всеми средствами, которые с большой долей вероятности могут быть использованы вами или любым другим лицом для идентификации этого лица». [7] Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контролер» и «обработчик», указаны в статье 4. [ 1] : Статья 4 

Регламент не подразумевает применения к обработке персональных данных для деятельности по обеспечению национальной безопасности или правоохранительных органов ЕС; однако отраслевые группы, обеспокоенные возможным конфликтом законов, задаются вопросом, может ли статья 48 быть использована для того, чтобы помешать контролеру данных, подпадающему под действие законов третьей страны, выполнить законное распоряжение правоохранительных органов, судебных органов или органов национальной безопасности этой страны о раскрытии таким органам персональных данных лица ЕС, независимо от того, находятся ли данные в ЕС или за его пределами. Статья 48 гласит, что любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от контролера или обработчика передать или раскрыть персональные данные, не могут быть признаны или исполнены каким-либо образом, если они не основаны на международном соглашении, например, действующем договоре о взаимной правовой помощи между запрашивающей третьей страной (не входящей в ЕС) и ЕС или государством-членом. Пакет реформ по защите данных также включает отдельную Директиву по защите данных для сектора полиции и уголовного правосудия, которая устанавливает правила обмена персональными данными на государственном уровне , на уровне Союза и на международном уровне. [8]

Единый набор правил применяется ко всем государствам-членам ЕС. Каждое государство-член создает независимый надзорный орган (SA) для рассмотрения и расследования жалоб, санкций за административные правонарушения и т. д. [1] : статьи 46–55  SA в каждом государстве-члене сотрудничают с другими SA, оказывая взаимную помощь и организуя совместные операции. Если у предприятия есть несколько учреждений в ЕС, оно должно иметь одно SA в качестве своего «главного органа» в зависимости от местонахождения его «главного учреждения», где осуществляются основные действия по обработке. Таким образом, главный орган действует как « единое окно » для надзора за всеми действиями по обработке этого предприятия по всему ЕС. [9] [10] Европейский совет по защите данных (EDPB) координирует SA. Таким образом, EDPB заменяет Рабочую группу по защите данных Статьи 29. Существуют исключения для данных, обрабатываемых в контексте занятости или национальной безопасности, которые все еще могут регулироваться правилами отдельных стран. [1] : статьи 2(2)(a) и 88 

Принципы и законные цели

Статья 5 устанавливает шесть принципов, касающихся законности обработки персональных данных. Первый из них определяет, что данные должны обрабатываться законно, справедливо и прозрачно. Статья 6 развивает этот принцип, указывая, что персональные данные не могут обрабатываться, если для этого нет хотя бы одного правового основания. Другие принципы относятся к «ограничению цели», « минимизации данных », «точности», «ограничению хранения» и «целостности и конфиденциальности».

Статья 6 гласит, что законными целями являются:

Если информированное согласие [1] : Статья 4(11)  используется в качестве законного основания для обработки, согласие должно быть явным для собранных данных и каждой цели, для которой данные используются. [1] : Статья 7  Согласие должно быть конкретным, свободно данным, четко сформулированным и недвусмысленным подтверждением, данным субъектом данных; онлайн-форма, которая имеет варианты согласия, структурированные как отказ, выбранный по умолчанию, является нарушением GDPR, поскольку согласие не является однозначно подтвержденным пользователем. Кроме того, несколько типов обработки не могут быть «объединены» вместе в один запрос подтверждения, поскольку это не является конкретным для каждого использования данных, и отдельные разрешения не предоставляются свободно. (Преамбула 32).

Субъектам данных должно быть разрешено отозвать это согласие в любое время, и процесс этого не должен быть сложнее, чем его согласие. [1] : Статья 7(3)  Контролер данных не может отказать в обслуживании пользователям, которые отказываются дать согласие на обработку, которая не является строго необходимой для использования услуги. [1] : Статья 8  Согласие для детей, определенных в регламенте как дети младше 16 лет (хотя с возможностью для государств-членов индивидуально установить минимальный возраст до 13 лет), должно быть дано родителем или опекуном ребенка и поддаваться проверке. [11] [12]

Если согласие на обработку уже было предоставлено в соответствии с Директивой о защите данных, контролеру данных не нужно повторно получать согласие, если обработка задокументирована и получена в соответствии с требованиями GDPR (Преамбула 171). [13] [14]

Права субъекта данных

Прозрачность и модальности

Статья 12 требует, чтобы контролер данных предоставлял информацию «субъекту данных в краткой, прозрачной, понятной и легкодоступной форме, используя ясный и простой язык, в частности, любую информацию, адресованную конкретно ребенку».

Информация и доступ

Право доступа ( статья 15 ) является правом субъекта данных. [15] Оно дает людям право на доступ к своим персональным данным и информации о том, как эти персональные данные обрабатываются. Контролер данных должен предоставить по запросу обзор категорий данных, которые обрабатываются [1] : статья 15(1)(b)  , а также копию фактических данных; [1] : статья 15(3)  кроме того, контроллер данных должен информировать субъекта данных о деталях обработки, таких как цели обработки, [1] : статья 15(1)(a)  с кем передаются данные, [1] : статья 15(1)(c)  и как он получил данные. [1] : статья 15(1)(g) 

Субъект данных должен иметь возможность передавать персональные данные из одной электронной системы обработки в другую и обратно, не будучи лишенным возможности делать это со стороны контролера данных. Данные, которые были достаточно анонимизированы, исключаются, но данные, которые были только деидентифицированы, но по-прежнему могут быть связаны с рассматриваемым лицом, например, путем предоставления соответствующего идентификатора, не исключаются. [16] Однако на практике предоставление таких идентификаторов может быть сложной задачей, например, в случае Siri от Apple , где голосовые и расшифровочные данные хранятся с персональным идентификатором, доступ к которому производитель ограничивает, [17] или в онлайн-поведенческом таргетинге, который в значительной степени опирается на отпечатки пальцев устройств , которые может быть сложно захватить, отправить и проверить. [18]

Включены как данные, «предоставляемые» субъектом данных, так и данные, «наблюдаемые», например, о поведении. Кроме того, данные должны быть предоставлены контролером в структурированном и общепринятом стандартном электронном формате. Право на переносимость данных предусмотрено статьей 20 .

Исправление и стирание

Право быть забытым было заменено более ограниченным правом на удаление в версии GDPR, принятой Европейским парламентом в марте 2014 года. [19] [20] Статья 17 предусматривает, что субъект данных имеет право потребовать удаления персональных данных, связанных с ним, по любому из ряда оснований, включая несоблюдение статьи 6(1) (законность), которая включает случай (f), если законные интересы контролера перевешиваются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных (см. также Google Spain SL, Google Inc. против Agencia Española de Protección de Datos, Марио Костеха Гонсалес ). [21]

Право на возражение и автоматизированные решения

Статья 21 GDPR позволяет человеку возражать против обработки персональных данных в маркетинговых или не связанных с обслуживанием целях. [22] Это означает, что контролер данных должен предоставить человеку право прекратить или запретить контролеру обрабатывать его персональные данные.

Есть некоторые случаи, когда это возражение не применяется. Например, если:

  1. Осуществляется законное или официальное полномочие
  2. «Законный интерес», когда организация должна обрабатывать данные, чтобы предоставить субъекту данных услугу, на которую он подписался
  3. Задача, выполняемая в общественных интересах.

GDPR также ясно указывает, что контролер данных должен информировать лиц об их праве на возражение с первого общения с ними. Это должно быть ясно и отдельно от любой другой информации, предоставляемой контролером, и предоставить им возможность выбора наилучшего способа возражения против обработки их данных.

Существуют случаи, когда контролер может отклонить запрос, если запрос на возражение «явно необоснован» или «чрезмерен», поэтому каждый случай возражения должен рассматриваться индивидуально. [22] Другие страны, такие как Канада [23] , также, следуя GDPR, рассматривают законодательство, регулирующее автоматизированное принятие решений в соответствии с законами о конфиденциальности, хотя существуют политические вопросы относительно того, является ли это лучшим способом регулирования ИИ. [ необходима цитата ]

Право на компенсацию

Статья 82 GDPR устанавливает, что любое лицо, которому был причинен материальный или нематериальный ущерб в результате нарушения настоящего Регламента, имеет право на получение от контролера или обработчика данных компенсации за причиненный ущерб.

В решении Österreichische Post (C-300/21) Суд Европейского Союза дал толкование права на компенсацию. [24] Статья 82(1) GDPR требует для возмещения ущерба (i) нарушения GDPR, (ii) (реального) понесенного ущерба и (iii) причинно-следственной связи между нарушением и понесенным ущербом. Не обязательно, чтобы понесенный ущерб достигал определенной степени серьезности. Не существует определенного европейского понятия ущерба. Компенсация определяется на национальном уровне в соответствии с национальным законодательством. Должны быть приняты во внимание принципы эквивалентности и эффективности. [25]

См. также заключение Генерального адвоката по делу Krankenversicherung Nordrhein (C-667/21). [26]

Контроллер и процессор

Контроллеры данных должны четко раскрывать любой сбор данных , объявлять законную основу и цель обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим лицам или за пределы ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей в той степени, в которой извлекаются только необходимые данные с минимальным вмешательством в конфиденциальность данных сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запрашивать переносную копию данных, собранных контролером в общем формате, а также право на удаление своих данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, обязаны нанимать сотрудника по защите данных (DPO), который несет ответственность за управление соблюдением GDPR. Контроллеры данных должны сообщать об утечках данных в национальные надзорные органы в течение 72 часов, если они оказывают неблагоприятное влияние на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% от годового мирового оборота за предыдущий финансовый год для предприятия, в зависимости от того, какая сумма больше.

Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен реализовать меры, которые отвечают принципам защиты данных по умолчанию и по замыслу. Статья 25 требует, чтобы меры по защите данных были разработаны в рамках разработки бизнес-процессов для продуктов и услуг. Такие меры включают псевдонимизацию персональных данных контролером как можно скорее (Преамбула 78). Контролер данных несет ответственность за реализацию эффективных мер и возможность продемонстрировать соответствие действий по обработке, даже если обработка осуществляется обработчиком данных от имени контролера (Преамбула 74). При сборе данных субъекты данных должны быть четко проинформированы об объеме сбора данных, правовой основе обработки персональных данных, сроке хранения данных, передаются ли данные третьей стороне и/или за пределы ЕС, а также о любом автоматизированном принятии решений , которое осуществляется исключительно на алгоритмической основе. Субъекты данных должны быть проинформированы о своих правах на конфиденциальность в соответствии с GDPR, включая право отозвать согласие на обработку данных в любое время, право просматривать свои персональные данные и получать доступ к обзору того, как они обрабатываются, право на получение переносимой копии сохраненных данных , право на удаление своих данных при определенных обстоятельствах, право оспаривать любое автоматизированное принятие решений, которое было сделано исключительно на алгоритмической основе, и право подавать жалобы в орган по защите данных . Таким образом, субъекту данных также должны быть предоставлены контактные данные контролера данных и его назначенного сотрудника по защите данных, где это применимо. [27] [28]

Оценки воздействия на защиту данных ( статья 35 ) должны проводиться в случае возникновения конкретных рисков для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а для высоких рисков требуется предварительное одобрение органов по защите данных.

Статья 25 требует, чтобы защита данных была встроена в разработку бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности должны быть установлены на высоком уровне по умолчанию, а контролер должен принять технические и процедурные меры, чтобы гарантировать, что обработка на протяжении всего жизненного цикла обработки соответствует регламенту. Контролеры также должны внедрить механизмы, гарантирующие, что персональные данные не будут обрабатываться, если это не необходимо для каждой конкретной цели. Это известно как минимизация данных.

В отчете [29] Агентства Европейского союза по сетевой и информационной безопасности подробно описывается, что необходимо сделать для достижения конфиденциальности и защиты данных по умолчанию. В нем указывается, что операции шифрования и дешифрования должны выполняться локально, а не удаленным сервисом, поскольку и ключи, и данные должны оставаться во власти владельца данных, если требуется достичь какой-либо конфиденциальности. В отчете указывается, что аутсорсинговое хранение данных в удаленных облаках практично и относительно безопасно, если ключи дешифрования хранятся только у владельца данных, а не у облачного сервиса.

Псевдонимизация

Согласно GDPR, псевдонимизация является обязательным процессом для хранимых данных, который преобразует персональные данные таким образом, что полученные данные не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации (в качестве альтернативы другому варианту полной анонимизации данных ). [30] Примером является шифрование , которое делает исходные данные непонятными в процессе, который не может быть отменен без доступа к правильному ключу дешифрования . GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонимизированных данных.

Другим примером псевдонимизации является токенизация , которая представляет собой нематематический подход к защите данных в состоянии покоя , который заменяет конфиденциальные данные неконфиденциальными заменителями, называемыми токенами. Хотя токены не имеют внешнего или эксплуатируемого значения или ценности, они позволяют сделать определенные данные полностью или частично видимыми для обработки и аналитики, в то время как конфиденциальная информация остается скрытой. Токенизация не изменяет тип или длину данных, что означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных. Это также требует гораздо меньше вычислительных ресурсов для обработки и меньше места для хранения в базах данных, чем традиционно зашифрованные данные.

Псевдонимизация — это технология, повышающая конфиденциальность , которая рекомендуется для снижения рисков для соответствующих субъектов данных, а также для помощи контролерам и обработчикам в выполнении их обязательств по защите данных (Преамбула 28). [31]

Записи о деятельности по обработке

Согласно статье 30 записи о деятельности по обработке данных должны вестись каждой организацией, соответствующей одному из следующих критериев:

Такие требования могут быть изменены каждой страной ЕС. Записи должны быть в электронной форме, и контролер или обработчик и, где применимо, представитель контролера или обработчика должны предоставить запись надзорному органу по запросу.

Записи контролера должны содержать всю следующую информацию:

Записи процессора должны содержать всю следующую информацию:

Безопасность персональных данных

Контролеры и обработчики персональных данных должны внедрять соответствующие технические и организационные меры для реализации принципов защиты данных. [32] Бизнес-процессы, которые обрабатывают персональные данные, должны быть спроектированы и построены с учетом принципов и обеспечивать гарантии для защиты данных (например, используя псевдонимизацию или полную анонимизацию, где это уместно). [33] Контролеры данных должны проектировать информационные системы с учетом конфиденциальности. Например, используя максимально возможные настройки конфиденциальности по умолчанию, чтобы наборы данных не были общедоступными по умолчанию и не могли использоваться для идентификации субъекта. Никакие персональные данные не могут обрабатываться, если эта обработка не выполняется на одном из шести законных оснований, указанных в регламенте ( согласие , договор, общественная задача, жизненно важный интерес, законный интерес или юридическое требование). Когда обработка основана на согласии, субъект данных имеет право отозвать его в любое время. [34]

Статья 33 гласит, что контролер данных имеет юридическое обязательство уведомлять надзорный орган без неоправданной задержки, за исключением случаев, когда нарушение вряд ли приведет к риску для прав и свобод лиц. Максимальный срок для сообщения составляет 72 часа с момента получения информации об утечке данных. Физические лица должны быть уведомлены, если определен высокий риск неблагоприятного воздействия. [1] : Статья 34  Кроме того, обработчик данных должен уведомить контролера без неоправданной задержки после получения информации об утечке персональных данных. [1] : Статья 33  Однако уведомление субъектов данных не требуется, если контролер данных внедрил соответствующие технические и организационные меры защиты, которые делают персональные данные непонятными для любого лица, не имеющего права доступа к ним, например, шифрование. [1] : Статья 34 

Сотрудник по защите данных

Статья 37 требует назначения должностного лица по защите данных. Если обработка осуществляется государственным органом (за исключением судов или независимых судебных органов, действующих в их судебном качестве), или если операции по обработке подразумевают регулярный и систематический мониторинг субъектов данных в больших масштабах, или если обработка в больших масштабах специальных категорий данных и персональных данных, касающихся уголовных приговоров и правонарушений ( статьи 9 и 10 ), должностное лицо по защите данных (DPO) — лицо, обладающее экспертными знаниями в области законодательства и практики защиты данных — должно быть назначено для оказания помощи контролеру или обработчику в мониторинге их внутреннего соответствия Регламенту.

Назначенный DPO может быть действующим членом персонала контролера или обработчика, или роль может быть передана на аутсорсинг внешнему лицу или агентству через договор на обслуживание. В любом случае обрабатывающий орган должен убедиться в отсутствии конфликта интересов в других ролях или интересах, которые может иметь DPO. Контактные данные DPO должны быть опубликованы обрабатывающей организацией (например, в уведомлении о конфиденциальности) и зарегистрированы в надзорном органе.

DPO похож на сотрудника по обеспечению соответствия и также должен быть опытным в управлении ИТ-процессами, безопасности данных (включая борьбу с кибератаками ) и других критических вопросах непрерывности бизнеса, связанных с хранением и обработкой персональных и конфиденциальных данных. Требуемый набор навыков выходит за рамки понимания юридического соответствия законам и правилам защиты данных. DPO должен вести оперативный учет всех данных, собранных и хранящихся от имени организации. [35] Более подробная информация о функции и роли сотрудника по защите данных была предоставлена ​​13 декабря 2016 г. (пересмотрена 5 апреля 2017 г.) в руководящем документе. [36]

Организации, базирующиеся за пределами ЕС, также должны назначить лицо из ЕС в качестве представителя и контактного лица по своим обязательствам GDPR. [1] : Статья 27  Это отдельная роль от DPO, хотя есть совпадения в обязанностях, которые предполагают, что эта роль также может выполняться назначенным DPO. [37]

Сертификация GDPR

Статьи 42 и 43 GDPR устанавливают правовую основу для формальных сертификаций GDPR. Они устанавливают основу для двух категорий сертификаций: [38]

Согласно статье 42 GDPR, целью данной сертификации является демонстрация «соответствия GDPR операций по обработке данных контролерами и обработчиками». [39] В GDPR имеется более 70 ссылок на сертификацию, охватывающих различные обязательства, такие как: [39]

Сертификация GDPR также способствует снижению правовых и финансовых рисков заявителей, а также контролеров данных, использующих сертифицированные услуги по обработке данных. [40]

Принятие европейских печатей защиты данных находится в компетенции Европейского совета по защите данных (EDPB) и признается во всех государствах-членах ЕС и ЕЭЗ . [41]

В октябре 2022 года критерии сертификации Europrivacy были официально признаны Европейским советом по защите данных (EDPB) в качестве Европейской печати защиты данных. [42] Europrivacy была разработана Европейской исследовательской программой и управляется Европейским центром сертификации и конфиденциальности (ECCP) в Люксембурге.

Средства правовой защиты, ответственность и штрафы

Помимо определений в качестве уголовного преступления в соответствии с национальным законодательством в соответствии со статьей 83 GDPR могут быть применены следующие санкции:

Исключения

Это некоторые случаи, которые конкретно не рассматриваются в GDPR, поэтому рассматриваются как исключения. [43]

И наоборот, субъект или, точнее, «предприятие» должно заниматься «экономической деятельностью», чтобы подпадать под действие GDPR. [b] Экономическая деятельность широко определяется в соответствии с законодательством Европейского Союза о конкуренции . [44]

Применимость за пределами Европейского Союза

GDPR также применяется к контролерам и обработчикам данных за пределами Европейской экономической зоны (ЕЭЗ), если они занимаются «предложением товаров или услуг» (независимо от того, требуется ли оплата) субъектам данных в пределах ЕЭЗ или отслеживают поведение субъектов данных в пределах ЕЭЗ (статья 3(2)). Регламент применяется независимо от того, где происходит обработка. [45] Это было истолковано как намеренное предоставление экстерриториальной юрисдикции GDPR для учреждений, не входящих в ЕС, если они ведут бизнес с людьми, находящимися в ЕС. Сомнительно, что ЕС или его государства-члены на практике смогут применять GDPR в отношении организаций, не имеющих учреждений в ЕС. [46]

Представитель ЕС

В соответствии со статьей 27 учреждения, не входящие в ЕС, подпадающие под действие GDPR, обязаны иметь назначенное лицо в Европейском Союзе, «Представителя ЕС», который будет выступать в качестве контактного лица для их обязательств в соответствии с регламентом. Представитель ЕС является контактным лицом Контролера или Обработчика по отношению к европейским надзорным органам по защите конфиденциальности и субъектам данных по всем вопросам, касающимся обработки, для обеспечения соблюдения настоящего GDPR. Физическое (физическое) или юридическое (корпорация) лицо может играть роль Представителя ЕС. [1] : Статья 27(4)  Учреждение, не входящее в ЕС, должно выдать надлежащим образом подписанный документ (письмо об аккредитации), назначающий данное лицо или компанию в качестве своего Представителя ЕС. Указанное назначение может быть дано только в письменной форме. [1] : Статья 27(1) 

Неспособность учреждения назначить представителя ЕС считается незнанием регламента и соответствующих обязательств, что само по себе является нарушением GDPR, влекущим за собой штрафы в размере до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше. Намеренный или небрежный (умышленная слепота) характер нарушения (неспособность назначить представителя ЕС) может скорее представлять собой отягчающие факторы. [1] : Статьи 83(1) и 83(2) и 83(4a) 

Учреждению не нужно назначать представителя ЕС, если оно занимается только эпизодической обработкой, которая не включает в себя в больших масштабах обработку специальных категорий данных, указанных в статье 9(1) GDPR, или обработку персональных данных, касающихся уголовных приговоров и правонарушений, указанных в статье 10, и такая обработка вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, объем и цели обработки. Государственные органы и учреждения, не входящие в ЕС, в равной степени освобождены. [1] : Статья 27(2) 

Третьи страны

Глава V GDPR запрещает передачу персональных данных субъектов данных ЕС в страны за пределами ЕЭЗ — известные как третьи страны — если только не будут приняты соответствующие меры предосторожности или правила защиты данных третьей страны не будут официально признаны адекватными Европейской комиссией (статья 45). [47] [48] Обязательные корпоративные правила , стандартные договорные положения о защите данных, выпущенные в соответствии с Соглашением об обработке данных (DPA), или схема обязательных и подлежащих исполнению обязательств со стороны контролера или обработчика данных, расположенного в третьей стране, являются примерами. [49]

Реализация в Соединенном Королевстве

Объяснение возможных последствий отклонения Великобритании от европейского GDPR [50]

На применимость GDPR в Соединенном Королевстве влияет Brexit . Хотя Соединенное Королевство официально вышло из Европейского Союза 31 января 2020 года, оно продолжало подчиняться законодательству ЕС, включая GDPR, до конца переходного периода 31 декабря 2020 года. [47] Соединенное Королевство предоставило королевское согласие на Закон о защите данных 2018 года 23 мая 2018 года, который дополнил GDPR, включая аспекты регулирования, которые должны определяться национальным законодательством, и уголовные преступления за сознательное или безрассудное получение, распространение или хранение персональных данных без согласия контролера данных. [51] [52]

В соответствии с Законом о Европейском союзе (выход) 2018 года существующее и соответствующее законодательство ЕС было транспонировано в местное законодательство по завершении перехода, а GDPR был изменен нормативным актом для удаления некоторых положений, которые больше не нужны из-за нечленства Великобритании в ЕС. После этого регламент будет именоваться «UK GDPR». [53] [48] [47] Великобритания не будет ограничивать передачу персональных данных в страны в пределах ЕЭЗ в соответствии с UK GDPR. Однако Великобритания станет третьей страной в соответствии с EU GDPR, что означает, что персональные данные не могут быть переданы в страну, если не будут введены соответствующие гарантии или Европейская комиссия не примет решение о достаточности в отношении пригодности британского законодательства о защите данных (глава V). В рамках соглашения о выходе Европейская комиссия обязалась провести оценку достаточности. [47] [48]

В апреле 2019 года Управление комиссара по информации Великобритании (ICO) выпустило детский кодекс поведения для социальных сетей, используемых несовершеннолетними, подлежащий исполнению в соответствии с GDPR, который также включает ограничения на механизмы « лайков » и «стриков» с целью предотвращения зависимости от социальных сетей , а также на использование этих данных для обработки интересов. [54] [55]

В марте 2021 года государственный секретарь по цифровым технологиям, культуре, СМИ и спорту Оливер Дауден заявил, что Великобритания изучает возможность отхода от GDPR ЕС, чтобы «[сосредоточиться] больше на результатах, которые мы хотим получить, и меньше на бремени правил, налагаемых на отдельные предприятия». [56]

Заблуждения

Вот некоторые распространенные заблуждения относительно GDPR:

Прием

Согласно исследованию, проведенному Deloitte в 2018 году, 92% компаний считают, что они способны соблюдать GDPR в своей деловой практике в долгосрочной перспективе. [61]

Компании, работающие за пределами ЕС, вложили значительные средства в приведение своей деловой практики в соответствие с GDPR. Область согласия GDPR имеет ряд последствий для предприятий, которые записывают звонки в порядке практики. Типичный отказ от ответственности не считается достаточным для получения предполагаемого согласия на запись звонков. Кроме того, если запись началась, если звонящий отзовет свое согласие, то агент, принимающий звонок, должен иметь возможность остановить ранее начатую запись и гарантировать, что запись не будет сохранена. [62]

IT-специалисты ожидают, что соблюдение GDPR потребует дополнительных инвестиций в целом: более 80 процентов опрошенных ожидают, что расходы, связанные с GDPR, составят не менее 100 000 долларов США. [63] Опасения были отражены в отчете, заказанном юридической фирмой Baker & McKenzie , в котором говорится, что «около 70 процентов респондентов считают, что организациям необходимо будет инвестировать дополнительный бюджет/усилия для соблюдения требований согласия, сопоставления данных и трансграничной передачи данных в соответствии с GDPR». [64] Общая стоимость для компаний ЕС оценивается в 200 миллиардов евро, тогда как для компаний США эта оценка составляет 41,7 миллиарда долларов. [65] Утверждалось, что у малого бизнеса и стартапов может не быть финансовых ресурсов для адекватного соблюдения GDPR, в отличие от крупных международных технологических компаний (таких как Facebook и Google ), на которые, по всей видимости, в первую очередь нацелено регулирование. [66] [67] Недостаток знаний и понимания правил также вызывал беспокойство в преддверии их принятия. [68] Контраргументом на это было то, что компании были осведомлены об этих изменениях за два года до их вступления в силу и должны были иметь достаточно времени для подготовки. [69]

Правила, включая вопрос о том, должно ли предприятие иметь сотрудника по защите данных, подверглись критике за потенциальное административное бремя и неясные требования к соблюдению. [70] Хотя минимизация данных является обязательным требованием, а псевдонимизация является одним из возможных средств, правила не содержат никаких указаний относительно того, как или что представляет собой эффективную схему деидентификации данных, с серой зоной относительно того, что будет считаться неадекватной псевдонимизацией при условии соблюдения мер по обеспечению соблюдения Раздела 5. [31] [71] [72] Также существует обеспокоенность относительно внедрения GDPR в блокчейн- системы, поскольку прозрачная и фиксированная запись транзакций блокчейна противоречит самой природе GDPR. [73] Многие СМИ прокомментировали введение « права на объяснение » алгоритмических решений, [74] [75] но с тех пор ученые-юристы утверждают, что существование такого права крайне неясно без судебных проверок и в лучшем случае ограничено. [76] [77]

GDPR получил поддержку со стороны предприятий, которые рассматривают его как возможность улучшить управление данными. [78] [79] Марк Цукерберг также назвал его «очень позитивным шагом для Интернета » [80] и призвал принять законы в стиле GDPR в США. [81] Группы по защите прав потребителей, такие как Европейская организация потребителей, являются одними из самых ярых сторонников этого законодательства. [82] Другие сторонники приписывают его принятие осведомителю Эдварду Сноудену . [83] Сторонник свободного программного обеспечения Ричард Столлман похвалил некоторые аспекты GDPR, но призвал к дополнительным мерам защиты, чтобы помешать технологическим компаниям «изготавливать согласие». [84]

Влияние

Ученые-эксперты, участвовавшие в разработке GDPR, писали, что закон «является наиболее последовательным нормативным развитием информационной политики за последнее поколение. GDPR вводит персональные данные в сложный и защитный режим регулирования». [85]

Несмотря на то, что у них было не менее двух лет на подготовку и реализацию, многие компании и веб-сайты изменили свои политики конфиденциальности и функции по всему миру непосредственно перед внедрением GDPR и обычно отправляли электронные письма и другие уведомления, в которых обсуждались эти изменения. Это подверглось критике за то, что привело к утомительному количеству сообщений, в то время как эксперты отметили, что в некоторых письмах с напоминаниями неверно утверждалось, что новое согласие на обработку данных должно быть получено на момент вступления GDPR в силу (любое ранее полученное согласие на обработку действительно, если оно соответствует требованиям регламента). Фишинговые мошенничества также возникали с использованием фальсифицированных версий писем, связанных с GDPR, и также утверждалось, что некоторые письма с уведомлениями GDPR могли быть фактически отправлены с нарушением законов о борьбе со спамом. [86] [13] В марте 2019 года поставщик программного обеспечения для обеспечения соответствия обнаружил, что многие веб-сайты, управляемые правительствами государств-членов ЕС, содержали встроенное отслеживание от поставщиков рекламных технологий. [87] [88]

Поток уведомлений, связанных с GDPR, также вдохновил на создание мемов , в том числе мемов, связанных с уведомлениями о политике конфиденциальности, доставляемыми нетипичными способами (например, доской Уиджа или вступительным текстом к «Звездным войнам» ), предполагающих, что список «непослушных или хороших» Санта-Клауса является нарушением, а также записи отрывков из регламента бывшим диктором BBC Radio 4 Shipping Forecast . Также был создан блог GDPR Hall of Shame , чтобы продемонстрировать необычную доставку уведомлений GDPR и попытки соблюдения, которые содержали вопиющие нарушения требований регламента. Его автор отметил, что регламент «содержит много мельчайших деталей, но не так много информации о том, как соблюдать», но также признал, что у компаний было два года на соблюдение, что делает некоторые из его ответов неоправданными. [89] [90] [91] [92] [93]

Исследования показывают, что около 25% уязвимостей программного обеспечения имеют последствия GDPR. [94] Поскольку статья 33 делает акцент на нарушениях, а не на ошибках, эксперты по безопасности советуют компаниям инвестировать в процессы и возможности для выявления уязвимостей до того, как ими смогут воспользоваться, включая скоординированные процессы раскрытия уязвимостей . [95] [96] Исследование политик конфиденциальности приложений Android, возможностей доступа к данным и поведения при доступе к данным показало, что многочисленные приложения демонстрируют несколько более дружественное к конфиденциальности поведение с момента внедрения GDPR, хотя они по-прежнему сохраняют большую часть своих привилегий доступа к данным в своем коде. [97] [98] Расследование Норвежского совета потребителей в отношении панелей мониторинга субъектов данных после вступления в силу GDPR на платформах социальных сетей (таких как панель мониторинга Google ) пришло к выводу, что крупные компании социальных сетей используют обманные приемы, чтобы отговорить своих клиентов от ужесточения своих настроек конфиденциальности. [99]

С даты вступления в силу некоторые веб-сайты начали полностью блокировать посетителей из стран ЕС (включая Instapaper , [100] Unroll.me, [101] и газеты, принадлежащие Tribune Publishing , такие как Chicago Tribune и Los Angeles Times ) или перенаправлять их на урезанные версии своих сервисов (в случае National Public Radio и USA Today ) с ограниченной функциональностью и/или без рекламы, чтобы они не несли ответственности. [102] [103] [104] [105] Некоторые компании, такие как Klout и несколько онлайн-видеоигр, полностью прекратили свою деятельность, чтобы совпасть с его внедрением, сославшись на GDPR как на бремя для их дальнейшей деятельности, особенно из-за бизнес-модели первого. [106] [107] [108] Объем размещения поведенческой онлайн-рекламы в Европе упал на 25–40% 25 мая 2018 года. [109] [110]

В 2020 году, через два года после начала внедрения GDPR, Европейская комиссия оценила, что пользователи по всему ЕС повысили уровень своих знаний о своих правах, заявив, что «69% населения старше 16 лет в ЕС слышали о GDPR, а 71% людей слышали о своем национальном органе по защите данных». [111] [112] Комиссия также обнаружила, что конфиденциальность стала конкурентным качеством для компаний, которое потребители учитывают в своих процессах принятия решений. [111]

Исполнение и непоследовательность

Facebook и дочерние компании WhatsApp и Instagram , а также Google LLC (целевая Android ) были немедленно поданы в суд некоммерческой организацией NOYB Макса Шремса всего через несколько часов после полуночи 25 мая 2018 года за использование ими «принудительного согласия». Шремс утверждает, что обе компании нарушили статью 7(4), не предоставив согласия на обработку данных на индивидуальной основе и потребовав от пользователей согласия на все действия по обработке данных (включая те, которые не являются строго необходимыми), в противном случае им будет запрещено пользоваться услугами. [113] [114] [115] [116] [117] 21 января 2019 года французская DPA оштрафовала Google на 50 миллионов евро за демонстрацию недостаточного контроля, согласия и прозрачности в отношении использования персональных данных для поведенческой рекламы. [118] [119] В ноябре 2018 года после журналистского расследования в отношении Ливиу Драгни румынское Управление по защите персональных данных (ANSPDCP) использовало запрос GDPR, чтобы потребовать информацию об источниках проекта RISE . [120] [121]

В июле 2019 года Управление британского комиссара по информации объявило о намерении оштрафовать British Airways на рекордные 183 миллиона фунтов стерлингов (1,5% от оборота) за ненадлежащие меры безопасности, которые позволили провести в 2018 году атаку по скиммингу, затронувшую около 380 000 транзакций. [122] [123] [124] [125] [126] British Airways в конечном итоге была оштрафована на сокращенную сумму в 20 миллионов фунтов стерлингов, при этом ICO отметило, что они «рассмотрели как заявления BA, так и экономическое влияние COVID-19 на свой бизнес, прежде чем установить окончательный штраф». [127]

В декабре 2019 года Politico сообщило, что Ирландия и Люксембург — две небольшие страны ЕС, имеющие репутацию налоговых убежищ и (особенно в случае Ирландии) как база для европейских дочерних компаний крупных технологических компаний США — столкнулись со значительными задержками в своих расследованиях крупных иностранных компаний в соответствии с GDPR, причем Ирландия ссылалась на сложность регулирования как на фактор. Критики, опрошенные Politico, также утверждали, что правоприменение также затрудняется различными толкованиями между государствами-членами, приоритетом руководства над правоприменением некоторыми органами и отсутствием сотрудничества между государствами-членами. [128]

В ноябре 2021 года Ирландский совет по гражданским свободам подал официальную жалобу Комиссии на то, что она нарушает свое обязательство в соответствии с законодательством ЕС по тщательному контролю за тем, как Ирландия применяет GDPR. [129] До января 2023 года Комиссия опубликовала новое обязательство, основанное на жалобе ICCL. [129]

Хотя компании теперь обязаны соблюдать юридические обязательства, в практической и технической реализации GDPR все еще существуют различные несоответствия. [130] Например, в соответствии с правом GDPR на доступ компании обязаны предоставлять субъектам данных данные, которые они собирают о них. Однако в исследовании карт лояльности в Германии компании не предоставляли субъектам данных точную информацию о приобретенных товарах. [131] Можно утверждать, что такие компании не собирают информацию о приобретенных товарах, что не соответствует их бизнес-моделям. Поэтому субъекты данных склонны рассматривать это как нарушение GDPR. В результате исследования предложили лучший контроль со стороны органов власти. [131]

Согласно GDPR, согласие конечных пользователей должно быть действительным, свободно данным, конкретным, информированным и активным. [132] Однако отсутствие возможности принудительного исполнения в отношении получения законных согласий стало проблемой. Например, исследование 2020 года показало, что крупные технологические компании , то есть Google , Amazon , Facebook , Apple и Microsoft (GAFAM), используют темные шаблоны в своих механизмах получения согласия, что вызывает сомнения относительно законности полученного согласия. [132]

В марте 2021 года сообщалось, что государства-члены ЕС во главе с Францией пытаются изменить влияние регулирования конфиденциальности в Европе, освободив от него агентства национальной безопасности. [133]

После того, как в 2020 году было наложено около 160 миллионов евро штрафов по GDPR, в 2021 году эта цифра уже превысила один миллиард евро. [134]

Влияние на иностранные законы

Массовое принятие этих новых стандартов конфиденциальности многонациональными компаниями было приведено в качестве примера « брюссельского эффекта » — явления, при котором европейские законы и правила используются в качестве основы из-за их весомости. [135]

Американский штат Калифорния принял Закон о защите конфиденциальности потребителей Калифорнии 28 июня 2018 года, вступивший в силу 1 января 2020 года; он предоставляет права на прозрачность и контроль над сбором личной информации компаниями аналогичными способами, как и GDPR. Критики утверждают, что такие законы должны быть реализованы на федеральном уровне, чтобы быть эффективными, поскольку набор законов на уровне штата будет иметь различные стандарты, что усложнит соблюдение. [136] [137] [138] С тех пор два других штата США приняли аналогичное законодательство: Вирджиния приняла Закон о защите конфиденциальности данных потребителей 2 марта 2021 года, [139] а Колорадо принял Закон о защите конфиденциальности Колорадо 8 июля 2021 года. [140]

Турецкая Республика , кандидат на членство в Европейском Союзе , приняла Закон о защите персональных данных 24 марта 2016 года в соответствии с законодательством ЕС . [141]

Закон Китая о защите персональных данных 2021 года является первым в стране всеобъемлющим законом о правах на персональные данные и разработан по образцу GDPR. [142] : 131 

Швейцария также примет новый закон о защите данных, который в значительной степени соответствует GDPR ЕС. [143]

Просмотры веб-сайта и доход

Исследование 2024 года показало, что GDPR снизил как просмотры страниц веб-сайта пользователями из ЕС, так и доход от веб-сайта на 12%. [144]

Хронология

Единый цифровой рынок ЕС

Стратегия единого цифрового рынка ЕС касается деятельности « цифровой экономики », связанной с предприятиями и людьми в ЕС. [152] В рамках стратегии GDPR и Директива NIS применяются с 25 мая 2018 года. Предлагаемый Регламент ePrivacy также планировалось ввести в действие с 25 мая 2018 года, но он будет отложен на несколько месяцев. [153] Регламент eIDAS также является частью стратегии.

В первоначальной оценке Европейский совет заявил, что GDPR следует рассматривать как «предпосылку для разработки будущих инициатив цифровой политики». [154]

Смотрите также

Аналогичные законы о конфиденциальности в других странах:

Соответствующее регулирование ЕС:

Связанные концепции:

Тактика соблюдения требований некоторыми компаниями:

Сноски

  1. ^ Совместный контроль возникает, «когда два или более контролеров совместно определяют цели и средства обработки» данных. Они должны согласовать свои соответствующие обязанности «прозрачным» образом и сообщить «суть соглашения» субъектам данных. [1] : Статья 26 
  2. ^ См. статью 4(18) GDPR  : «предприятие» означает физическое или юридическое лицо, занимающееся экономической деятельностью, независимо от его правовой формы, включая партнерства или ассоциации, регулярно занимающиеся экономической деятельностью. [1] : Статья 30 

Ссылки

  1. ^ abcdefghijklmnopqrstu vwx Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/EC (Общий регламент о защите данных)
  2. ^ "Председательство Совета: "Компромиссный текст. Несколько частичных общих подходов сыграли важную роль в сближении взглядов в Совете по предложению об Общем регламенте защиты данных в целом. Текст Регламента, который Президентство представляет на утверждение в качестве Общего подхода, содержится в приложении", 201 страница, 11 июня 2015 г., PDF". Архивировано из оригинала 25 декабря 2015 г. . Получено 30 декабря 2015 г.
  3. ^ Рингаерт, К. и Тейлор, М. 2020, «GDPR как глобальный регламент по защите данных?», AJIL unbound , т. 114, стр. 5–9.
  4. ^ "GDPR Великобритании". Information Commissioner's Office ico . 28 июня 2021 г. Получено 3 мая 2024 г.
  5. ^ Франческа Лукарини, «Различия между Законом Калифорнии о защите прав потребителей и GDPR». Архивировано 12 июля 2020 г. в Wayback Machine , советник
  6. ^ Статья 3(2) : Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или обработчиком, не учрежденным в Союзе, если действия по обработке связаны с: (a) предложением товаров или услуг, независимо от того, требуется ли оплата субъектом данных, таким субъектам данных в Союзе; или (b) мониторингом их поведения, если их поведение имеет место в пределах Союза.
  7. ^ «Что такое персональные данные?». Январь 2021 г. Архивировано из оригинала 24 июля 2019 г. Получено 22 июля 2019 г.
  8. ^ Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, выявления или преследования уголовных преступлений или исполнения уголовных наказаний, а также о свободном перемещении таких данных и об отмене Рамочного решения Совета 2008/977/JHA
  9. ^ Предлагаемый общий регламент ЕС по защите данных. Руководство для внутренних юристов, Hunton & Williams LLP, июнь 2015 г., стр. 14
  10. ^ ab Процедура 2012/0011/COD Процедура для предлагаемой пересмотренной правовой базы (Общий регламент по защите данных)
  11. ^ "Возраст согласия в GDPR: обновленное сопоставление". iapp.org . Архивировано из оригинала 27 мая 2018 г. Получено 26 мая 2018 г.
  12. ^ «Как предлагаемый регламент ЕС о защите данных создает волновой эффект во всем мире». Архивировано 17 февраля 2021 г. на Wayback Machine . Джуди Шмитт, Флориан Шталь. 11 октября 2012 г. Получено 3 января 2013 г.
  13. ^ ab Hern, Alex (21 мая 2018 г.). «Большинство писем GDPR ненужны, а некоторые незаконны, говорят эксперты». The Guardian . Архивировано из оригинала 28 мая 2018 г. . Получено 28 мая 2018 г. .
  14. ^ Камлейтнер, Бернадетт; Митчелл, Винс (1 октября 2019 г.). «Ваши данные — мои данные: структура для решения проблем взаимозависимых нарушений конфиденциальности». Журнал государственной политики и маркетинга . 38 (4): 433–450. doi : 10.1177/0743915619858924 . ISSN  0743-9156. S2CID  201343307.
  15. ^ abc "Official Journal L 119/2016". eur-lex.europa.eu . Архивировано из оригинала 22 ноября 2018 года . Получено 26 мая 2018 года .
  16. ^ «Руководящие принципы права на переносимость данных в соответствии с Регламентом 2016/679». Европейская комиссия. 2017. Архивировано из оригинала 29 июня 2017 года . Получено 2 ноября 2023 года .
  17. ^ Вейл, Майкл; Биннс, Рубен; Ауслоос, Джеф (2018). «Когда защита данных по замыслу и права субъекта данных сталкиваются». Международный закон о конфиденциальности данных . 8 (2): 105–123. doi : 10.1093/idpl/ipy002 .
  18. ^ Zuiderveen Borgesius, Frederik J. (апрель 2016 г.). «Выделение людей, не зная их имен — поведенческое таргетинг, псевдонимные данные и новый Регламент защиты данных». Computer Law & Security Review . 32 (2): 256–271. doi :10.1016/j.clsr.2015.12.013. ISSN  0267-3649.
  19. Болдри, Тони ; Хайамс, Оливер (15 мая 2014 г.). «Право быть забытым». 1 Эссекс-Корт. Архивировано из оригинала 19 октября 2017 г. Получено 1 июня 2014 г.
  20. ^ P7_TA(2014)0212 Защита лиц в отношении обработки персональных данных ***I Законодательная резолюция Европейского парламента от 12 марта 2014 г. о предложении о регламенте Европейского парламента и Совета о защите лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Общий регламент о защите данных) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) P7_TC1-COD(2012)0011 Позиция Европейского парламента, принятая в первом чтении 12 марта 2014 г. в целях принятия Регламента (ЕС) № …/2014 Европейского парламента и Совета о защите лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Общий регламент о защите данных)
  21. ^ "Практическая конфиденциальность данных | Книги Thoughtworkers". Thoughtworks . Получено 25 августа 2023 г.
  22. ^ ab "Право на возражение". ico.org.uk . 30 августа 2019 г. Архивировано из оригинала 2 декабря 2019 г. Получено 14 ноября 2019 г.
  23. ^ Сукман, Барри; Чарльз Морган; Адам Голденберг (30 апреля 2021 г.). «Использование законов о конфиденциальности для регулирования автоматизированного принятия решений». Барри Сукман . Архивировано из оригинала 24 мая 2021 г. Получено 24 мая 2021 г.
  24. ^ Решение Суда (Третья палата) от 4 мая 2023 г. UI против Österreichische Post AG. Запрос на предварительное постановление в Верховный суд. Дело C-300/21, ECLI:EU:C:2023:370: Ссылка на предварительное постановление — Защита физических лиц в отношении обработки персональных данных — Регламент (ЕС) 2016/679 — Статья 82(1) — Право на компенсацию за ущерб, причиненный обработкой данных, которая нарушает этот регламент — Условия, регулирующие право на компенсацию — Простого нарушения этого регламента недостаточно — Необходимость возмещения ущерба, причиненного этим нарушением — Компенсация нематериального ущерба, возникшего в результате такой обработки — Несовместимость национального правила, обусловливающего компенсацию такого ущерба превышением порога серьезности — Правила определения ущерба национальными судами.
  25. ^ Österreichische Post (C-300/21), суб 54.
  26. ^ Мнение генерального адвоката Кампоса Санчеса-Бордоны, вынесенное 25 мая 2023 г. ZQ против Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Дело C‑667/21, ECLI:EU:C:2023:433 (предварительный текст)
  27. ^ «Уведомления о конфиденциальности в соответствии с Общим регламентом ЕС о защите данных». ico.org.uk. 19 января 2018 г. Архивировано из оригинала 23 мая 2018 г. Получено 22 мая 2018 г.
  28. ^ «Какая информация должна быть предоставлена ​​лицам, чьи данные собираются?». Европа (веб-портал). Архивировано из оригинала 23 мая 2018 года . Получено 23 мая 2018 года .
  29. ^ "Privacy and Data Protection by Design – ENISA". Европа (веб-портал). Архивировано из оригинала 5 апреля 2017 года . Получено 4 апреля 2017 года .
  30. ^ Наука о данных в соответствии с GDPR с псевдонимизацией в конвейере данных Архивировано 18 апреля 2018 г. на Wayback Machine Опубликовано Dativa 17 апреля 2018 г.
  31. ^ ab Wes, Matt (25 апреля 2017 г.). «Хотите соответствовать GDPR? Вот руководство по анонимизации и псевдонимизации». IAPP. Архивировано из оригинала 19 февраля 2018 г. Получено 19 февраля 2018 г.
  32. ^ "Безопасные персональные данные | Европейский совет по защите данных". www.edpb.europa.eu . Получено 16 мая 2024 г. .
  33. ^ «Защита данных по замыслу и по умолчанию». ico.org.uk . 1 июля 2023 г. . Получено 16 мая 2024 г. .
  34. ^ «Что, если кто-то отзовет свое согласие? — Европейская комиссия». commission.europa.eu . Получено 16 мая 2024 г. .
  35. ^ "Объяснение запросов субъектов данных GDPR". TrueVault . Архивировано из оригинала 20 февраля 2019 г. Получено 19 февраля 2019 г.
  36. ^ "Guidelines on Data Protection Officers ('DPOs')". Архивировано из оригинала 29 июня 2017 года . Получено 2 ноября 2023 года .
  37. ^ Янковски, Пайпер-Мередит (21 июня 2017 г.). "охват GDPR: что поставлено на карту?". Lexology . Архивировано из оригинала 26 мая 2018 г. Получено 25 мая 2018 г.
  38. ^ "Документ EDPB о процедуре принятия мнений EDPB относительно национальных критериев сертификации и европейских печатей защиты данных | Европейский совет по защите данных". www.edpb.europa.eu . Получено 30 октября 2024 г.
  39. ^ ab "Статья 42 GDPR – Сертификация". Общий регламент по защите данных (GDPR) . Получено 30 октября 2024 г.
  40. ^ "Europrivacy: первый механизм сертификации для обеспечения соответствия GDPR | Формирование цифрового будущего Европы". digital-strategy.ec.europa.eu . 17 октября 2022 г. . Получено 30 октября 2024 г. .
  41. ^ "Документ EDPB о процедуре утверждения критериев сертификации EDPB, приводящих к общей сертификации, Европейской печати защиты данных | Европейский совет по защите данных". www.edpb.europa.eu . Получено 3 ноября 2024 г.
  42. ^ "Europrivacy | Европейский совет по защите данных". www.edpb.europa.eu . Получено 30 октября 2024 г. .
  43. ^ "Исключения". ico.org.uk . 20 июля 2020 г. Архивировано из оригинала 11 ноября 2020 г. Получено 11 ноября 2020 г.
  44. ^ Wehlander, Caroline (2016). ""Экономическая деятельность": критерии и релевантность в областях права внутреннего рынка ЕС, права конкуренции и права закупок" (PDF) . В Wehlander, Caroline (ред.). Услуги общеэкономического интереса как конституционная концепция права ЕС . Гаага, Нидерланды: TMC Asser Press. стр. 35–65. doi :10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. Архивировано (PDF) из оригинала 26 мая 2018 г. . Получено 23 мая 2018 г. .
  45. ^ «(Экстра)территориальная сфера действия GDPR: право быть забытым». Fasken.com . 28 ноября 2019 г. Архивировано из оригинала 21 февраля 2020 г. Получено 21 февраля 2020 г.
  46. ^ «Экстерриториальная сфера действия GDPR: должны ли компании за пределами ЕС соблюдать требования?». Американская ассоциация юристов. Архивировано из оригинала 21 февраля 2020 г. Получено 21 февраля 2020 г.
  47. ^ abcd "Великобритания: Понимание полного влияния Brexit на Великобританию: потоки данных ЕС". Privacy Matters . DLA Piper . 23 сентября 2019 г. Архивировано из оригинала 20 февраля 2020 г. Получено 20 февраля 2020 г.
  48. ^ abc Палмер, Дэнни. «Что касается защиты данных, Великобритания заявляет, что будет действовать в одиночку. Вероятно, этого не произойдет». ZDNet . Архивировано из оригинала 16 февраля 2020 г. . Получено 20 февраля 2020 г. .
  49. ^ Доннелли, Конор (18 января 2018 г.). «Как передать данные в «третью страну» в соответствии с GDPR». IT Governance Blog En . Архивировано из оригинала 21 февраля 2020 г. . Получено 21 февраля 2020 г. .
  50. ^ "Цифровые права после Brexit". Youtube . Open Rights Group . 2 ноября 2022 г. Архивировано из оригинала 22 ноября 2022 г. Получено 27 ноября 2022 г.Видео от Open Rights Group, разработанное в качестве пояснения предложений Великобритании
  51. ^ "Новый закон о защите данных принят в Великобритании". Out-Law.com . Архивировано из оригинала 25 мая 2018 года . Получено 25 мая 2018 года .
  52. ^ Эшфорд, Уорик (24 мая 2018 г.). «Новый закон Великобритании о защите данных не приветствуется всеми». Computer Weekly . Архивировано из оригинала 24 мая 2018 г. Получено 25 мая 2018 г.
  53. ^ Портер, Джон (20 февраля 2020 г.). «Google передает полномочия по данным пользователей из Великобритании в США в связи с Brexit». The Verge . Архивировано из оригинала 20 февраля 2020 г. Получено 20 февраля 2020 г.
  54. ^ «Лица до 18 лет сталкиваются с ограничениями «лайков» и «серий». BBC News . 15 апреля 2019 г. Архивировано из оригинала 15 апреля 2019 г. Получено 15 апреля 2019 г.
  55. ^ Гринфилд, Патрик (15 апреля 2019 г.). «Facebook призвали отключить функцию «Нравится» для детей». The Guardian . ISSN  0261-3077. Архивировано из оригинала 15 апреля 2019 г. Получено 15 апреля 2019 г.
  56. ^ Афифи-Сабет, Кеумарс (12 марта 2021 г.). «Великобритания стремится к расхождению с GDPR, чтобы «подпитывать рост». IT PRO . Архивировано из оригинала 13 марта 2021 г. Получено 12 марта 2021 г.
  57. ^ «Мифы об обмене данными развеяны». Офис комиссара по информации . 19 мая 2023 г. Получено 19 октября 2023 г.
  58. ^ «Девять главных мифов о GDPR разрушены». WS Law . 22 января 2019 г. Получено 19 октября 2023 г.
  59. ^ "Пять разрушителей мифов о GDPR". Field Fisher . 11 мая 2023 г. Получено 19 октября 2023 г.
  60. ^ Статья 3 (2) GDPR
  61. ^ Гуч, Питер (2018). «Новая эра конфиденциальности — GDPR шесть месяцев спустя» (PDF) . Deloitte UK . Архивировано (PDF) из оригинала 12 октября 2020 г. . Получено 26 ноября 2020 г. .
  62. ^ «Как умные компании могут избежать штрафов GDPR при записи звонков». xewave.io . Архивировано из оригинала 14 апреля 2018 г. . Получено 13 апреля 2018 г. .
  63. ^ Babel, Chris (11 июля 2017 г.). «Высокие затраты на соблюдение GDPR». InformationWeek . UBM Technology Group. Архивировано из оригинала 5 октября 2017 г. Получено 4 октября 2017 г.
  64. ^ «Подготовка к новым режимам конфиденциальности: взгляды специалистов по конфиденциальности на общее положение о защите данных и Privacy Shield» (PDF) . bakermckenzie.com . Baker & McKenzie. 4 мая 2016 г. Архивировано (PDF) из оригинала 31 августа 2018 г. . Получено 4 октября 2017 г. .
  65. ^ Георгиев, Георгий. «Калькулятор стоимости соответствия GDPR». GIGAcalculator.com . Архивировано из оригинала 16 мая 2018 г. Получено 16 мая 2018 г.
  66. ^ Солон, Оливия (19 апреля 2018 г.). «Как европейский «прорывной» закон о конфиденциальности бросает вызов Facebook и Google». The Guardian . Архивировано из оригинала 26 мая 2018 г. Получено 25 мая 2018 г.
  67. ^ «Новые правила конфиденциальности в Европе — не панацея». Politico.eu . 22 апреля 2018 г. Архивировано из оригинала 26 мая 2018 г. Получено 25 мая 2018 г.
  68. ^ «Отсутствие знаний GDPR — это опасность и возможность». MicroscopeUK . Архивировано из оригинала 26 мая 2018 г. Получено 25 мая 2018 г.
  69. ^ Jeong, Sarah (22 мая 2018 г.). «Никто не готов к GDPR». The Verge . Архивировано из оригинала 28 мая 2018 г. Получено 1 июня 2018 г.
  70. ^ Эдвардс, Элейн (22 февраля 2018 г.). «Новые правила защиты данных создают проблемы соответствия для фирм». The Irish Times . Архивировано из оригинала 26 мая 2018 г. Получено 25 мая 2018 г.
  71. ^ Чассан, Готье (2017). «Влияние общего регламента ЕС о защите данных на научные исследования». ecancermedicalscience . 11 : 709. doi : 10.3332/ecancer.2017.709. ISSN  1754-6605. PMC 5243137. PMID 28144283  . 
  72. ^ Тархонен, Лаура (2017). «Псевдонимизация персональных данных в соответствии с Общим регламентом по защите данных». Архивировано из оригинала 19 февраля 2018 года . Получено 19 февраля 2018 года .
  73. ^ «Недавний отчет, опубликованный Ассоциацией блокчейнов Ирландии, показал, что вопросов по GDPR гораздо больше, чем ответов». siliconrepublic.com . 23 ноября 2017 г. Архивировано из оригинала 5 марта 2018 г. Получено 5 марта 2018 г.
  74. ^ Сэмпл, Иэн (27 января 2017 г.). «AI watchdog необходим для регулирования автоматизированного принятия решений, говорят эксперты». The Guardian . ISSN  0261-3077. Архивировано из оригинала 18 июня 2017 г. Получено 15 июля 2017 г.
  75. ^ «Право ЕС на объяснение: вредное ограничение искусственного интеллекта». techzone360.com . Архивировано из оригинала 4 августа 2017 г. Получено 15 июля 2017 г.
  76. ^ Вахтер, Сандра; Миттельштадт, Брент; Флориди, Лучано (28 декабря 2016 г.). «Почему право на объяснение автоматизированного принятия решений не существует в Общем регламенте по защите данных». Международный закон о конфиденциальности данных . SSRN  2903469.
  77. ^ Эдвардс, Лилиан; Вил, Майкл (2017). «Раб алгоритма? Почему «право на объяснение» — это, вероятно, не то средство, которое вы ищете». Duke Law and Technology Review . doi :10.2139/ssrn.2972855. SSRN  2972855.
  78. ^ Фримин, Майкл (29 марта 2018 г.). «Пять преимуществ, которые соответствие GDPR принесет вашему бизнесу». Forbes . Архивировано из оригинала 12 сентября 2018 г. Получено 11 сентября 2018 г.
  79. ^ Баттерворт, Тревор (23 мая 2018 г.). «Новый жесткий закон Европы о цифровой конфиденциальности должен стать образцом для политиков США». Vox. Архивировано из оригинала 12 сентября 2018 г. Получено 11 сентября 2018 г.
  80. ^ Джаффе, Джастин; Хаутала, Лора (25 мая 2018 г.). «Что означает GDPR для Facebook, ЕС и вас». CNET . Архивировано из оригинала 12 сентября 2018 г. Получено 11 сентября 2018 г.
  81. ^ «Призыв генерального директора Facebook Цукерберга к принятию законов о конфиденциальности GDPR вызывает вопросы». www.cnbc.com . Апрель 2019 г. Архивировано из оригинала 4 апреля 2019 г. Получено 8 апреля 2019 г.
  82. ^ Тику, Ниташа (19 марта 2018 г.). «Новый закон Европы о конфиденциальности изменит Интернет и многое другое». Wired . Архивировано из оригинала 15 октября 2018 г. Получено 11 сентября 2018 г.
  83. ^ Kalyanpur, Nikhil; Newman, Abraham (25 мая 2018 г.). «Сегодня новый закон ЕС преобразует права на неприкосновенность частной жизни для всех. Без Эдварда Сноудена этого, возможно, никогда бы не произошло». The Washington Post . Архивировано из оригинала 11 октября 2018 г. Получено 11 сентября 2018 г.
  84. ^ Столлман, Ричард (3 апреля 2018 г.). «Радикальное предложение по сохранению безопасности ваших персональных данных». The Guardian . Архивировано из оригинала 12 сентября 2018 г. Получено 11 сентября 2018 г.
  85. ^ Hoofnagle, Chris Jay; van der Sloot, Bart; Borgesius, Frederik Zuiderveen (10 февраля 2019 г.). «Общее положение о защите данных Европейского союза: что это такое и что оно означает». Закон об информационных и коммуникационных технологиях . 28 (1): 65–98. doi :10.1080/13600834.2019.1573501. hdl : 2066/204503 .
  86. ^ Афифи-Сабет, Кеумарс (3 мая 2018 г.). «Мошенники используют оповещения по электронной почте GDPR для проведения фишинговых атак». IT PRO . Архивировано из оригинала 26 мая 2018 г. Получено 25 мая 2018 г.
  87. ^ «Исследование показало, что сайты правительства и здравоохранения ЕС переполнены рекламными технологиями». TechCrunch . 18 марта 2019 г. Архивировано из оригинала 10 апреля 2021 г. Получено 18 марта 2019 г.
  88. ^ «Граждане ЕС отслеживаются на конфиденциальных правительственных веб-сайтах». Financial Times . 18 марта 2019 г. Архивировано из оригинала 19 марта 2019 г. Получено 18 марта 2019 г.
  89. ^ "Засыпайте за считанные секунды, слушая успокаивающий голос, читающий новое законодательство ЕС о GDPR". The Verge . Архивировано из оригинала 17 июня 2018 года . Получено 16 июня 2018 года .
  90. ^ "Как правила GDPR в Европе стали мемом". Wired . Архивировано из оригинала 18 июня 2018 г. Получено 17 июня 2018 г.
  91. ^ «Интернет создал мем, вдохновленный GDPR, используя политики конфиденциальности». Adweek . Архивировано из оригинала 17 июня 2018 г. Получено 17 июня 2018 г.
  92. ^ Берджесс, Мэтт. «Помогите, мои лампочки сдохли! Как GDPR стал больше, чем Бейонсе». Wired.co.uk . Архивировано из оригинала 19 июня 2018 года . Получено 17 июня 2018 года .
  93. ^ «Вот некоторые из худших попыток соблюдения GDPR». Motherboard . 25 мая 2018 г. Архивировано из оригинала 18 июня 2018 г. Получено 17 июня 2018 г.
  94. ^ «Какой процент уязвимостей вашего ПО имеет последствия для GDPR?» (PDF) . HackerOne. 16 января 2018 г. Архивировано (PDF) из оригинала 6 июля 2018 г. . Получено 6 июля 2018 г. .
  95. ^ «Сотрудник по защите данных (DPO): все, что вам нужно знать». Cranium и HackerOne. 20 марта 2018 г. Архивировано из оригинала 31 августа 2018 г. Получено 6 июля 2018 г.
  96. ^ «Как могут выглядеть программы вознаграждения за обнаружение ошибок в соответствии с GDPR?». Международная ассоциация профессионалов в области конфиденциальности (IAPP). 27 марта 2018 г. Архивировано из оригинала 6 июля 2018 г. Получено 6 июля 2018 г.
  97. ^ Momen, N.; Hatamian, M.; Fritsch, L. (ноябрь 2019 г.). «Улучшилась ли конфиденциальность приложений после GDPR?». IEEE Security Privacy . 17 (6): 10–20. doi :10.1109/MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
  98. ^ Хатамян, Маджид; Момен, Нурул; Фрич, Лотар; Ранненберг, Кай (2019), Нальди, Маурицио; Итальяно, Джузеппе Ф.; Ранненберг, Кай; Медина, Манель (ред.), «Метод анализа многостороннего воздействия на конфиденциальность для приложений Android», Технологии и политика конфиденциальности , Конспект лекций по информатике, т. 11498, Springer International Publishing, стр. 87–106, doi :10.1007/978-3-030-21752-5_7, ISBN 978-3-030-21751-8, S2CID  184483219, заархивировано из оригинала 12 июля 2020 г. , извлечено 3 июня 2020 г.
  99. ^ Моен, Гру Метте, Айло Крог Равна и Финн Мюрстад. «Обманутые по замыслу. Как технологические компании используют темные паттерны, чтобы отговорить нас от осуществления наших прав на конфиденциальность». Архивировано 20 декабря 2019 г. на Wayback Machine . 2018. Отчет Норвежского совета потребителей.
  100. ^ "Instapaper временно отключает доступ для европейских пользователей из-за GDPR". The Verge . Архивировано из оригинала 24 мая 2018 года . Получено 24 мая 2018 года .
  101. ^ «Unroll.me закрывается для пользователей ЕС, заявляя, что не может соответствовать GDPR». TechCrunch . 5 мая 2018 г. Архивировано из оригинала 30 мая 2018 г. Получено 29 мая 2018 г.
  102. ^ Херн, Алекс; Уотерсон, Джим (24 мая 2018 г.). «Сайты блокируют пользователей, прекращают деятельность и переполняют почтовые ящики, поскольку правила GDPR надвигаются». The Guardian . Архивировано из оригинала 24 мая 2018 г. Получено 25 мая 2018 г.
  103. ^ «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы». Bloomberg LP 25 мая 2018 г. Архивировано из оригинала 25 мая 2018 г. Получено 26 мая 2018 г.
  104. ^ «Новостные агентства США блокируют европейских читателей из-за новых правил конфиденциальности». The New York Times . 25 мая 2018 г. ISSN  0362-4331. Архивировано из оригинала 26 мая 2018 г. Получено 26 мая 2018 г.
  105. ^ "Смотрите: вот что видят граждане ЕС теперь, когда вступил в силу GDPR". Advertising Age . Архивировано из оригинала 25 мая 2018 года . Получено 26 мая 2018 года .
  106. ^ Тику, Ниташа (24 мая 2018 г.). «Почему ваш почтовый ящик переполнен политиками конфиденциальности». Wired . Архивировано из оригинала 24 мая 2018 г. Получено 25 мая 2018 г.
  107. ^ Чен, Брайан X. (23 мая 2018 г.). «Получаете поток обновлений политики конфиденциальности, связанных с GDPR? Прочитайте их». The New York Times . ISSN  0362-4331. Архивировано из оригинала 24 мая 2018 г. Получено 25 мая 2018 г.
  108. ^ Ланксон, Нейт (25 мая 2018 г.). «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы». Bloomberg . Архивировано из оригинала 25 мая 2018 г. Получено 25 мая 2018 г.
  109. ^ "GDPR беспредел: Programmatic ad buying plummets in Europe". Digiday . 25 мая 2018 г. Архивировано из оригинала 25 мая 2018 г. Получено 26 мая 2018 г.
  110. ^ Скиера, Бернд; Миллер, Клаус Матиас; Джин, Юси; Крафт, Леннарт; Лауб, Рене; Шмитт, Юлия (5 июля 2022 г.). Влияние GDPR на рынок онлайн-рекламы. Франкфурт-на-Майне: Бернд Скиера. ISBN 978-3-9824173-0-1. OCLC  1322186902.
  111. ^ ab "Press corner". Европейская комиссия - Европейская комиссия . Архивировано из оригинала 27 декабря 2020 года . Получено 18 сентября 2020 года .
  112. ^ «Ваши права имеют значение: защита данных и конфиденциальность — исследование основных прав». Агентство Европейского союза по основным правам . 12 июня 2020 г. Архивировано из оригинала 25 сентября 2020 г. Получено 18 сентября 2020 г.
  113. ^ "GDPR: noyb.eu подал четыре жалобы на "принудительное согласие" против Google, Instagram, WhatsApp и Facebook" (PDF) . NOYB.eu. 25 мая 2018 г. Архивировано из оригинала (PDF) 25 мая 2018 г. . Получено 26 мая 2018 г. .
  114. ^ "Facebook и Google столкнулись с исками на сумму $8,8 млрд в первый день GDPR". The Verge . Архивировано из оригинала 25 мая 2018 года . Получено 26 мая 2018 года .
  115. ^ "Макс Шремс подает первые иски в соответствии с GDPR против Facebook и Google". The Irish Times . Архивировано из оригинала 25 мая 2018 года . Получено 26 мая 2018 года .
  116. ^ «Facebook и Google столкнулись с первыми жалобами на нарушение GDPR из-за «принудительного согласия». TechCrunch . 25 мая 2018 г. Архивировано из оригинала 26 мая 2018 г. Получено 26 мая 2018 г.
  117. ^ Мейер, Дэвид. «Google, Facebook столкнулись с серьезными жалобами на GDPR: скоро будут и другие». ZDNet . Архивировано из оригинала 28 мая 2018 г. Получено 26 мая 2018 г.
  118. ^ Фокс, Крис (21 января 2019 г.). «Google оштрафован на 44 млн фунтов стерлингов по GDPR». BBC News . Архивировано из оригинала 21 января 2019 г. Получено 14 июня 2019 г.
  119. ^ Портер, Джон (21 января 2019 г.). «Google оштрафован на 50 миллионов евро за нарушение GDPR во Франции». The Verge . Архивировано из оригинала 10 июня 2019 г. Получено 14 июня 2019 г.
  120. ^ Масник, Майк (19 ноября 2018 г.). «Еще одна катастрофа GDPR: журналистам приказано передать секретные источники в соответствии с законом «О защите данных». Архивировано из оригинала 20 ноября 2018 г. Получено 20 ноября 2018 г.
  121. ^ Балаици, Джордж (9 ноября 2018 г.). «Перевод на английский язык письма румынского органа по защите данных в проект RISE». Проект по отчетности об организованной преступности и коррупции . Архивировано из оригинала 9 ноября 2018 г. Получено 20 ноября 2018 г.
  122. ^ «Намерение оштрафовать British Airways на 183,39 млн фунтов стерлингов в соответствии с GDPR за утечку данных». ICO . 8 июля 2019 г. Архивировано из оригинала 6 декабря 2020 г. Получено 22 декабря 2020 г.
  123. ^ Уиттакер, Зак (11 сентября 2018 г.). «Исследователи утверждают, что взлом British Airways вызван вредоносным ПО для скимминга кредитных карт». TechCrunch . Архивировано из оригинала 10 декабря 2018 г. Получено 9 декабря 2018 г.
  124. ^ "Босс British Airways приносит извинения за "злонамеренную" утечку данных". BBC News . 7 сентября 2018 г. Архивировано из оригинала 15 октября 2018 г. Получено 7 сентября 2018 г.
  125. ^ Sweney, Mark (8 июля 2019 г.). «BA грозит штраф в размере 183 млн фунтов стерлингов за утечку данных пассажиров». The Guardian . ISSN  0261-3077. Архивировано из оригинала 8 июля 2019 г. Получено 8 июля 2019 г.
  126. ^ "British Airways грозит рекордный штраф в размере 183 млн фунтов стерлингов за утечку данных". BBC News . 8 июля 2019 г. Архивировано из оригинала 8 июля 2019 г. Получено 8 июля 2019 г.
  127. ^ "ICO оштрафовала British Airways на 20 млн фунтов стерлингов за утечку данных, затронувшую более 400 000 клиентов". ICO . 16 октября 2020 г. Архивировано из оригинала 16 октября 2020 г. Получено 22 декабря 2020 г.
  128. ^ Vinocur, Nicholas (27 декабря 2019 г.). «У нас огромная проблема»: европейский регулятор в отчаянии из-за отсутствия правоприменения». Politico . Архивировано из оригинала 28 декабря 2019 г. . Получено 6 мая 2020 г. .
  129. ^ ab Райан, Джонни (31 января 2023 г.). «Общеевропейский пересмотр мониторинга GDPR, инициированный ICCL». Ирландский совет по гражданским свободам . Архивировано из оригинала 6 апреля 2023 г. . Получено 8 апреля 2023 г. .
  130. ^ Ализаде, Фатемех; Якоби, Тимо; Болдт, Йенс; Стивенс, Гуннар (2019). «GDPR-Reality Check on the Right to Access Data». Труды Mensch und Computer 2019. Нью-Йорк: ACM Press. С. 811–814. doi :10.1145/3340764.3344913. ISBN 978-1-4503-7198-8. S2CID  202159324.
  131. ^ ab Ализаде, Фатемех; Якоби, Тимо; Боден, Александр; Стивенс, Гуннар; Болдт, Йенс (2020). «Проверка соответствия GDPR реальности — получение и расследование персональных данных от компаний» (PDF) . EuroUSEC . Архивировано (PDF) из оригинала 17 июня 2020 г. . Получено 17 июня 2020 г. .
  132. ^ ab Human, Soheil; Cech, Florian (2021). «Человекоцентрическая перспектива цифрового согласия: случай GAFAM» (PDF) . В Zimmermann, Alfred; Howlett, Robert J.; Jain, Lakhmi C. (ред.). Человекоцентрические интеллектуальные системы . Умные инновации, системы и технологии. Том 189. Сингапур: Springer. стр. 139–159. doi :10.1007/978-981-15-5784-2_12. ISBN 978-981-15-5784-2. S2CID  214699040. Архивировано (PDF) из оригинала 14 апреля 2021 г. . Получено 23 августа 2020 г. .
  133. ^ Кристакис и Пропп, Теодор и Кеннет (8 марта 2021 г.). «Как разведывательные службы Европы стремятся избежать Высшего суда ЕС — и что это значит для Соединенных Штатов». Lawfare . Архивировано из оригинала 23 сентября 2023 г. . Получено 13 марта 2021 г. .
  134. ^ Браун, Райан (18 января 2022 г.). «Штрафы за нарушение законодательства ЕС о конфиденциальности выросли в семь раз до 1,2 млрд долларов, поскольку основной удар лег на крупные технологические компании». CNBC . Архивировано из оригинала 9 февраля 2022 г. Получено 9 февраля 2022 г.
  135. ^ Робертс, Джефф Джон (25 мая 2018 г.). «GDPR вступил в силу: стоит ли компаниям США бояться?». Архивировано из оригинала 28 мая 2018 г. Получено 28 мая 2018 г.
  136. ^ "Комментарий: новый закон Калифорнии о конфиденциальности данных может стать началом нормативной катастрофы". Fortune . Архивировано из оригинала 10 апреля 2019 г. Получено 10 апреля 2019 г.
  137. ^ "Калифорния единогласно принимает исторический законопроект о конфиденциальности". Wired . Архивировано из оригинала 29 июня 2018 года . Получено 29 июня 2018 года .
  138. ^ "Маркетологи и технологические компании противостоят калифорнийской версии GDPR". Архивировано из оригинала 29 июня 2018 г. Получено 29 июня 2018 г.
  139. ^ "Вирджиния принимает Закон о защите данных потребителей". Международная ассоциация профессионалов в области конфиденциальности . 3 марта 2021 г. Архивировано из оригинала 30 августа 2021 г. Получено 26 августа 2021 г.
  140. ^ "Colorado Privacy Act become law". Международная ассоциация профессионалов в области конфиденциальности . 8 июля 2021 г. Архивировано из оригинала 26 августа 2021 г. Получено 26 августа 2021 г.
  141. ^ "КИШИСЕЛ ВЕРИЛЕРИ КОРУМА КУРУМУ | КВКК | История" . www.kvkk.gov.tr. ​Проверено 19 декабря 2020 г.
  142. ^ Чжан, Анджела Хуюэ (2024). High Wire: Как Китай регулирует крупные технологические компании и управляет своей экономикой . Oxford University Press . ISBN 9780197682258.
  143. ^ Портал, SME "Новый федеральный закон о защите данных (nFADP)". www.kmu.admin.ch . Архивировано из оригинала 25 марта 2023 г. . Получено 25 марта 2023 г. .
  144. ^ Голдберг, Сэмюэл Г.; Джонсон, Гарретт А.; Шрайвер, Скотт К. (2024). «Регулирование конфиденциальности в Интернете: экономическая оценка GDPR». Американский экономический журнал: экономическая политика . 16 (1): 325–358. doi :10.1257/pol.20210309. ISSN  1945-7731.
  145. ^ "Реформа защиты данных: Совет принимает позицию в первом чтении – Consilium". Europa (веб-портал). Архивировано из оригинала 6 октября 2017 года . Получено 14 апреля 2016 года .
  146. Принятие позиции Совета в первом чтении. Архивировано 25 ноября 2017 г. на Wayback Machine , Votewatch.eu.
  147. ^ Письменная процедура Архивировано 1 декабря 2017 г. в Wayback Machine , 8 апреля 2016 г., Совет Европейского Союза
  148. ^ "Реформа защиты данных – Парламент утверждает новые правила, соответствующие цифровой эпохе – Новости – Европейский парламент". 14 апреля 2016 г. Архивировано из оригинала 17 апреля 2016 г. Получено 14 апреля 2016 г.
  149. ^ «История Общего регламента по защите данных | Европейский инспектор по защите данных». edps.europa.eu . 25 мая 2018 г. . Получено 2 февраля 2024 г. .
  150. ^ "Общий регламент по защите данных (GDPR) вступил в силу в ЕЭЗ". EFTA . 20 июля 2018 г. Архивировано из оригинала 1 октября 2018 г. Получено 30 сентября 2018 г.
  151. Кольсруд, Кьетил (10 июля 2018 г.). «GDPR – 20 июля er datoen!». Ретт24 . Архивировано из оригинала 13 июля 2018 года . Проверено 13 июля 2018 г.
  152. ^ "Единый цифровой рынок". Единый цифровой рынок . Архивировано из оригинала 8 октября 2017 года . Получено 5 октября 2017 года .
  153. ^ «Что означает Регламент ePrivacy для онлайн-индустрии? – ePrivacy». www.eprivacy.eu . Архивировано из оригинала 22 мая 2018 г. . Получено 26 мая 2018 г. .
  154. ^ "Позиция и выводы Совета по применению Общего регламента по защите данных (GDPR), 19 декабря 2019 г.". Consilium . Архивировано из оригинала 23 декабря 2019 г. . Получено 23 декабря 2019 г. .

Внешние ссылки

На Викискладе есть медиафайлы по теме Общий регламент по защите данных .