Skip to main content

GDPR

TL; ЛІКАР

Загальний регламент захисту даних (GDPR)є одним із найсуворіших законів про конфіденційність та безпеку у світі. Незважаючи на те, що цей регламент розроблений і затверджений Європейським Союзом, він накладає зобов’язання на організації незалежно від того, де вони працюють, якщо вони націлені на людей в ЄС або збирають дані про них. Постанова набрала чинності 25 травня 2018 року. GDPR стягує штрафиз тих, хто порушує його стандарти конфіденційності та безпеки, у розмірі десятків мільйонів євро.

Що таке GDPR?

GDPR (General Data Protection Regulation) — це закон Європейського Союзу щодо захисту даних та законодавства про конфіденційність в ЄС та ЄЕЗ, а також передачу персональних даних за межі ЄС та ЄЕЗ. Основна мета GDPR – надати особам контроль над їхніми персональними данимита спростити регуляторне середовище для міжнародних відносин шляхом уніфікації законів про конфіденційність у Європейському Союзі. Положення є обов’язковим,і всі організації, які зберігають або обробляють персональні дані, повинні дотримуватися.

Правила набули чинності 25 травня 2018 року і були відображені в Законі про захист даних 2018 року. Положення поширюється як на «операторів», так і на «обробників даних» і охоплює старі правила, які були консолідовані, а також ряд нових прав для суб’єктів даних.

Що таке персональні дані?

Персональні дані – це дані, які стосуються особи, яку можна прямо чи опосередковано ідентифікувати, а саме:

  • оброблені в електронному вигляді;
  • зберігаються в архівах;
  • частина доступного набору інформації, наприклад, освітня інформація;
  • утримується державним органом;
  • не обов'язково конкретні особи, але це веде до їх ідентифікації;
  • Приклади: ім’я, адреси електронної пошти, місцезнаходження, релігія, етнічна приналежність, стать, дані, що зберігаються у веб-файлах cookie, IP-адреси, політичні погляди, біометричні дані тощо.

Принципи GDPR

Персональні дані повинні оброблятися справедливо, законно та прозоро.

  • Дані повинні збиратися для визначених і законних цілей і не повинні оброблятися надалі способом, несумісним з цими цілями.
  • Дані не повинні бути надмірними, обробляючи лише стільки даних, скільки абсолютно необхідно.
  • Дані повинні бути правильними і, при необхідності, оновлюватися.
  • Дані не повинні зберігатися довше, ніж необхідно.
  • Дані повинні зберігатися в безпеці.
  • Менеджери несуть відповідальність за тип персональних даних, які вони збирають, і за те, як вони їх використовують. Співробітники не повинні розголошувати персональні дані поза процедурами організації або використовувати персональні дані інших осіб для власних цілей.

На кого поширюється GDPR?

GDPR поширюється на будь-яку організацію, яка працює в ЄС, а також на будь-яку організацію, що не входить до ЄС, що надає товари чи послуги клієнтам або підприємствам ЄС. Сюди входить будь-який веб-сайт, який збирає безпосередньо, для власних цілей або, опосередковано, для додатків та інструментів сторонніх розробників (наприклад, Google Analytics) дані про своїх відвідувачів.

Особі, яка має дані про іншу особу на особистому рівні, наприклад номер телефону члена сім’ї, збережений у телефоні, не доведеться розглядати GDPR щодо цих даних.