Загальний регламент захисту даних (англ. General Data Protection Regulation, GDPR), що значно підсилить та уніфікує захист персональних даних резидентів Європейського Союзу, вступає в дію з 25 травня 2018 року.
Для початку нагадаємо, що персональні дані - це будь-яка інформація щодо фізичної особи, яка ідентифікована або може бути конкретно ідентифікована.
Що ж нового у Регламенті та чому про нього важливо знати?
Нові правила стали відповіддю на громадське занепокоєння щодо захисту права на приватність. Призначені вони в першу чергу для того, щоби повернути громадянам контроль над власними даними, та замінюють Директиву Захисту інформації від 1995 року. Регламент встановлює новий, уніфікований стандарт збереження та обробки такої інформації.
Особливістю даного документу є те, що його імплементація не вимагає ніяких змін законодавства на локальному рівні країн-членів. Він розповсюджується на всі компанії (включно з неурядовими), незалежно від місця їх реєстрації та роботи, що пропонують товари або послуги резидентам ЄС та/чи збирають та аналізують дані громадян ЄС.
Контроль виконання регламенту буде здійснюватися як національними органами країн-членів, так і окремим повноважним органом, який включатиме представників національних агентств та незалежної Європейської інспекції із захисту даних.
Які вимоги накладає новий Регламент?
Регламент встановлює значно вищі стандарти безпеки та захисту інформації, а також вимагає відповідних організаційних та технічних дій. Норми документу спрямовані на забезпечення принципів прозорості, підзвітності та захисту прав громадянина.
Ключові зміни такі:
Найважливіше нововведення містить у собі Стаття 25, яка говорить про “Data protection by design and by default”. Концепція “privacy by design”, що закликає дбати про захист права на приватність ще під час кожного з етапів розробки програмного забезпечення на системному рівні, існує багато років. Проте лише у даному Регламенті вона вперше знаходить відображення у правовому документі. Ця стаття, наприклад, зобов’язує розпорядників вживати відповідних технічних та організаційних дій, щоб за замовчуванням забезпечити обробку лише мінімально достатньої кількості персональної інформації для кожної конкретної ситуації.