GDPR (Загальний регламент про захист даних) — чинний закон про конфіденційність, прийнятий Європейським Союзом. GDPR набув чинності 25 травня 2018 р. Його метою є забезпечення захисту конфіденційності та прав на особисті дані осіб, які є громадянами ЄС, також визначених як суб’єкти даних.
Особисті дані — це дуже важливий термін згідно з GDPR. Це означає будь-яку інформацію, яка стосується особи, за допомогою якої людину можна прямо чи опосередковано ідентифікувати. Наприклад, особисті дані включають таке:
- імʼя;
- електронні адреси;
- інформація про місцезнаходження людини;
- етнічність;
- стать;
- веб-куки;
- політичні думки тощо.
Згідно з GDPR, будь-яка інформація, що дозволяє ідентифікувати конкретну особу, є персональними даними. Псевдонімізовані дані також розглядаються як особисті дані, якщо це дозволяє ідентифікувати особу без особливих труднощів.
GDPR застосовується до кожної компанії, зареєстрованої в ЄС, та будь-якої компанії, яка обробляє персональні дані резидентів ЄС.
Відповідно до GDPR компанія має дві основні ролі. Це контролер даних та обробник даних. Контролер даних вирішує, чому і як будуть оброблятися персональні дані. Обробник даних — це особа (юридична або фізична особа), яка обробляє персональні дані від імені контролера даних.
Стаття 5 GDPR визначає сім принципів захисту та підзвітності персональних даних:
- Законність, справедливість та прозорість: обробка повинна бути законною, справедливою та прозорою (зрозумілою) для суб’єкта даних.
- Обмеження цілей: компанія повинна обробляти дані для законних цілей та чітко повідомляти суб’єкта даних про збір таких даних.
- Мінімізація даних: компанія повинна збирати та обробляти лише стільки даних, скільки необхідно для цілей обробки персональних даних.
- Точність: компанія повинна підтримувати персональні дані точними та актуальними.
- Обмеження зберігання: компанія може зберігати персональні дані лише стільки часу, скільки це необхідно для цілей обробки персональних даних.
- Цілісність та конфіденційність: обробка персональних даних повинна здійснюватися таким чином, щоб забезпечити належну безпеку, цілісність та конфіденційність персональних даних.
- Підзвітність: контролер даних повинен мати можливість продемонструвати відповідність GDPR усім принципам GDPR компетентному органу із захисту даних.
Якщо компанія не дотримується вимог GDPR, компетентний орган із захисту даних може або оштрафувати, або вжити адміністративних заходів щодо такої компанії.
Адміністративні заходи описані в статті 58 GDPR. Наприклад, вони передбачають винесення попереджень та доган компанії або наказ компанії виконати запит суб’єкта даних. Штрафи за невиконання положень GDPR високі:
- за суттєві порушення — або 4% річного світового обороту, або до 20 млн. євро;
- за інші порушення або 2% від річного світового обороту, або до 10 млн. євро.
Якщо у вас є інші питання щодо платформи Snov.io, зверніться до нас за адресою help@snov.io або через live-чат.