После двухлетнего переходного периода начиная с 25 мая 2018 года применяется Общий регламент о защите данных (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) — регламент в рамках законодательства ЕС по защите персональных данных всех лиц в пределах ЕС и Европейской экономической зоны.
Регламент применяется, если контроллер данных (организация, которая собирает данные от резидентов ЕС) или оператор (организация, которая обрабатывает данные от имени контроллера данных, как то поставщики облачных услуг), или субъект данных (лицо) базируются в ЕС. При определенных обстоятельствах, действие этого регламента также распространяется на организации, базирующиеся за пределами ЕС, если они собирают или обрабатывают персональные данные физических лиц, расположенных в пределах ЕС.
Регламент заменяет Директиву о защите данных и содержит положения и требования относительно обработки личной информации субъектов данных внутри ЕС. Бизнес-процессы, которые прорабатывают персональные данные, должны быть сразу построенные по принципу «приватность по назначению и по умолчанию», что означает, что персональные данные должны храниться с использованием псевдонимов или полной анонимизации и использовать настройки высокого уровня приватности по умолчанию, так чтобы данные не были доступны публично без очевидной согласия и не могли использоваться для идентификации субъекта без дополнительной информации, хранящейся отдельно. Никакие личные данные не могут быть обработаны, если это не имеет под собой законных оснований, определенных регламентом, или если контроллер или оператор данных не получил явной, очевидной согласия владельца данных. Предприятие должно давать возможность отозвать такое разрешение в любое время.
Государственные органы, а также предприятия, чья основная деятельность касается регулярной или систематического обработки персональных данных, обязаны иметь должность сотрудника по вопросам защиты данных (англ. Data protection officer, DPO), который следит за соблюдением GDPR.
Предприятия должны сообщать о любом нарушении защиты данных, которое оказывает отрицательное влияние на конфиденциальность пользователей, в течение 72 часов.
Поскольку GDPR — это регламент, а не директива, он не требует от национальных правительств принятия законов, позволяющих его действие, и является непосредственно обязывающим и применимым.
Санкции, которые могут быть наложены за нарушение GDPR:
предупреждения в письменной форме в случаях первого и непреднамеренного несоблюдение;
регулярные периодические проверки защиты данных;
штраф до € 10 млн или до 2% ежегодного мирового оборота за предыдущий финансовый год для предприятий в зависимости от того, что больше, если произошло нарушение следующих положений:
- обязанности контролера и оператора;
- обязанности органа по сертификации;
- обязанности надзорного органа;
штраф в размере до € 20 млн, или 4% от годового мирового оборота за предыдущий финансовый год для предприятий в зависимости от того, что больше, если произошло нарушение следующих положений:
- основные принципы обработки, в том числе условия согласия;
- права субъектов данных;
- передача персональных данных получателю, находящемуся в третьей стране или международной организации;
- любые обязательства в соответствии с национальным законодательством членов;
- несоблюдение требования или временное или окончательное ограничения на обработку или остановки потоков данных надзорным органом.
- Соответствующий обзор GDPR приведен в материалах Википедии.
Сейчас можно констатировать, что украинские компании, работающие на рынке ЕС, начали рассылать сообщению всем своим клиентам, даже гражданам Украины, об необходимости получения согласия на обработку персональных данных согласно новому регламенту.
К примеру:
«Шановний Клієнте!
Ми вдячні Вам за те, що Ви користуєтесь послугами …..
Починаючи з 25 травня 2018 року, набрав чинності Генеральний регламент ЄС із захисту персональних даних (GDPR). З цього дня ми маємо можливість інформувати Вас про наші продукти, програми лояльності та партнерів, лише отримавши Вашу персональну згоду …».