GDPR (англ. General Data Protection Regulation– общий регламент защиты персональных данных) – это постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС). Постановление также направлено на экспорт данных из ЕС.
Основные цели GDPR:
- предоставить физическим лицам возможность и инструменты контроля над их персональными данными;
- внедрение современных стандартов защиты персональных данных;
- развитие цифрового пространства ЕС по защите персональных данных;
- обеспечение строгого соблюдения правил всеми участниками, включая компетентные органы Стран-участников ЕС;
- правовое обеспечение международной передачи персональных данных.
GDPR охватывает следующие типы данных:
- Персональные данные – это данные, которые могут быть связаны с физическим лицом и которые позволяют идентифицировать это лицо. (например: имя, адрес, дата рождения). Также к персональным данным может относиться закодированная информация (“анонимная” информация), если она может быть связана с физическим лицом, независимо от того, насколько неясной или технической она является.
- Конфиденциальные персональные данные – данные, которые содержат дополнительные сведения о персональных данных. (например: этническое происхождение, религиозные взгляды и т. д.) К конфиденциальным персональным данным также относятся биометрические данные и данные ДНК.
Сфера действия GDPR
Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями.
Подготовка к GDPR
На основании данных публикации, подготовленной Бюро публикаций Европейского союза, можно выделить 7 шагов, которые может предпринять организация, чтобы подготовиться к Общему регламенту по защите данных:
1) Проведение определения и инвентаризации собираемых и используемых персональных данных, целей этих действий.
2) Информирование клиентов, сотрудников и других физических лиц о необходимости сбора их персональных данных.
3) Определение необходимых сроков хранения персональных данных.
4) Обеспечение защиты персональных данных, которые Вы обрабатываете (разработка параметров безопасности вашей IT-системы, безопасность хранения бумажных документов, персональных данных в облаке).
5) Обеспечение сохранности документации по обработке данных.
6) Контроль соблюдения правил безопасности персональных данных при работе с субподрядчиками.
7) Назначение специалиста, ответственного за обеспечение защиты данных.