GDPR

Что такое gdpr: определение, основные принципы, примеры и практические советы. Изучайте фундаментальной защите информации с подробными объяснениями для начинающих специалистов.

GDPR - Общий регламент по защите данных

Что такое GDPR?

General Data Protection Regulation (GDPR) — это регламент Европейского союза по защите персональных данных, вступивший в силу 25 мая 2018 года. Это самое строгое законодательство о защите данных в мире.

Ключевые особенности

  • Единый закон для всех стран ЕС
  • Экстерриториальное действие — применяется к компаниям за пределами ЕС
  • Высокие штрафы — до 4% от оборота или €20 млн
  • Расширенные права субъектов данных

Кому применяется GDPR?

Территориальный принцип

  • Организации в ЕС — все компании, обрабатывающие персональные данные
  • Организации вне ЕС — если предлагают товары/услуги гражданам ЕС
  • Организации вне ЕС — если мониторят поведение граждан ЕС

Примеры применения

  • Российский интернет-магазин продает товары в ЕС
  • Американская соцсеть имеет пользователей в ЕС
  • Китайская компания отслеживает поведение европейцев

Основные принципы обработки данных

1. Законность, справедливость и прозрачность

  • Обработка должна быть законной
  • Обработка должна быть справедливой
  • Обработка должна быть прозрачной

2. Ограничение целей

  • Данные собираются для конкретных целей
  • Обработка не должна выходить за рамки этих целей
  • Документирование целей обработки

3. Минимизация данных

  • Собираются только необходимые данные
  • Данные должны быть адекватными целям
  • Данные должны быть релевантными

4. Точность

  • Данные должны быть точными
  • Данные должны обновляться при необходимости
  • Удаление неточных данных

5. Ограничение хранения

  • Данные хранятся не дольше необходимого
  • Определение сроков хранения
  • Автоматическое удаление по истечении сроков

6. Целостность и конфиденциальность

  • Технические меры защиты данных
  • Организационные меры защиты данных
  • Защита от несанкционированной обработки

Правовые основания обработки

  • Явное согласие субъекта данных
  • Легко отзываемое согласие
  • Специфическое для каждой цели
  • Информированное согласие

2. Исполнение договора

  • Обработка необходима для исполнения договора
  • Договорные отношения с субъектом данных
  • Преддоговорные отношения

3. Правовая обязанность

  • Обработка требуется законом
  • Обязательные требования
  • Регулятивные требования

4. Защита жизненно важных интересов

  • Защита жизни субъекта данных
  • Защита здоровья субъекта данных
  • Критические ситуации

5. Выполнение публичной задачи

  • Публичные функции контролера
  • Официальные полномочия
  • Государственные задачи

6. Законные интересы

  • Легитимные интересы контролера
  • Баланс интересов с правами субъекта
  • Оценка необходимости

Права субъектов данных

1. Право на информацию (Статья 13-14)

  • Информация о контролере
  • Цели обработки
  • Правовые основания
  • Получатели данных
  • Сроки хранения

2. Право доступа (Статья 15)

  • Подтверждение обработки данных
  • Копия персональных данных
  • Информация об обработке
  • Источники данных

3. Право на исправление (Статья 16)

  • Исправление неточных данных
  • Дополнение неполных данных
  • Уведомление получателей

4. Право на удаление (Статья 17)

  • “Право быть забытым”
  • Условия удаления
  • Исключения из права
  • Уведомление получателей

5. Право на ограничение (Статья 18)

  • Ограничение обработки
  • Условия ограничения
  • Уведомление получателей
  • Снятие ограничений

6. Право на портируемость (Статья 20)

  • Получение данных в структурированном формате
  • Передача данных другому контролеру
  • Техническая совместимость

7. Право на возражение (Статья 21)

  • Возражение против обработки
  • Прямой маркетинг — безусловное право
  • Профилирование — безусловное право
  • Остальные случаи — при наличии оснований

8. Права в отношении автоматизированных решений (Статья 22)

  • Право не подвергаться автоматизированному решению
  • Исключения из права
  • Человеческое вмешательство

Обязанности контролеров и процессоров

Контролер данных (Controller)

Определяет цели и средства обработки

Обязанности:

  • Соблюдение принципов обработки
  • Обеспечение прав субъектов
  • Ведение записей обработки
  • Уведомление о нарушениях
  • Проведение ОВПД

Процессор данных (Processor)

Обрабатывает данные от имени контролера

Обязанности:

  • Обработка только по инструкциям контролера
  • Соблюдение технических мер безопасности
  • Ведение записей обработки
  • Уведомление о нарушениях
  • Сотрудничество с контролером

Технические и организационные меры

Принцип “Privacy by Design”

  • Встроенная защита данных
  • По умолчанию максимальная защита
  • Минимизация данных
  • Прозрачность обработки

Принцип “Privacy by Default”

  • Настройки по умолчанию обеспечивают максимальную защиту
  • Минимальная обработка данных
  • Ограниченное время хранения
  • Ограниченная доступность

Технические меры

  • Шифрование данных
  • Псевдонимизация данных
  • Анонимизация данных
  • Контроль доступа
  • Мониторинг безопасности

Организационные меры

  • Политики обработки данных
  • Обучение персонала
  • Соглашения с процессорами
  • Аудит обработки данных

Оценка воздействия на защиту данных (ОВПД)

Когда требуется ОВПД?

  • Систематический мониторинг в больших масштабах
  • Обработка особых категорий данных
  • Обработка данных о судимостях
  • Обработка данных детей

Содержание ОВПД

  • Описание обработки
  • Оценка необходимости
  • Оценка рисков
  • Меры по снижению рисков
  • Консультации с надзорным органом

Уведомления о нарушениях

Уведомление надзорного органа (72 часа)

  • Описание нарушения
  • Категории затронутых данных
  • Количество субъектов
  • Возможные последствия
  • Принятые меры

Уведомление субъектов данных

  • Высокий риск для прав и свобод
  • Понятный язык
  • Описание нарушения
  • Рекомендации по защите

Штрафы и санкции

Категории нарушений

  • Нарушения принципов обработки
  • Нарушения прав субъектов
  • Нарушения технических мер
  • Нарушения уведомлений

Размеры штрафов

  • До €10 млн или 2% от оборота (менее серьезные нарушения)
  • До €20 млн или 4% от оборота (серьезные нарушения)
  • Большая сумма из двух вариантов

Примеры штрафов

  • Google: €50 млн (2019)
  • Amazon: €746 млн (2021)
  • Meta: €1.2 млрд (2023)

Практические шаги по соблюдению

1. Аудит данных

  • Инвентаризация персональных данных
  • Картирование процессов обработки
  • Выявление правовых оснований
  • Оценка рисков

2. Обновление политик

  • Политика конфиденциальности
  • Соглашения с пользователями
  • Соглашения с процессорами
  • Внутренние процедуры

3. Технические меры

  • Шифрование данных
  • Контроль доступа
  • Мониторинг безопасности
  • Резервное копирование

4. Обучение персонала

  • Осведомленность о GDPR
  • Процедуры обработки данных
  • Реагирование на запросы
  • Безопасность данных

5. Процедуры реагирования

  • Обработка запросов субъектов
  • Уведомления о нарушениях
  • Ведение записей
  • Сотрудничество с надзорными органами

Заключение

GDPR — это не просто правовое требование, а фундаментальный сдвиг в подходе к защите персональных данных. Соблюдение GDPR требует:

  • Системного подхода к управлению данными
  • Инвестиций в технологии и процессы
  • Обучения персонала
  • Непрерывного мониторинга и улучшения

Помните: GDPR — это не разовое мероприятие, а постоянный процесс управления рисками и соблюдения требований. Успех зависит от интеграции принципов GDPR в бизнес-процессы организации.

Предыдущая часть ФЗ-152
Следующая часть Управление и правовое соответствие
← Вернуться к модулю