www.wikidata.uk-ua.nina.az

Загальний регламент про захист даних англ General Data Protection Regulation GDPR Regulation EU 2016 679 регламент в меж

Загальний регламент про захист даних

Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) — регламент в межах законодавства Європейського Союзу щодо захисту персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони. Він також стосується експорту персональних даних за межі ЄС і ЄЕЗ. GDPR покликаний насамперед надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.

Регламент замінює Директиву про захист даних і містить положення і вимоги щодо опрацювання особової інформації суб'єктів даних всередині Європейського Союзу. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням», що означає, що персональні дані необхідно зберігати з використанням псевдонімів чи повної анонімізації та використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли бути використані для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.

Контролер персональних даних має чітко заявити, які дані збирає і як, чому їх опрацьовує, як довго зберігає і чи ділиться ними з будь-якими третіми сторонами. Користувачі мають право запросити мобільну копію даних, зібраних оператором, у загальноприйнятому форматі, і право на вилучення їхніх даних за певних обставин. Державні органи, а також підприємства, чия основна діяльність стосується регулярного чи систематичного опрацювання персональних даних, зобов'язані мати посаду співробітника з питань захисту даних (англ. data protection officer, DPO), який стежить за дотриманням GDPR. Підприємства повинні повідомляти про будь-яке порушення захисту даних, яке має негативний вплив на конфіденційність користувачів, упродовж 72 годин.

Регламент було прийнято 14 квітня 2016 року, набрав чинності 24 травня 2016 року (на 20-й день після офіційного опублікування в «Офіційному віснику Європейського Союзу») і після дворічного перехідного періоду почав застосовуватися 25 травня 2018. Оскільки GDPR — це регламент, а не директива, він не вимагає від національних урядів прийняття законів, які уможливлюють його дію, і є безпосередньо зобов'язальним і застосовним.

Зміст ред.

Регламент містить такі основні вимоги:

Сфера застосування ред.

Регламент застосовується, якщо контролер даних (організація, яка збирає дані від резидентів ЄС) або оператор (організація, яка опрацьовує дані від імені контролера даних, як-то постачальники хмарних послуг), або суб'єкт даних (особа) базуються в ЄС. За певних обставин, дія цього регламенту також поширюється на організації, що базуються за межами ЄС, якщо вони збирають чи опрацьовують особисті дані фізичних осіб, розташованих в межах ЄС.

Згідно з визначенням Європейської комісії, «персональні дані — це будь-яка інформація щодо фізичної особи, не залежно від того, чи вона стосується його/її особистого, професійного чи суспільного життя. Це може бути що завгодно, зокрема: ім'я, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп'ютера».

Регламент не претендує на те, щоб застосуватися до опрацювання персональних даних для національної безпеки та правоохоронної діяльності ЄС; однак певні групи, стурбовані потенційним конфліктом правових норм, висловили сумнів, чи не може стаття 48 GDPR бути використаною, щоб запобігти передачі персональних даних резидентів ЄС від контролера даних, який підлягає юрисдикції третьої країни, до правоохоронних, судових органів чи органів національної безпеки цієї країни на їхню офіційну вимогу, незалежно від того, чи знаходяться дані в ЄС чи за його межами. Стаття 48 зазначає, що „будь-яке рішення суду або трибуналу та будь-яке рішення адміністративного органу в третій країні, що вимагає від контролера або оператора передати чи розкрити персональні дані, може бути визнане чи виконане у будь-який спосіб, якщо воно базується на міжнародній угоді, такій як договір про взаємну правову допомогу, яка є чинною для третьої країни, що подає запит, і Союзом або державою-членом, без обмеження інших підстав для передавання відповідно до цієї глави“. Пакет реформи захисту даних також включає окрему Директиву про захист даних для поліції та кримінального правосуддя, яка містить правила обміну персональними даними на національному, європейському і міжнародному рівнях.

Єдиний звід правил буде поширюватися на всі держави-члени ЄС. Кожна держава-учасниця має створити незалежний наглядовий орган, що заслуховуватиме і розглядатиме скарги, здійснюватиме стягнення за адміністративні правопорушення та ін. Наглядовий орган у кожній державі-члені буде співпрацювати з іншими наглядовими органами, надаючи взаємну допомогу й організовуючи спільні операції. Якщо підприємство має кілька осідків в ЄС, єдиний наглядовий орган буде для нього „керівним органом“, за місцем знаходження його „головного осідку“, де відбувається основне опрацювання. Провідний орган буде діяти в якості „єдиного вікна“, щоб контролювати всі операції цього підприємства з опрацювання даних на всій території ЄС (статті 46-55 з GDPR). Європейська рада захисту даних (EDPB) буде координувати наглядові органи. EDPB замінить Робочу групу захисту даних, що діє згідно зі статтею 29. Є винятки для даних, що опрацьовуються у контексті трудових відносин або національної безпеки, які все ще можуть бути предметом регуляції окремих країн (статті 2(2)(А) і 88 GDPR).

Законні підстави для опрацювання ред.

Опрацювання є законним, лише за умови виконання принаймні однієї з наведених нижче умов:

  • суб'єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
  • опрацювання є необхідним для виконання контракту, стороною якого є суб'єкт даних, або для вжиття дій на запит суб'єкта даних до укладення договору;
  • опрацювання є необхідним для дотримання встановленого законом зобов'язання, яке поширюється на контролера;
  • опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб'єкта даних або іншої фізичної особи;
  • опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
  • опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина.

Якщо як законна підстава для опрацювання даних застосовується згода, вона має бути явною для зібраних даних і мети, з якою застосовуються дані (стаття 7; визначення у статті 4). Згоду за дітей повинні надати один з батьків або опікун дитини; вона має бути перевіреною (стаття 8). Контролери даних повинні бути в змозі довести «згоду», і згоду може бути відкликано.

Сфера згоди GDPR має кілька наслідків для діяльності, яка записує виклики абонентів. Типового попередження «дзвінки записуються для навчання і з міркувань безпеки» більше не буде достатньо для отримання передбачуваної згоди на запис дзвінків. Крім того, коли запис почався, у випадку якщо абонент відкликав свою згоду, в агента, який приймає виклик, має бути можливість зупинити початий раніше запис і забезпечити, щоб запис не зберігався.

Відповідальність і підзвітність ред.

Щоб мати змогу підтвердити дотримання GDPR, контролер даних мусить реалізовувати заходи, які відповідають принципам захисту даних за призначенням і за замовчуванням. Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб заходи щодо захисту даних були включені в розробку бізнес-процесів, продуктів і послуг. Такі заходи включають використання псевдонімів персональних даних контролером, як можна швидше (пункт 78). Здійснювати ефективні заходи і бути в змозі продемонструвати відповідність опрацювання є відповідальністю і зобов'язанням контролера даних, навіть якщо опрацювання здійснюється оператором даних від імені контролера (пункт 74).

Коли дані зібрані, користувачі повинні бути чітко проінформовані про масштаби збору даних, правові підстави для опрацювання персональних даних, тривалість збереження даних, факт передачі даних третім особам та/або за межі ЄС, і розкриття будь-якого автоматизованого прийняття рішень, що відбувається на виключно алгоритмічній основі. Користувачам повинні бути надані контактні дані контролера даних і їхнього співробітника з питань захисту даних, де це застосовно. Користувачі повинні також бути проінформовані про їхні права відповідно до GDPR, включаючи їхнє право відкликати свою згоду на опрацювання даних у будь-який час, їхнє право на перегляд своїх особистих даних та доступ до огляду про те, як вони опрацьовуються, право отримати копію збережених даних, на стирання даних за певних обставин, право оскаржити будь-яке автоматизоване прийняття рішень, зроблена виключно на алгоритмічній основі, і право подати скаргу до Органу захисту даних.

Багато ЗМІ прокоментували введення «права на пояснення» алгоритмічних рішень, але правознавці стверджують, що існування такого права є досить неясним без судового випробування і є щонайменше обмеженим.

Оцінка впливу захисту даних (стаття 35) має відбутися, якщо виникають конкретні ризики для прав і свобод суб'єктів даних. Оцінка ризиків і пом'якшення наслідків є обов'язковими, а для високих ризиків необхідне попереднього схвалення національних органів захисту даних (DPA).

Захист даних за призначенням і за замовчуванням ред.

Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб захист даних був частиною розробки бізнес-процесів, продуктів і послуг. Налаштування конфіденційності, таким чином, повинні бути встановлені на високому рівні за замовчуванням, і контролер має здійснити технічні та процедурні заходи, щоб забезпечити дотримання регламенту упродовж усього життєвого циклу опрацювання даних. Контролери повинні також запровадити механізми, які гарантують, що персональні дані не опрацьовуються, якщо не є необхідні для кожної конкретної мети.

У доповіді Агентства Європейського Союзу з питань мережевої та інформаційної безпеки йдуться про те, що необхідно зробити для досягнення конфіденційності та захисту даних за замовчуванням. Зокрема вказано, що операції шифрування і дешифрування повинні проводитися локально, а не за допомогою дистанційного обслуговування, тому що і ключі, і дані повинні залишатися під впливом власника даних, якщо йдеться про забезпечення якоїсь конфіденційності. У доповіді уточнюється, що аутсорсинг зберігання даних на віддалених хмарах є практичним і відносно безпечним, лише якщо ключі дешифрування має власник даних, а не хмарний сервіс.

Використання псевдонімів ред.

У GDPR термін використання псевдонімів вживається для визначення процесу, необхідного для зберігання даних (як альтернатива іншому варіанту повної анонімізації даних), що передбачає перетворення персональних даних таким чином, що на основі отриманих даних не можна розпізнати конкретний суб'єкт даних без використання додаткової інформації. Прикладом є шифрування, яке робить вихідні дані незрозумілими, а цей процес не може бути скасований без доступу до правильного ключа дешифрування. GDPR вимагає, щоб додаткова інформація (наприклад, ключ дешифрування) зберігалася окремо від псевдонімізованих даних.

Інший приклад використання псевдонімів є токенізація[en], яка є не-математичним підходом до захисту даних-у-спокої[en], який замінює конфіденційні дані на нечутливі замінники, що називаються токенами. Токени не мають зовнішнього чи використовного сенсу або значення. Токенізація не змінює тип чи довжину даних, що означає, що їх можуть опрацьовувати застарілі системи, такі як бази даних чутливі до довжини і типу даних.

Це вимагає набагато менше обчислювальних ресурсів для опрацювання та зберігання в базах даних, ніж традиційно зашифровані дані. Це досягається за рахунок того, що певні дані є повністю або частково видимі для опрацювання та аналізу, а важлива інформація прихована.

Використання псевдонімів рекомендується для зменшення ризиків для відповідних суб'єктів даних, а також щоб допомогти контролерам і операторам виконувати свої зобов'язання щодо захисту даних (пункт 28).

GDPR рекомендує використовувати псевдоніми, щоб «знизити ризики для суб'єктів даних» (пункт 28).

Право на доступ ред.

Право на доступ (ст. 15) є правом суб'єкта даних. Це дає громадянам право на доступ до своїх персональних даних та інформації про те, як ці персональні дані опрацьовуються. Контролер даних повинен надавати, за запитом, огляд категорій даних, які опрацьовуються (стаття 15(1)(b)), а також копію фактичних даних (стаття 15(3)). Крім того, контролер даних повинен повідомити суб'єкта даних про подробиці проведення опрацювання, такі як мета опрацювання (стаття 15(1)(a)), кому дані передаються (стаття 15(1)(c)), і яким чином дані було зібрано (стаття 15(1)(g)).

Суб'єкт даних повинен мати можливість передачі особистих даних з однієї електронної системи опрацювання до іншої без перешкод з боку контролера. Дані, які були в достатній мірі анонімізовані, виключаються, але дані, які були тільки де-ідентифіковано, але які все ще можна пов'язати з даною особою, наприклад, шляхом надання відповідного ідентифікатора, ні. Включаються і дані, «надані» суб'єктом даних, і дані, «зібрані спостереженням», наприклад, про поведінку. Крім того, відомості повинні бути надані контролером у структурованому загальноприйнятому електронному форматі. Право перенесення даних надається згідно зі статтею 20 GDPR. Юридичні експерти бачать в остаточній версії цієї міри створене «нове право», що «виходить за рамки перенесення даних між двома контролерами, як це передбачено в [стаття 20]».

Право на стирання ред.

Право на забуття замінене більш обмеженим правом на стирання у версії GDPR, яка була прийнята Європейським парламентом у березні 2014 року. Стаття 17 передбачає, що суб'єкт даних має право вимагати вилучення персональних даних, пов'язаних з ним, на основі будь-якої з ряду причин, включаючи невідповідність статті 6(1) (законність), включно з випадком (f), якщо законні інтереси контролера перекриваються інтересами або фундаментальними правами та свободами суб'єкта даних, які вимагають захисту персональних даних (див. також справу Google Spain v AEPD and Mario Costeja González[en]).

Записи опрацювання даних ред.

Кожний контролер повинен вести запис опрацювання даних, що має містити інформацію про цілі опрацювання, залучені категорії та передбачені терміни. Записи повинні бути надані наглядовому органу за запитом (стаття 30).

Співробітник з питань захисту даних ред.

Якщо опрацювання здійснюється органами державної влади, за винятком судів або незалежної судової влади в межах їхньої судової спроможності, або якщо, в приватному секторі, опрацювання здійснюється за контролером, чия основна діяльність складається з операцій опрацювання, які вимагають регулярного і систематичного моніторингу суб'єктів даних, або при обробці великих масштабів спеціальних категорій даних відповідно до статті 9 і персональних даних, що стосуються судимості та правопорушень, зазначених в статті 10, контролеру або оператору має асистувати особа з експертними знаннями в галузі законодавства і практики щодо захисту даних.

Співробітник з питань захисту даних (англ. data protection officer) подібний до відповідального працівника і також має бути досвідченим у сфері управління ІТ-процесами, безпеки даних[en] (включаючи заходи щодо кібератак) та інших критично важливих питань безперервності бізнесу щодо зберігання та опрацювання особистих і конфіденційних даних. Необхідні навички простягаються за межі розуміння нормативно-правової відповідності законам і правилам щодо захисту даних.

Більш детальна інформація про функції і роль співробітника з питань захисту даних подана у настановах від 13 грудня 2016 року (документ переглянуто 5 квітня 2017 року).

Порушення захисту даних ред.

Згідно з GDPR, контролер даних юридично зобов'язаний без зволікань повідомити наглядовий орган про порушення захисту даних, за винятком ситуацій, імовірність яких призвести до ризику для прав і свобод фізичних осіб низька. Повідомити про порушення захисту даних необхідно щонайбільше за 72 години після того, як про нього стало відомо (стаття 33). Фізичні особи повинні бути повідомлені, якщо передбачається несприятливий вплив (ст. 34). Крім того, оператор даних має одразу повідомити контролера після того, як стало відомо про порушення захисту персональних даних (стаття 33).

Однак, повідомляти суб'єктів персональних даних не вимагається, якщо контролер даних вжив відповідних технічних та організаційних заходів захисту, які роблять особисті дані недоступними для будь-якої людини, яка не має права доступу до неї, — таких як шифрування (стаття 34).

Санкції ред.

Такі санкції можуть бути накладені:

  • попередження в письмовій формі у випадках першого і ненавмисного недотримання
  • регулярні періодичні перевірки захисту даних
  • штраф до €10 млн або до 2 % щорічного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, абзац 5—6)
    • обов'язки контролера й оператора згідно зі статтями 8, 11, 25—39, 42 та 43
    • обов'язки органу з сертифікації у відповідності зі статтями 42 та 43
    • обов'язки наглядового органу відповідно до статті 41(4)
  • штраф у розмірі до €20 млн, або 4 % від річного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, пункт 4)
    • основні принципи опрацювання, в тому числі умови згоди, відповідно до статей 5, 6, 7 та 9
    • права суб'єктів даних у відповідності зі статтями 12—22
    • передача персональних даних одержувачу, що знаходиться в третій країні або міжнародній організації у відповідності зі статтями 44—49
    • будь-які зобов'язання згідно з національним законодавством членів, прийнятим у відповідності до розділу IX
    • недотримання вимоги або тимчасове чи остаточне обмеження на опрацювання або зупинення потоків даних наглядовим органом відповідно до статті 58(2) або відмова у наданні доступу, яка порушує статтю 58(1)

B2B маркетинг ред.

GDPR розрізняє B2C (англ. business to consumer, бізнес—споживачеві) і В2В (англ. business to business, бізнес—бізнесу) маркетинг. Згідно з GDPR є шість підстав для опрацювання персональних даних, які є однаковою мірою чинними. Дві з них мають відношення до прямого маркетингу В2В, а саме згода або законний інтерес. У пункті 47 GDPR говориться, що «опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу».

Використання законного інтересу як основи для B2B маркетингу включає забезпечення ключових умов:

  • «Опрацювання повинне стосуватися законних інтересів вашого бізнесу або зазначеної третьої сторони, за умови, що інтереси або фундаментальні права суб'єкта даних не перекривають законний інтерес бізнесу».
  • «Опрацювання повинне бути необхідним для досягнення законних інтересів організації».

Крім того, у статті 6.1(f) GDPR стверджується, що опрацювання є законним, якщо воно: «є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина».

Європейська комісія зазначила, що «уніфіковані закони про конфіденційність даних дозволять створити надзвичайні можливості та мотивують інноваційний бізнес не тільки в Європі, але і організації, які готові вести бізнес з європейськими державами». Комісія передбачає, що компанії будуть підтримувати зв'язок і будувати взаємини щодо підтримки регулювання одна з одною, щоб забезпечити найкращі практики через legitimate balance checks.

Обмеження ред.

Такі випадки не підпадають під дію регламенту:

  • Законне перехоплення, національна безпека, військова техніка, поліція, юстиція
  • Статистичний та науковий аналіз
  • Померлі особи є суб'єктами національного законодавства
  • Існує спеціальний закон про трудові відносини
  • опрацювання персональних даних фізичною особою в ході суто особистої або побутової діяльності

Дискусії та проблеми ред.

Цей розділ потребує доповнення. (травень 2018)

Примітки ред.

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex, « 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf [ 6 серпня 2018 у Wayback Machine.]
  2. Стаття 25. Захист даних за призначенням і за замовчуванням | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019. 
  3. Стаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019. 
  4. Стаття 33. Нотифікація наглядового органу про порушення захисту персональних даних | GDPR-Text.com. GDPR 🕮 Text (рос.). 14 жовтня 2019. Процитовано 1 грудня 2019. 
  5. . General Data Protection Regulation (GDPR) (амер.). Архів оригіналу за 24 квітня 2020. Процитовано 3 травня 2018. 
  6. . General Data Protection Regulation (GDPR) (амер.). Архів оригіналу за 26 червня 2018. Процитовано 3 травня 2018. 
  7. . eur-lex.europa.eu. Архів оригіналу за 29 грудня 2017. Процитовано 23 травня 2018. 
  8. Blackmer, W.S. (5 травня 2016). . Information Law Group. InfoLawGroup LLP. Архів оригіналу за 14 травня 2018. Процитовано 22 червня 2016. 
  9. „Inofficial [ 31 грудня 2013 у Wayback Machine.] consolidated version GDPR“. Rapporteur Jan Philipp Albrecht[en]. Retrieved 9 December 2013.
  10. Proposal for the EU General Data Protection Regulation [ 3 грудня 2012 у Wayback Machine.]. European Commission. 25 January 2012. Retrieved 3 January 2013.
  11. Стаття 3(2): Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з: (a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або (b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу.
  12. European Commission's press release announcing the proposed comprehensive reform of data protection rules [ 24 березня 2018 у Wayback Machine.]. 25 January 2012. Retrieved 3 January 2013.
  13. . kmu.gov.ua (укр.). Архів оригіналу за 26 травня 2018. 
  14. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA. 4 травня 2016. 
  15. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
  16. У разі застосування пункту (а) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини. Держави-члени можуть передбачити в законі нижчий вік для такої мети за умови, що такий вік не менше 13 років.»
  17. «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide» [ 17 лютого 2021 у Wayback Machine.]. Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
  18. . www.xewave.io (en-GB). Архів оригіналу за 14 квітня 2018. Процитовано 13 квітня 2018. 
  19. . ico.org.uk (англ.). 19 січня 2018. Архів оригіналу за 23 травня 2018. Процитовано 22 травня 2018. 
  20. . European Commission - European Commission (англ.). Архів оригіналу за 23 травня 2018. Процитовано 23 травня 2018. 
  21. editor, Ian Sample Science (27 січня 2017). . The Guardian (en-GB). ISSN 0261-3077. Архів оригіналу за 18 червня 2017. Процитовано 15 липня 2017. 
  22. . www.techzone360.com (англ.). Архів оригіналу за 4 серпня 2017. Процитовано 15 липня 2017. 
  23. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 грудня 2016). . Архів оригіналу за 4 березня 2021. Процитовано 23 травня 2018 — через SSRN. 
  24. Edwards, Lilian; Veale, Michael (2017). Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for. Duke Law and Technology Review. SSRN 2972855. doi:10.2139/ssrn.2972855. 
  25. . www.enisa.europa.eu (en-gb). Архів оригіналу за 5 квітня 2017. Процитовано 4 квітня 2017. 
  26. Data science under GDPR with pseudonymization in the data pipeline [ 18 квітня 2018 у Wayback Machine.] Published by Dativa, 17 April, 2018
  27. . iapp.org. Архів оригіналу за 19 лютого 2018. Процитовано 23 травня 2018. 
  28. Article 29 Working Party (2017). . European Commission. Архів оригіналу за 29 червня 2017. Процитовано 23 травня 2018. 
  29. . Bloomberg BNA. 12 лютого 2016. Архів оригіналу за 19 квітня 2016. Процитовано 23 травня 2018. (Note that the Article 18 in the draft GDPR became Article 20 in the final version.)
  30. Baldry, Tony; Hyams, Oliver. . 1 Essex Court. Архів оригіналу за 19 жовтня 2017. Процитовано 23 травня 2018. 
  31. . European Parliament. Архів оригіналу за 5 червня 2014. Процитовано 23 травня 2018. 
  32. . Архів оригіналу за 29 червня 2017. Процитовано 27 серпня 2017. 
  33. . ico.org.uk. 22 березня 2018. Архів оригіналу за 18 травня 2018. Процитовано 23 травня 2018. 
  34. . Архів оригіналу за 18 травня 2018. Процитовано 23 травня 2018. 
  35. . ico.org.uk. 22 березня 2018. Архів оригіналу за 22 травня 2018. Процитовано 23 травня 2018. 
  36. Стаття 2. Матеріальна сфера дії | GDPR-Text.com. GDPR 🕮 Text. 14 жовтня 2019. Процитовано 1 грудня 2019. 

Посилання ред.


Це незавершена стаття з інформаційної безпеки.
Ви можете допомогти проєкту, виправивши або дописавши її.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Zagalnij reglament pro zahist danih angl General Data Protection Regulation GDPR Regulation EU 2016 679 reglament v mezhah zakonodavstva Yevropejskogo Soyuzu shodo zahistu personalnih danih usih osib u mezhah Yevropejskogo Soyuzu ta Yevropejskoyi ekonomichnoyi zoni Vin takozh stosuyetsya eksportu personalnih danih za mezhi YeS i YeEZ GDPR poklikanij nasampered nadati gromadyanam ta rezidentam YeS kontrol za yihnimi personalnimi danimi ta sprostiti regulyatorne seredovishe dlya mizhnarodnogo biznesu shlyahom unifikaciyi regulyuvannya v mezhah YeS 1 Reglament zaminyuye Direktivu pro zahist danih i mistit polozhennya i vimogi shodo opracyuvannya osobovoyi informaciyi sub yektiv danih vseredini Yevropejskogo Soyuzu Biznes procesi yaki opracovuyut personalni dani povinni buti odrazu pobudovani za principom privatnist za priznachennyam i za zamovchuvannyam 2 sho oznachaye sho personalni dani neobhidno zberigati z vikoristannyam psevdonimiv chi povnoyi anonimizaciyi ta vikoristovuvati nalashtuvannya najvishogo rivnya privatnosti za zamovchuvannyam tak shob dani ne buli dostupni publichno bez ochevidnoyi zgodi ta ne mogli buti vikoristani dlya identifikaciyi sub yekta bez dodatkovoyi informaciyi sho zberigayetsya okremo Niyaki osobisti dani ne mozhut buti obrobleni yaksho ce ne maye pid soboyu zakonnih pidstav viznachenih reglamentom abo yaksho kontroler chi operator danih ne otrimav yavnoyi ochevidnoyi zgodi vid vlasnika danih Pidpriyemstvo povinne davati zmogu vidklikati takij dozvil u bud yakij chas Kontroler personalnih danih maye chitko zayaviti yaki dani zbiraye i yak chomu yih opracovuye yak dovgo zberigaye i chi dilitsya nimi z bud yakimi tretimi storonami 3 Koristuvachi mayut pravo zaprositi mobilnu kopiyu danih zibranih operatorom u zagalnoprijnyatomu formati i pravo na viluchennya yihnih danih za pevnih obstavin Derzhavni organi a takozh pidpriyemstva chiya osnovna diyalnist stosuyetsya regulyarnogo chi sistematichnogo opracyuvannya personalnih danih zobov yazani mati posadu spivrobitnika z pitan zahistu danih angl data protection officer DPO yakij stezhit za dotrimannyam GDPR Pidpriyemstva povinni povidomlyati pro bud yake porushennya zahistu danih yake maye negativnij vpliv na konfidencijnist koristuvachiv uprodovzh 72 godin 4 Reglament bulo prijnyato 14 kvitnya 2016 roku 5 nabrav chinnosti 24 travnya 2016 roku na 20 j den pislya oficijnogo opublikuvannya v Oficijnomu visniku Yevropejskogo Soyuzu i pislya dvorichnogo perehidnogo periodu pochav zastosovuvatisya 25 travnya 2018 6 7 Oskilki GDPR ce reglament a ne direktiva vin ne vimagaye vid nacionalnih uryadiv prijnyattya zakoniv yaki umozhlivlyuyut jogo diyu i ye bezposeredno zobov yazalnim i zastosovnim 8 Zmist 1 Zmist 1 1 Sfera zastosuvannya 1 2 Zakonni pidstavi dlya opracyuvannya 1 3 Vidpovidalnist i pidzvitnist 1 4 Zahist danih za priznachennyam i za zamovchuvannyam 1 5 Vikoristannya psevdonimiv 1 6 Pravo na dostup 1 7 Pravo na stirannya 1 8 Zapisi opracyuvannya danih 1 9 Spivrobitnik z pitan zahistu danih 1 10 Porushennya zahistu danih 1 11 Sankciyi 1 12 B2B marketing 2 Obmezhennya 3 Diskusiyi ta problemi 4 Primitki 5 PosilannyaZmist red Reglament mistit taki osnovni vimogi 9 10 Sfera zastosuvannya red Reglament zastosovuyetsya yaksho kontroler danih organizaciya yaka zbiraye dani vid rezidentiv YeS abo operator organizaciya yaka opracovuye dani vid imeni kontrolera danih yak to postachalniki hmarnih poslug abo sub yekt danih osoba bazuyutsya v YeS Za pevnih obstavin 11 diya cogo reglamentu takozh poshiryuyetsya na organizaciyi sho bazuyutsya za mezhami YeS yaksho voni zbirayut chi opracovuyut osobisti dani fizichnih osib roztashovanih v mezhah YeS Zgidno z viznachennyam Yevropejskoyi komisiyi personalni dani ce bud yaka informaciya shodo fizichnoyi osobi ne zalezhno vid togo chi vona stosuyetsya jogo yiyi osobistogo profesijnogo chi suspilnogo zhittya Ce mozhe buti sho zavgodno zokrema im ya domashnya adresa fotografiya adresa elektronnoyi poshti bankivski rekviziti povidomlennya na sajtah socialnih merezh medichna informaciya abo IP adresa komp yutera 12 Reglament ne pretenduye na te shob zastosuvatisya do opracyuvannya personalnih danih dlya nacionalnoyi bezpeki ta pravoohoronnoyi diyalnosti YeS odnak pevni grupi sturbovani potencijnim konfliktom pravovih norm vislovili sumniv chi ne mozhe stattya 48 GDPR 13 buti vikoristanoyu shob zapobigti peredachi personalnih danih rezidentiv YeS vid kontrolera danih yakij pidlyagaye yurisdikciyi tretoyi krayini do pravoohoronnih sudovih organiv chi organiv nacionalnoyi bezpeki ciyeyi krayini na yihnyu oficijnu vimogu nezalezhno vid togo chi znahodyatsya dani v YeS chi za jogo mezhami Stattya 48 zaznachaye sho bud yake rishennya sudu abo tribunalu ta bud yake rishennya administrativnogo organu v tretij krayini sho vimagaye vid kontrolera abo operatora peredati chi rozkriti personalni dani mozhe buti viznane chi vikonane u bud yakij sposib yaksho vono bazuyetsya na mizhnarodnij ugodi takij yak dogovir pro vzayemnu pravovu dopomogu yaka ye chinnoyu dlya tretoyi krayini sho podaye zapit i Soyuzom abo derzhavoyu chlenom bez obmezhennya inshih pidstav dlya peredavannya vidpovidno do ciyeyi glavi Paket reformi zahistu danih takozh vklyuchaye okremu Direktivu pro zahist danih dlya policiyi ta kriminalnogo pravosuddya 14 yaka mistit pravila obminu personalnimi danimi na nacionalnomu yevropejskomu i mizhnarodnomu rivnyah Yedinij zvid pravil bude poshiryuvatisya na vsi derzhavi chleni YeS Kozhna derzhava uchasnicya maye stvoriti nezalezhnij naglyadovij organ sho zasluhovuvatime i rozglyadatime skargi zdijsnyuvatime styagnennya za administrativni pravoporushennya ta in Naglyadovij organ u kozhnij derzhavi chleni bude spivpracyuvati z inshimi naglyadovimi organami nadayuchi vzayemnu dopomogu j organizovuyuchi spilni operaciyi Yaksho pidpriyemstvo maye kilka osidkiv v YeS yedinij naglyadovij organ bude dlya nogo kerivnim organom za miscem znahodzhennya jogo golovnogo osidku de vidbuvayetsya osnovne opracyuvannya Providnij organ bude diyati v yakosti yedinogo vikna shob kontrolyuvati vsi operaciyi cogo pidpriyemstva z opracyuvannya danih na vsij teritoriyi YeS 15 statti 46 55 z GDPR Yevropejska rada zahistu danih EDPB bude koordinuvati naglyadovi organi EDPB zaminit Robochu grupu zahistu danih sho diye zgidno zi statteyu 29 Ye vinyatki dlya danih sho opracovuyutsya u konteksti trudovih vidnosin abo nacionalnoyi bezpeki yaki vse she mozhut buti predmetom regulyaciyi okremih krayin statti 2 2 A i 88 GDPR Zakonni pidstavi dlya opracyuvannya red Opracyuvannya ye zakonnim lishe za umovi vikonannya prinajmni odniyeyi z navedenih nizhche umov 13 sub yekt danih nadav zgodu na opracyuvannya svoyih personalnih danih dlya odniyeyi chi dekilkoh specialnih cilej opracyuvannya ye neobhidnim dlya vikonannya kontraktu storonoyu yakogo ye sub yekt danih abo dlya vzhittya dij na zapit sub yekta danih do ukladennya dogovoru opracyuvannya ye neobhidnim dlya dotrimannya vstanovlenogo zakonom zobov yazannya yake poshiryuyetsya na kontrolera opracyuvannya ye neobhidnim dlya togo shob zahistiti zhittyevo vazhlivi interesi sub yekta danih abo inshoyi fizichnoyi osobi opracyuvannya ye neobhidnim dlya vikonannya zavdannya v suspilnih interesah abo zdijsnennya oficijnih povnovazhen pokladenih na kontrolera opracyuvannya ye neobhidnim dlya cilej zakonnih interesiv kontrolera abo tretoyi storoni okrim vipadkiv koli nad takimi interesami perevazhayut interesi fundamentalnih prav i svobod sub yekta danih sho vimagayut ohoroni personalnih danih osoblivo yaksho sub yektom danih ye ditina Yaksho yak zakonna pidstava dlya opracyuvannya danih zastosovuyetsya zgoda vona maye buti yavnoyu dlya zibranih danih i meti z yakoyu zastosovuyutsya dani stattya 7 viznachennya u statti 4 Zgodu za ditej 16 povinni nadati odin z batkiv abo opikun ditini vona maye buti perevirenoyu stattya 8 Kontroleri danih povinni buti v zmozi dovesti zgodu i zgodu mozhe buti vidklikano 17 Sfera zgodi GDPR maye kilka naslidkiv dlya diyalnosti yaka zapisuye vikliki abonentiv Tipovogo poperedzhennya dzvinki zapisuyutsya dlya navchannya i z mirkuvan bezpeki bilshe ne bude dostatno dlya otrimannya peredbachuvanoyi zgodi na zapis dzvinkiv Krim togo koli zapis pochavsya u vipadku yaksho abonent vidklikav svoyu zgodu v agenta yakij prijmaye viklik maye buti mozhlivist zupiniti pochatij ranishe zapis i zabezpechiti shob zapis ne zberigavsya 18 Vidpovidalnist i pidzvitnist red Shob mati zmogu pidtverditi dotrimannya GDPR kontroler danih musit realizovuvati zahodi yaki vidpovidayut principam zahistu danih za priznachennyam i za zamovchuvannyam Zahist danih za priznachennyam i za zamovchuvannyam st 25 vimagaye shob zahodi shodo zahistu danih buli vklyucheni v rozrobku biznes procesiv produktiv i poslug Taki zahodi vklyuchayut vikoristannya psevdonimiv personalnih danih kontrolerom yak mozhna shvidshe punkt 78 Zdijsnyuvati efektivni zahodi i buti v zmozi prodemonstruvati vidpovidnist opracyuvannya ye vidpovidalnistyu i zobov yazannyam kontrolera danih navit yaksho opracyuvannya zdijsnyuyetsya operatorom danih vid imeni kontrolera punkt 74 Koli dani zibrani koristuvachi povinni buti chitko proinformovani pro masshtabi zboru danih pravovi pidstavi dlya opracyuvannya personalnih danih trivalist zberezhennya danih fakt peredachi danih tretim osobam ta abo za mezhi YeS i rozkrittya bud yakogo avtomatizovanogo prijnyattya rishen sho vidbuvayetsya na viklyuchno algoritmichnij osnovi Koristuvacham povinni buti nadani kontaktni dani kontrolera danih i yihnogo spivrobitnika z pitan zahistu danih de ce zastosovno Koristuvachi povinni takozh buti proinformovani pro yihni prava vidpovidno do GDPR vklyuchayuchi yihnye pravo vidklikati svoyu zgodu na opracyuvannya danih u bud yakij chas yihnye pravo na pereglyad svoyih osobistih danih ta dostup do oglyadu pro te yak voni opracovuyutsya pravo otrimati kopiyu zberezhenih danih na stirannya danih za pevnih obstavin pravo oskarzhiti bud yake avtomatizovane prijnyattya rishen zroblena viklyuchno na algoritmichnij osnovi i pravo podati skargu do Organu zahistu danih 19 20 Bagato ZMI prokomentuvali vvedennya prava na poyasnennya algoritmichnih rishen 21 22 ale pravoznavci stverdzhuyut sho isnuvannya takogo prava ye dosit neyasnim bez sudovogo viprobuvannya i ye shonajmenshe obmezhenim 23 24 Ocinka vplivu zahistu danih stattya 35 maye vidbutisya yaksho vinikayut konkretni riziki dlya prav i svobod sub yektiv danih Ocinka rizikiv i pom yakshennya naslidkiv ye obov yazkovimi a dlya visokih rizikiv neobhidne poperednogo shvalennya nacionalnih organiv zahistu danih DPA Zahist danih za priznachennyam i za zamovchuvannyam red Zahist danih za priznachennyam i za zamovchuvannyam st 25 vimagaye shob zahist danih buv chastinoyu rozrobki biznes procesiv produktiv i poslug Nalashtuvannya konfidencijnosti takim chinom povinni buti vstanovleni na visokomu rivni za zamovchuvannyam i kontroler maye zdijsniti tehnichni ta procedurni zahodi shob zabezpechiti dotrimannya reglamentu uprodovzh usogo zhittyevogo ciklu opracyuvannya danih Kontroleri povinni takozh zaprovaditi mehanizmi yaki garantuyut sho personalni dani ne opracovuyutsya yaksho ne ye neobhidni dlya kozhnoyi konkretnoyi meti U dopovidi 25 Agentstva Yevropejskogo Soyuzu z pitan merezhevoyi ta informacijnoyi bezpeki jdutsya pro te sho neobhidno zrobiti dlya dosyagnennya konfidencijnosti ta zahistu danih za zamovchuvannyam Zokrema vkazano sho operaciyi shifruvannya i deshifruvannya povinni provoditisya lokalno a ne za dopomogoyu distancijnogo obslugovuvannya tomu sho i klyuchi i dani povinni zalishatisya pid vplivom vlasnika danih yaksho jdetsya pro zabezpechennya yakoyis konfidencijnosti U dopovidi utochnyuyetsya sho autsorsing zberigannya danih na viddalenih hmarah ye praktichnim i vidnosno bezpechnim lishe yaksho klyuchi deshifruvannya maye vlasnik danih a ne hmarnij servis Vikoristannya psevdonimiv red U GDPR termin vikoristannya psevdonimiv vzhivayetsya dlya viznachennya procesu neobhidnogo dlya zberigannya danih yak alternativa inshomu variantu povnoyi anonimizaciyi danih 26 sho peredbachaye peretvorennya personalnih danih takim chinom sho na osnovi otrimanih danih ne mozhna rozpiznati konkretnij sub yekt danih bez vikoristannya dodatkovoyi informaciyi Prikladom ye shifruvannya yake robit vihidni dani nezrozumilimi a cej proces ne mozhe buti skasovanij bez dostupu do pravilnogo klyucha deshifruvannya GDPR vimagaye shob dodatkova informaciya napriklad klyuch deshifruvannya zberigalasya okremo vid psevdonimizovanih danih Inshij priklad vikoristannya psevdonimiv ye tokenizaciya en yaka ye ne matematichnim pidhodom do zahistu danih u spokoyi en yakij zaminyuye konfidencijni dani na nechutlivi zaminniki sho nazivayutsya tokenami Tokeni ne mayut zovnishnogo chi vikoristovnogo sensu abo znachennya Tokenizaciya ne zminyuye tip chi dovzhinu danih sho oznachaye sho yih mozhut opracovuvati zastarili sistemi taki yak bazi danih chutlivi do dovzhini i tipu danih Ce vimagaye nabagato menshe obchislyuvalnih resursiv dlya opracyuvannya ta zberigannya v bazah danih nizh tradicijno zashifrovani dani Ce dosyagayetsya za rahunok togo sho pevni dani ye povnistyu abo chastkovo vidimi dlya opracyuvannya ta analizu a vazhliva informaciya prihovana Vikoristannya psevdonimiv rekomenduyetsya dlya zmenshennya rizikiv dlya vidpovidnih sub yektiv danih a takozh shob dopomogti kontroleram i operatoram vikonuvati svoyi zobov yazannya shodo zahistu danih punkt 28 GDPR rekomenduye vikoristovuvati psevdonimi shob zniziti riziki dlya sub yektiv danih punkt 28 27 Pravo na dostup red Pravo na dostup st 15 ye pravom sub yekta danih Ce daye gromadyanam pravo na dostup do svoyih personalnih danih ta informaciyi pro te yak ci personalni dani opracovuyutsya Kontroler danih povinen nadavati za zapitom oglyad kategorij danih yaki opracovuyutsya stattya 15 1 b a takozh kopiyu faktichnih danih stattya 15 3 Krim togo kontroler danih povinen povidomiti sub yekta danih pro podrobici provedennya opracyuvannya taki yak meta opracyuvannya stattya 15 1 a komu dani peredayutsya stattya 15 1 c i yakim chinom dani bulo zibrano stattya 15 1 g Sub yekt danih povinen mati mozhlivist peredachi osobistih danih z odniyeyi elektronnoyi sistemi opracyuvannya do inshoyi bez pereshkod z boku kontrolera Dani yaki buli v dostatnij miri anonimizovani viklyuchayutsya ale dani yaki buli tilki de identifikovano ale yaki vse she mozhna pov yazati z danoyu osoboyu napriklad shlyahom nadannya vidpovidnogo identifikatora ni 28 Vklyuchayutsya i dani nadani sub yektom danih i dani zibrani sposterezhennyam napriklad pro povedinku Krim togo vidomosti povinni buti nadani kontrolerom u strukturovanomu zagalnoprijnyatomu elektronnomu formati Pravo perenesennya danih nadayetsya zgidno zi statteyu 20 GDPR Yuridichni eksperti bachat v ostatochnij versiyi ciyeyi miri stvorene nove pravo sho vihodit za ramki perenesennya danih mizh dvoma kontrolerami yak ce peredbacheno v stattya 20 29 Pravo na stirannya red Pravo na zabuttya zaminene bilsh obmezhenim pravom na stirannya u versiyi GDPR yaka bula prijnyata Yevropejskim parlamentom u berezni 2014 roku 30 31 Stattya 17 peredbachaye sho sub yekt danih maye pravo vimagati viluchennya personalnih danih pov yazanih z nim na osnovi bud yakoyi z ryadu prichin vklyuchayuchi nevidpovidnist statti 6 1 zakonnist vklyuchno z vipadkom f yaksho zakonni interesi kontrolera perekrivayutsya interesami abo fundamentalnimi pravami ta svobodami sub yekta danih yaki vimagayut zahistu personalnih danih div takozh spravu Google Spain v AEPD and Mario Costeja Gonzalez en Zapisi opracyuvannya danih red Kozhnij kontroler povinen vesti zapis opracyuvannya danih sho maye mistiti informaciyu pro cili opracyuvannya zalucheni kategoriyi ta peredbacheni termini Zapisi povinni buti nadani naglyadovomu organu za zapitom stattya 30 13 Spivrobitnik z pitan zahistu danih red Yaksho opracyuvannya zdijsnyuyetsya organami derzhavnoyi vladi za vinyatkom sudiv abo nezalezhnoyi sudovoyi vladi v mezhah yihnoyi sudovoyi spromozhnosti abo yaksho v privatnomu sektori opracyuvannya zdijsnyuyetsya za kontrolerom chiya osnovna diyalnist skladayetsya z operacij opracyuvannya yaki vimagayut regulyarnogo i sistematichnogo monitoringu sub yektiv danih abo pri obrobci velikih masshtabiv specialnih kategorij danih vidpovidno do statti 9 i personalnih danih sho stosuyutsya sudimosti ta pravoporushen zaznachenih v statti 10 13 kontroleru abo operatoru maye asistuvati osoba z ekspertnimi znannyami v galuzi zakonodavstva i praktiki shodo zahistu danih Spivrobitnik z pitan zahistu danih angl data protection officer podibnij do vidpovidalnogo pracivnika i takozh maye buti dosvidchenim u sferi upravlinnya IT procesami bezpeki danih en vklyuchayuchi zahodi shodo kiberatak ta inshih kritichno vazhlivih pitan bezperervnosti biznesu shodo zberigannya ta opracyuvannya osobistih i konfidencijnih danih Neobhidni navichki prostyagayutsya za mezhi rozuminnya normativno pravovoyi vidpovidnosti zakonam i pravilam shodo zahistu danih Bilsh detalna informaciya pro funkciyi i rol spivrobitnika z pitan zahistu danih podana u nastanovah vid 13 grudnya 2016 roku dokument pereglyanuto 5 kvitnya 2017 roku 32 Porushennya zahistu danih red Zgidno z GDPR kontroler danih yuridichno zobov yazanij bez zvolikan povidomiti naglyadovij organ pro porushennya zahistu danih za vinyatkom situacij imovirnist yakih prizvesti do riziku dlya prav i svobod fizichnih osib nizka Povidomiti pro porushennya zahistu danih neobhidno shonajbilshe za 72 godini pislya togo yak pro nogo stalo vidomo stattya 33 Fizichni osobi povinni buti povidomleni yaksho peredbachayetsya nespriyatlivij vpliv st 34 Krim togo operator danih maye odrazu povidomiti kontrolera pislya togo yak stalo vidomo pro porushennya zahistu personalnih danih stattya 33 Odnak povidomlyati sub yektiv personalnih danih ne vimagayetsya yaksho kontroler danih vzhiv vidpovidnih tehnichnih ta organizacijnih zahodiv zahistu yaki roblyat osobisti dani nedostupnimi dlya bud yakoyi lyudini yaka ne maye prava dostupu do neyi takih yak shifruvannya stattya 34 13 Sankciyi red Taki sankciyi mozhut buti nakladeni poperedzhennya v pismovij formi u vipadkah pershogo i nenavmisnogo nedotrimannya regulyarni periodichni perevirki zahistu danih shtraf do 10 mln abo do 2 shorichnogo svitovogo oborotu za poperednij finansovij rik dlya pidpriyemstv zalezhno vid togo sho bilshe yaksho stalosya porushennya takih polozhen stattya 83 abzac 5 6 13 obov yazki kontrolera j operatora zgidno zi stattyami 8 11 25 39 42 ta 43 obov yazki organu z sertifikaciyi u vidpovidnosti zi stattyami 42 ta 43 obov yazki naglyadovogo organu vidpovidno do statti 41 4 shtraf u rozmiri do 20 mln abo 4 vid richnogo svitovogo oborotu za poperednij finansovij rik dlya pidpriyemstv zalezhno vid togo sho bilshe yaksho stalosya porushennya takih polozhen stattya 83 punkt 4 osnovni principi opracyuvannya v tomu chisli umovi zgodi vidpovidno do statej 5 6 7 ta 9 prava sub yektiv danih u vidpovidnosti zi stattyami 12 22 peredacha personalnih danih oderzhuvachu sho znahoditsya v tretij krayini abo mizhnarodnij organizaciyi u vidpovidnosti zi stattyami 44 49 bud yaki zobov yazannya zgidno z nacionalnim zakonodavstvom chleniv prijnyatim u vidpovidnosti do rozdilu IX nedotrimannya vimogi abo timchasove chi ostatochne obmezhennya na opracyuvannya abo zupinennya potokiv danih naglyadovim organom vidpovidno do statti 58 2 abo vidmova u nadanni dostupu yaka porushuye stattyu 58 1 B2B marketing red GDPR rozriznyaye B2C angl business to consumer biznes spozhivachevi i V2V angl business to business biznes biznesu marketing Zgidno z GDPR ye shist pidstav dlya opracyuvannya personalnih danih yaki ye odnakovoyu miroyu chinnimi Dvi z nih mayut vidnoshennya do pryamogo marketingu V2V a same zgoda abo zakonnij interes U punkti 47 GDPR govoritsya sho opracyuvannya personalnih danih dlya cilej pryamogo marketingu mozhna vvazhati opracyuvannyam sho zdijsnyuyut dlya zabezpechennya zakonnogo interesu 33 Vikoristannya zakonnogo interesu yak osnovi dlya B2B marketingu vklyuchaye zabezpechennya klyuchovih umov Opracyuvannya povinne stosuvatisya zakonnih interesiv vashogo biznesu abo zaznachenoyi tretoyi storoni za umovi sho interesi abo fundamentalni prava sub yekta danih ne perekrivayut zakonnij interes biznesu Opracyuvannya povinne buti neobhidnim dlya dosyagnennya zakonnih interesiv organizaciyi 34 Krim togo u statti 6 1 f GDPR stverdzhuyetsya sho opracyuvannya ye zakonnim yaksho vono ye neobhidnim dlya cilej zakonnih interesiv kontrolera abo tretoyi storoni okrim vipadkiv koli nad takimi interesami perevazhayut interesi fundamentalnih prav i svobod sub yekta danih sho vimagayut ohoroni personalnih danih osoblivo yaksho sub yektom danih ye ditina Yevropejska komisiya zaznachila sho unifikovani zakoni pro konfidencijnist danih dozvolyat stvoriti nadzvichajni mozhlivosti ta motivuyut innovacijnij biznes ne tilki v Yevropi ale i organizaciyi yaki gotovi vesti biznes z yevropejskimi derzhavami Komisiya peredbachaye sho kompaniyi budut pidtrimuvati zv yazok i buduvati vzayemini shodo pidtrimki regulyuvannya odna z odnoyu shob zabezpechiti najkrashi praktiki cherez legitimate balance checks 35 Obmezhennya red Taki vipadki ne pidpadayut pid diyu reglamentu 36 Zakonne perehoplennya nacionalna bezpeka vijskova tehnika policiya yusticiya Statistichnij ta naukovij analiz Pomerli osobi ye sub yektami nacionalnogo zakonodavstva Isnuye specialnij zakon pro trudovi vidnosini opracyuvannya personalnih danih fizichnoyu osoboyu v hodi suto osobistoyi abo pobutovoyi diyalnostiDiskusiyi ta problemi red Cej rozdil potrebuye dopovnennya traven 2018 Primitki red Presidency of the Council Compromise text Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex 201 pages 11 June 2015 PDF http data consilium europa eu doc document ST 9565 2015 INIT en pdf Arhivovano 6 serpnya 2018 u Wayback Machine Stattya 25 Zahist danih za priznachennyam i za zamovchuvannyam GDPR Text com GDPR Text 14 zhovtnya 2019 Procitovano 1 grudnya 2019 Stattya 13 Informaciya yaku neobhidno nadati u razi zbirannya personalnih danih vid sub yekta danih GDPR Text com GDPR Text 14 zhovtnya 2019 Procitovano 1 grudnya 2019 Stattya 33 Notifikaciya naglyadovogo organu pro porushennya zahistu personalnih danih GDPR Text com GDPR Text ros 14 zhovtnya 2019 Procitovano 1 grudnya 2019 GDPR Portal Site Overview General Data Protection Regulation GDPR amer Arhiv originalu za 24 kvitnya 2020 Procitovano 3 travnya 2018 Art 99 GDPR Entry into force and application General Data Protection Regulation GDPR General Data Protection Regulation GDPR amer Arhiv originalu za 26 chervnya 2018 Procitovano 3 travnya 2018 EUR Lex 31995L0046 EN EUR Lex eur lex europa eu Arhiv originalu za 29 grudnya 2017 Procitovano 23 travnya 2018 Blackmer W S 5 travnya 2016 GDPR Getting Ready for the New EU General Data Protection Regulation Information Law Group InfoLawGroup LLP Arhiv originalu za 14 travnya 2018 Procitovano 22 chervnya 2016 Inofficial Arhivovano 31 grudnya 2013 u Wayback Machine consolidated version GDPR Rapporteur Jan Philipp Albrecht en Retrieved 9 December 2013 Proposal for the EU General Data Protection Regulation Arhivovano 3 grudnya 2012 u Wayback Machine European Commission 25 January 2012 Retrieved 3 January 2013 Stattya 3 2 Cej Reglament zastosovuyut do opracyuvannya personalnih danih sub yektiv danih yaki perebuvayut u Soyuzi kontrolerom abo operatorom yakij maye osidok poza mezhami Soyuzu yaksho opracyuvannya danih pov yazano z a postachannyam tovariv chi nadannyam poslug takim sub yektam danih u Soyuzi nezalezhno vid togo chi vimagayut oplatu vid takih sub yektiv danih abo b monitoringom povedinki sub yektiv danih yaksho taka povedinka maye misce u mezhah Soyuzu European Commission s press release announcing the proposed comprehensive reform of data protection rules Arhivovano 24 bereznya 2018 u Wayback Machine 25 January 2012 Retrieved 3 January 2013 a b v g d e REGLAMENT YeVROPEJSKOGO PARLAMENTU I RADI YeS 2016 679 vid 27 kvitnya 2016 roku pro zahist fizichnih osib u zv yazku z opracyuvannyam p ersonalnih danih i pro vilnij ruh takih danih ta pro skasuvannya Direktivi 95 46 YeS Zagalnij reglament pro zahist danih kmu gov ua ukr Arhiv originalu za 26 travnya 2018 Directive EU 2016 680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention investigation detection or prosecution of criminal offences or the execution of criminal penalties and on the free movement of such data and repealing Council Framework Decision 2008 977 JHA 4 travnya 2016 The Proposed EU General Data Protection Regulation A guide for in house lawyers Hunton amp Williams LLP June 2015 p 14 U razi zastosuvannya punktu a statti 6 1 u sferi propoziciyi poslug informacijnogo suspilstva bezposeredno ditini opracyuvannya personalnih danih ditini ye zakonnim yaksho ditina dosyagla shonajmenshe 16 rokiv Yaksho ditina ne dosyagla 16 rokiv take opracyuvannya ye zakonnim lishe yaksho ta tiyeyu miroyu koli zgodu nadano chi yiyi nadannya sankcionovano nosiyem batkivskoyi vidpovidalnosti shodo ditini Derzhavi chleni mozhut peredbachiti v zakoni nizhchij vik dlya takoyi meti za umovi sho takij vik ne menshe 13 rokiv How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide Arhivovano 17 lyutogo 2021 u Wayback Machine Judy Schmitt Florian Stahl 11 October 2012 Retrieved 3 January 2013 How Smart Businesses Can Avoid GDPR Penalties When Recording Calls www xewave io en GB Arhiv originalu za 14 kvitnya 2018 Procitovano 13 kvitnya 2018 Privacy notices under the EU General Data Protection Regulation ico org uk angl 19 sichnya 2018 Arhiv originalu za 23 travnya 2018 Procitovano 22 travnya 2018 What information must be given to individuals whose data is collected European Commission European Commission angl Arhiv originalu za 23 travnya 2018 Procitovano 23 travnya 2018 editor Ian Sample Science 27 sichnya 2017 AI watchdog needed to regulate automated decision making say experts The Guardian en GB ISSN 0261 3077 Arhiv originalu za 18 chervnya 2017 Procitovano 15 lipnya 2017 EU s Right to Explanation A Harmful Restriction on Artificial Intelligence www techzone360 com angl Arhiv originalu za 4 serpnya 2017 Procitovano 15 lipnya 2017 Wachter Sandra Mittelstadt Brent Floridi Luciano 28 grudnya 2016 Why a Right to Explanation of Automated Decision Making Does Not Exist in the General Data Protection Regulation Arhiv originalu za 4 bereznya 2021 Procitovano 23 travnya 2018 cherez SSRN Edwards Lilian Veale Michael 2017 Slave to the algorithm Why a right to an explanation is probably not the remedy you are looking for Duke Law and Technology Review SSRN 2972855 doi 10 2139 ssrn 2972855 Privacy and Data Protection by Design ENISA www enisa europa eu en gb Arhiv originalu za 5 kvitnya 2017 Procitovano 4 kvitnya 2017 Data science under GDPR with pseudonymization in the data pipeline Arhivovano 18 kvitnya 2018 u Wayback Machine Published by Dativa 17 April 2018 Looking to comply with GDPR Here s a primer on anonymization and pseudonymization iapp org Arhiv originalu za 19 lyutogo 2018 Procitovano 23 travnya 2018 Article 29 Working Party 2017 Guidelines on the right to data portability European Commission Arhiv originalu za 29 chervnya 2017 Procitovano 23 travnya 2018 The Final European Union General Data Protection Regulation by Cedric Burton Laura De Boel Christopher Kuner Anna Pateraki Sarah Cadiot and Sara G Hoffman Section II 4 Bloomberg BNA 12 lyutogo 2016 Arhiv originalu za 19 kvitnya 2016 Procitovano 23 travnya 2018 Note that the Article 18 in the draft GDPR became Article 20 in the final version Baldry Tony Hyams Oliver The Right to Be Forgotten 1 Essex Court Arhiv originalu za 19 zhovtnya 2017 Procitovano 23 travnya 2018 European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data General Data Protection Regulation European Parliament Arhiv originalu za 5 chervnya 2014 Procitovano 23 travnya 2018 Guidelines on Data Protection Officers Arhiv originalu za 29 chervnya 2017 Procitovano 27 serpnya 2017 What s new under the GDPR ico org uk 22 bereznya 2018 Arhiv originalu za 18 travnya 2018 Procitovano 23 travnya 2018 Arhivovana kopiya Arhiv originalu za 18 travnya 2018 Procitovano 23 travnya 2018 How do we apply legitimate interests in practice ico org uk 22 bereznya 2018 Arhiv originalu za 22 travnya 2018 Procitovano 23 travnya 2018 Stattya 2 Materialna sfera diyi GDPR Text com GDPR Text 14 zhovtnya 2019 Procitovano 1 grudnya 2019 Posilannya red Reglament YeS 2016 679 Yevropejskogo parlamentu ta Radi Arhivovano 26 travnya 2018 u Wayback Machine vid 27 kvitnya 2016 roku pro zahist fizichnih osib u zv yazku z opracyuvannyam personalnih danih i pro vilnij ruh takih danih ta pro skasuvannya Direktivi 95 46 YeS Zagalnij reglament pro zahist danih ukr Zgoda sub yekta personalnih danih Terminologichnij slovnik z pitan zapobigannya ta protidiyi legalizaciyi vidmivannyu dohodiv oderzhanih zlochinnim shlyahom finansuvannyu terorizmu finansuvannyu rozpovsyudzhennya zbroyi masovogo znishennya ta korupciyi A G Chubenko M V Loshickij D M Pavlov S S Bichkova O S Yunin Kiyiv Vaite 2018 S 280 ISBN 978 617 7627 10 3 Zagalnij reglament pro zahist danih GDPR Arhivovano 3 chervnya 2021 u Wayback Machine Storinka zahistu danih YeS Arhivovano 2 sichnya 2018 u Wayback Machine angl Zagalnij reglament pro zahist danih finalna versiya vid 27 kvitnya 2016 Arhivovano 24 travnya 2018 u Wayback Machine PDF angl Inshi movni versiyi u formatah HTML ta PDF Arhivovano 27 travnya 2018 u Wayback Machine Procedura 2012 0011 COD Arhivovano 20 chervnya 2018 u Wayback Machine 2012 0011 COD Zahist personalnih danih opracyuvannya ta vilnij ruh danih General Data Protection Regulation Arhivovano 12 zhovtnya 2018 u Wayback Machine nbsp Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Otrimano z https uk wikipedia org w index php title Zagalnij reglament pro zahist danih amp oldid 40220967