Jump to content

Общие положения о защите данных

(Перенаправлено с субъекта данных )
«GDPR» перенаправляется сюда. Чтобы узнать об экономическом термине, см. Валовой внутренний продукт региона .

Регламент (ЕС) 2016/679
Регламент Европейского Союза
Текст, ЕЭЗ имеющий отношение к
Заголовок Положение о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/EC (Директива о защите данных)
Сделано Европейский парламент и Совет Европейского Союза
на журнал Ссылка L119, 4 мая 2016 г., с. 1–88
История
Дата создания 14 апреля 2016 г.
Дата реализации 25 мая 2018 г.
Подготовительные тексты
комиссии Предложение COM/2012/010 финал – 2012/0010 (COD)
Другое законодательство
Заменяет Директива о защите данных
Действующее законодательство

Общий регламент по защите данных ( Регламент (ЕС) 2016/679 , сокращенно GDPR ) — это регламент Европейского Союза о конфиденциальности информации в Европейском Союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). GDPR является важным компонентом законодательства ЕС о конфиденциальности и законодательства о правах человека , в частности статьи 8(1) Хартии основных прав Европейского Союза . Он также регулирует передачу персональных данных за пределы ЕС и ЕЭЗ. Целью GDPR является усиление контроля и прав частных лиц в отношении их личной информации, а также упрощение правил для международного бизнеса . [ 1 ] Она заменяет Директиву о защите данных 95/46/EC и, среди прочего, упрощает терминологию.

Европейский парламент и Совет Европейского Союза приняли GDPR 14 апреля 2016 года, который вступит в силу 25 мая 2018 года. Будучи постановлением ЕС (а не директивой ) , GDPR имеет силу закона сам по себе и без необходимости транспозиции . Однако он также предоставляет отдельным государствам-членам возможность изменять (отступать от) некоторых его положений.

В качестве примера эффекта Брюсселя это регулирование стало моделью для многих других законов по всему миру, в том числе в Бразилии, Японии, Сингапуре, Южной Африке, Южной Корее, Шри-Ланке и Таиланде. После выхода из Европейского Союза Соединенное Королевство приняло «GDPR Великобритании», идентичный GDPR. [ 2 ] Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR. [ 3 ]

Содержание

[ редактировать ]

GDPR 2016 состоит из одиннадцати глав, касающихся общих положений, принципов, прав субъекта данных, обязанностей контролеров или обработчиков данных, передачи персональных данных в третьи страны, надзорных органов, сотрудничества между государствами-членами, средств правовой защиты, ответственности или санкций за нарушение права и различные заключительные положения. В декларативной части 4 провозглашается, что «обработка персональных данных должна быть направлена ​​на служение человечеству».

Общие положения

[ редактировать ]

Постановление применяется, если контролер данных (организация, которая собирает информацию о живых людях, независимо от того, находятся они в ЕС или нет) или процессор (организация, которая обрабатывает данные от имени контролера данных, например, поставщики облачных услуг), или данные субъект (человек) находится в ЕС. При определенных обстоятельствах, [ 4 ] Постановление также распространяется на организации, базирующиеся за пределами ЕС, если они собирают или обрабатывают персональные данные лиц, находящихся на территории ЕС. Постановление не распространяется на обработку данных лицом для «чисто личной или бытовой деятельности и, следовательно, не связанной с профессиональной или коммерческой деятельностью». (Концерт 18).

По мнению Европейской комиссии , «Персональные данные — это информация, которая относится к идентифицированному или идентифицируемому физическому лицу. Если вы не можете напрямую идентифицировать физическое лицо на основе этой информации, вам необходимо подумать, можно ли еще идентифицировать это физическое лицо. Вам следует принять во внимание информацию вы обрабатываете данные вместе со всеми средствами, которые могут быть разумно использованы вами или любым другим лицом для идентификации этого человека». [ 5 ] Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контролер» и «обработчик» приведены в статье 4 Регламента. [ 6 ]

Постановление не распространяется на обработку персональных данных в целях национальной безопасности или правоохранительных органов ЕС; однако отраслевые группы, обеспокоенные возможным конфликтом законов, задаются вопросом, является ли статья 48 [ 6 ] GDPR может быть использован для того, чтобы помешать контролеру данных, на которого распространяется действие законов третьей страны, выполнить законный приказ правоохранительных, судебных органов или органов национальной безопасности этой страны о раскрытии таким органам персональных данных лица из ЕС, независимо от того, находятся ли данные в ЕС или за его пределами. Статья 48 гласит, что любое решение суда или трибунала и любое решение административного органа третьей страны, требующее от контролера или обработчика передачи или раскрытия персональных данных, не могут быть признаны или подлежать исполнению каким-либо образом, если они не основаны на международном соглашении, например договор о взаимной правовой помощи, действующий между запрашивающей третьей страной (не входящей в ЕС) и ЕС или государством-членом. [ 7 ] Пакет реформ по защите данных также включает отдельную Директиву о защите данных для полиции и сектора уголовного правосудия, которая устанавливает правила обмена личными данными на уровне штата , Союза и международном уровне. [ 8 ]

Единый свод правил применяется ко всем государствам-членам ЕС. Каждое государство-член создает независимый надзорный орган (SA) для рассмотрения и расследования жалоб, применения санкций к административным правонарушениям и т. д. SA в каждом государстве-члене сотрудничают с другими SA, оказывая взаимную помощь и организуя совместные операции. Если у компании есть несколько предприятий в ЕС, у нее должен быть один SA в качестве «ведущего органа» в зависимости от местоположения ее «основного предприятия», где осуществляется основная деятельность по переработке. Таким образом, ведущий орган действует как « единое окно », контролируя всю перерабатывающую деятельность этого бизнеса на всей территории ЕС ( статьи 46–55 GDPR). [ 9 ] [ 10 ] Европейский совет по защите данных (EDPB) координирует деятельность SA. Таким образом, EDPB заменяет предусмотренную статьей 29 Рабочую группу по защите данных, . Существуют исключения для данных, обрабатываемых в контексте трудоустройства или национальной безопасности, которые по-прежнему могут регулироваться правилами отдельных стран ( статьи 2(2)(a) и 88 GDPR).

Принципы и законные цели

[ редактировать ]

Статья 5 устанавливает шесть принципов, касающихся законности обработки персональных данных. Первый из них предусматривает, что данные должны обрабатываться законно, справедливо и прозрачно. Статья 6 развивает этот принцип, уточняя, что персональные данные не могут обрабатываться, если для этого нет хотя бы одного юридического основания. Другие принципы относятся к «ограничению цели», « минимизации данных », «точности», «ограничению хранения» и «целостности и конфиденциальности». [ 11 ] : Статья 5

Статья 6 гласит, что законными целями являются: [ 11 ] : Статья 6

  • (а) если субъект данных дал согласие на обработку своих персональных данных;
  • (б) для выполнения договорных обязательств с субъектом данных или для выполнения задач по запросу субъекта данных, который находится в процессе заключения договора;
  • (c) Для соблюдения юридических обязательств контролера данных;
  • (d) Для защиты жизненно важных интересов субъекта данных или другого физического лица;
  • (e) Для выполнения задачи в общественных интересах или в рамках официальной власти;
  • (f) Для законных интересов контролера данных или третьей стороны, если только эти интересы не перевешивают интересы субъекта данных или ее или его прав в соответствии с Хартией основных прав (особенно в случае детей). [ 7 ]

Если информированное согласие используется в качестве законного основания для обработки, согласие должно быть явным для собранных данных и для каждой цели использования данных ( статья 7 ; определено в статье 4 ). [ 12 ] [ 13 ] Согласие должно быть конкретным, свободно данным, ясно сформулированным и недвусмысленным подтверждением, данным субъектом данных; онлайн-форма, в которой параметры согласия структурированы как вариант отказа, выбранный по умолчанию, является нарушением GDPR, поскольку согласие не подтверждается однозначно пользователем. Кроме того, несколько типов обработки не могут быть «объединены» в один запрос подтверждения, поскольку это не является специфичным для каждого использования данных, а отдельные разрешения не предоставляются свободно. (Концерт 32).

Субъектам данных должно быть разрешено отозвать это согласие в любое время, и процесс этого не должен быть сложнее, чем процесс согласия. ( Статья 7(3) ). Контроллер данных не может отказать в обслуживании пользователям, которые отклоняют согласие на обработка, которая не является строго необходимой для использования услуги. ( Статья 8 ) Согласие для детей, определенных в постановлении как не достигших 16-летнего возраста (хотя с возможностью для государств-членов в индивидуальном порядке сделать этот возраст менее 13 лет ( Статья 8(1) ), должно быть дано родителем или опекуном ребенка и поддающимся проверке ( статья 8 ). [ 14 ] [ 15 ]

Если согласие на обработку уже было предоставлено в соответствии с Директивой о защите данных, контролеру данных не нужно повторно получать согласие, если обработка документирована и получена в соответствии с требованиями GDPR (декларатив 171). [ 16 ] [ 17 ]

Права субъекта данных

[ редактировать ]

Прозрачность и условия

[ редактировать ]

Статья 12 требует, чтобы контролер данных предоставлял информацию «субъекту данных в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык, в частности, для любой информации, адресованной конкретно ребенку». [ 7 ]

Информация и доступ

[ редактировать ]

Право доступа ( статья 15 ) является правом субъекта данных. [ 18 ] Оно дает людям право на доступ к своим личным данным и информации о том, как эти личные данные обрабатываются. Контроллер данных должен предоставить по запросу обзор категорий обрабатываемых данных (статья 15(1)(b)), а также копию фактических данных ( статья 15(3) ); кроме того, контролер данных должен информировать субъекта данных о подробностях обработки, таких как цели обработки ( статья 15(1)(a) ), кому передаются данные ( статья 15(1)(c) ) и как он получил данные ( статья 15(1)(g) ).

Субъект данных должен иметь возможность передавать персональные данные из одной электронной системы обработки в другую без препятствий со стороны контролера данных. Данные, которые были достаточно анонимизированы, исключаются, но данные, которые были только обезличены, но которые можно связать с рассматриваемым лицом, например, путем предоставления соответствующего идентификатора, не исключаются. [ 19 ] Однако на практике предоставление таких идентификаторов может оказаться затруднительным, как, например, в случае с Siri от Apple , где данные голоса и стенограммы хранятся с личным идентификатором, доступ к которому производитель ограничивает. [ 20 ] или в онлайн-поведенческом таргетинге, который в значительной степени зависит от отпечатков пальцев устройства , которые может быть сложно захватить, отправить и проверить. [ 21 ]

Включены как данные, «предоставляемые» субъектом данных, так и данные, которые «наблюдаются», например, о поведении. Кроме того, данные должны предоставляться контролером в структурированном и широко используемом стандартном электронном формате. Право на переносимость данных предусмотрено статьей 20 GDPR. [ 22 ]

Исправление и удаление

[ редактировать ]

Право на забвение было заменено более ограниченным правом на удаление в версии GDPR, принятой Европейским парламентом в марте 2014 года. [ 23 ] [ 24 ] Статья 17 предусматривает, что субъект данных имеет право потребовать удаления связанных с ним персональных данных по любому из ряда оснований, включая несоблюдение статьи 6(1) (законность), которая включает случай (f), если законные интересы контролера игнорируются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных (см. также Google Spain SL, Google Inc. против Испанского агентства по защите данных, Марио Костеха Гонсалес ). [ 7 ] [ 25 ]

Право на возражение и автоматизированные решения

[ редактировать ]

Статья 21 GDPR позволяет физическому лицу возражать против обработки личной информации в маркетинговых или не связанных с обслуживанием целях. [ 26 ] Это означает, что контролер данных должен предоставить физическому лицу право остановить или запретить контролеру обработку его персональных данных.

Есть некоторые случаи, когда это возражение не применимо. Например, если:

  1. Юридические или официальные полномочия осуществляются
  2. «Законный интерес», когда организации необходимо обработать данные, чтобы предоставить субъекту данных услугу, на которую он подписался.
  3. Задача, выполняемая в общественных интересах.

GDPR также ясно указывает, что контролер данных должен информировать людей об их праве на возражение при первом общении с ними. Это должно быть ясно и отдельно от любой другой информации, которую предоставляет контролер, и предоставлять им варианты того, как лучше всего возражать против обработки их данных.

Бывают случаи, когда контролер может отклонить запрос в обстоятельствах, когда запрос на возражение является «явно необоснованным» или «чрезмерным», поэтому каждый случай возражения должен рассматриваться индивидуально. [ 26 ] Другие страны, такие как Канада [ 27 ] также, следуя GDPR, рассматривают возможность принятия законодательства, регулирующего автоматизированное принятие решений в соответствии с законами о конфиденциальности, хотя существуют политические вопросы относительно того, является ли это лучшим способом регулирования ИИ. [ нужна ссылка ]

Право на компенсацию

[ редактировать ]

Статья 82 GDPR предусматривает, что любое лицо, понесшее материальный или нематериальный ущерб в результате нарушения настоящего Регламента, имеет право на получение компенсации от контролера или процессора за причиненный ущерб.

В решении Österreichische Post (C-300/21) Суд Европейского Союза дал толкование права на компенсацию. [ 28 ] Статья 82(1) GDPR требует для возмещения убытков (i) нарушения GDPR, (ii) (фактического) понесенного ущерба и (iii) причинной связи между нарушением и понесенным ущербом. Не обязательно, чтобы причиненный ущерб достиг определенной степени серьезности. В Европе не существует определенной концепции ущерба. Компенсация определяется на национальном уровне в соответствии с национальным законодательством. Необходимо учитывать принципы эквивалентности и эффективности. [ 29 ]

См. также заключение Генерального адвоката по делу Krankenversicherung Nordrhein (C-667/21). [ 30 ]

Контроллер и процессор

[ редактировать ]

Контролеры данных должны четко раскрывать информацию о любом сборе данных , объявлять законную основу и цель обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим лицам или за пределами ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей до такой степени, чтобы извлекались только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить портативную копию данных, собранных контролером, в общем формате, а также право на удаление своих данных при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых состоит в регулярной или систематической обработке персональных данных, обязаны нанять сотрудника по защите данных (DPO), который отвечает за контроль соблюдения GDPR. Контролеры данных должны сообщать утечки данных национальным надзорным органам в течение 72 часов, если они оказывают негативное влияние на конфиденциальность пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% от годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше.

Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен реализовать меры, которые соответствуют принципам защиты данных по замыслу и по умолчанию. Статья 25 требует, чтобы меры защиты данных были включены в разработку бизнес-процессов для продуктов и услуг. Такие меры включают псевдонимизацию персональных данных контролером в кратчайшие сроки (пункт 78 декларативной информации). Ответственность и ответственность контролера данных заключается в принятии эффективных мер и возможности продемонстрировать соответствие действий по обработке, даже если обработка выполняется обработчиком данных от имени контролера (пункт 74 декларативной части). [ 7 ] При сборе данных субъекты данных должны быть четко проинформированы об объеме сбора данных, правовой основе обработки персональных данных, как долго хранятся данные, передаются ли данные третьей стороне и/или за пределы ЕС. и любое автоматизированное принятие решений , принимаемое исключительно на алгоритмической основе. Субъекты данных должны быть проинформированы о своих правах на конфиденциальность в соответствии с GDPR, включая их право отозвать согласие на обработку данных в любое время, их право просматривать свои личные данные и получить доступ к обзору того, как они обрабатываются , их право на получение портативного устройства. копию сохраненных данных , их право на удаление своих данных при определенных обстоятельствах , их право оспаривать любое автоматизированное принятие решения, которое было принято исключительно на алгоритмической основе, а также их право подавать жалобы в орган по защите данных . Таким образом, субъекту данных также должны быть предоставлены контактные данные контролера данных и назначенного им сотрудника по защите данных, где это применимо. [ 31 ] [ 32 ]

Оценка воздействия на защиту данных ( статья 35 ) должна проводиться в случае возникновения особых рисков для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а в случае высоких рисков требуется предварительное одобрение органов по защите данных.

Статья 25 требует, чтобы защита данных была предусмотрена при разработке бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности по умолчанию должны быть установлены на высоком уровне, а контролер должен принять технические и процедурные меры, чтобы гарантировать, что обработка на протяжении всего жизненного цикла обработки соответствует нормативам. Контролеры также должны внедрить механизмы, гарантирующие, что персональные данные не будут обрабатываться, кроме случаев, когда это необходимо для каждой конкретной цели. Это известно как минимизация данных.

Отчет [ 33 ] Агентство Европейского Союза по сетевой и информационной безопасности подробно описывает, что необходимо сделать, чтобы обеспечить конфиденциальность и защиту данных по умолчанию. В нем указывается, что операции шифрования и дешифрования должны выполняться локально, а не с помощью удаленной службы, поскольку и ключи, и данные должны оставаться во власти владельца данных, если требуется обеспечить какую-либо конфиденциальность. В отчете указывается, что аутсорсинговое хранение данных в удаленных облаках практично и относительно безопасно, если только владелец данных, а не облачная служба, владеет ключами расшифровки.

Псевдонимизация

[ редактировать ]

Согласно GDPR, псевдонимизация — это обязательный процесс для хранимых данных, который преобразует персональные данные таким образом, что полученные данные невозможно отнести к конкретному субъекту данных без использования дополнительной информации (в качестве альтернативы другому варианту полных данных). анонимизация ). [ 34 ] Примером является шифрование , которое делает исходные данные неразборчивыми в ходе процесса, который невозможно отменить без доступа к правильному ключу дешифрования . GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонимизированных данных.

Другим примером псевдонимизации является токенизация , которая представляет собой нематематический подход к защите хранящихся данных , при котором конфиденциальные данные заменяются неконфиденциальными заменителями, называемыми токенами. Хотя токены не имеют никакого внешнего или пригодного для использования значения или ценности, они позволяют полностью или частично видеть определенные данные для обработки и анализа, в то время как конфиденциальная информация остается скрытой. Токенизация не меняет тип или длину данных, а это означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных. Это также требует гораздо меньше вычислительных ресурсов для обработки и меньше места для хранения в базах данных, чем традиционно зашифрованные данные.

Псевдонимизация — это технология, повышающая конфиденциальность , и ее рекомендуется снижать риски для соответствующих субъектов данных, а также помогать контролерам и обработчикам выполнять свои обязательства по защите данных (декларативная часть 28). [ 35 ]

Записи о деятельности по обработке

[ редактировать ]

Согласно статье 30 , [ 7 ] записи о деятельности по обработке должны вестись каждой организацией, соответствующей одному из следующих критериев:

  • трудоустроено более 250 человек;
  • осуществляемая им обработка может привести к риску для прав и свобод субъектов данных;
  • обработка не случайна;
  • обработка включает специальные категории данных, указанных в статье 9(1), или персональные данные, относящиеся к уголовным осуждениям и правонарушениям, указанным в статье 10.

Такие требования могут быть изменены каждой страной ЕС. Записи должны быть в электронной форме, и контролер или обработчик и, если применимо, представитель контролера или обработчика должны предоставить записи надзорному органу по запросу.

Записи контролера должны содержать всю следующую информацию:

  • имя и контактные данные контролера и, если применимо, совместного контролера, [ а ] представитель контролера и уполномоченный по защите данных;
  • цели обработки;
  • описание категорий субъектов данных и категорий персональных данных;
  • категории получателей, которым персональные данные были или будут раскрыты, включая получателей в третьих странах или международных организациях;
  • где это применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передачи, упомянутой во втором подпараграфе статьи 49(1), документацию, соответствующую гарантии;
  • где это возможно, предусмотренные сроки удаления различных категорий данных;
  • где возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 32(1).

Записи обработчика должны содержать всю следующую информацию:

  • имя и контактные данные обработчика или обработчиков и каждого контролера, от имени которого действует обработчик, и, если применимо, контролера или представителя обработчика, а также ответственного за защиту данных;
  • категории обработки, выполняемой от имени каждого контролера;
  • где это применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, и, в случае передачи, упомянутой во втором подпункте статьи 49(1),
  • документация о соответствующих гарантиях;
  • где возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 32(1). [ 7 ]

Безопасность персональных данных

[ редактировать ]

Контролеры и обработчики персональных данных должны принять соответствующие технические и организационные меры для реализации принципов защиты данных. [ 36 ] Бизнес-процессы обработки персональных данных должны быть спроектированы и построены с учетом принципов и обеспечивать меры защиты данных (например, с использованием псевдонимизации или полной анонимизации, где это необходимо). [ 37 ] Контролеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, по умолчанию используются максимально возможные настройки конфиденциальности, чтобы наборы данных по умолчанию не были общедоступными и не могли использоваться для идентификации субъекта. [ 38 ] Никакие персональные данные не могут обрабатываться, если эта обработка не осуществляется на основании одного из шести законных оснований, указанных в постановлении ( согласие , договор, общественное задание, жизненный интерес, законный интерес или законное требование). Если обработка основана на согласии, субъект данных имеет право отозвать его в любое время. [ 39 ]

Статья 33 гласит, что контролер данных обязан по закону уведомить надзорный орган без неоправданной задержки, за исключением случаев, когда нарушение маловероятно приведет к риску для прав и свобод отдельных лиц. Чтобы сообщить об утечке данных, может пройти максимум 72 часа после того, как стало известно об утечке данных. Лица должны быть уведомлены, если установлен высокий риск неблагоприятного воздействия ( статья 34 ). Кроме того, обработчик данных должен будет без неоправданной задержки уведомить контролера после того, как ему станет известно об утечке персональных данных ( статья 33 ). Однако уведомление субъектов данных не требуется, если контролер данных принял соответствующие технические и организационные меры защиты, которые делают персональные данные непонятными для любого лица, не имеющего права доступа к ним, например, шифрование ( статья 34 ). [ 7 ]

Сотрудник по защите данных

[ редактировать ]
См. также: Сотрудник Европейской комиссии по защите данных.

Статья 37 требует назначения уполномоченного по защите данных. Если обработка осуществляется государственным органом (за исключением судов или независимых судебных органов, действующих в их судебных полномочиях), или если операции по обработке предполагают регулярный и систематический мониторинг субъектов данных в больших масштабах, или если обработка в больших масштабах специальные категории данных и персональных данных, касающихся уголовных судимостей и преступлений ( статьи 9 и статья 10 , [ 40 ] ) Должностное лицо по защите данных (DPO) — лицо, обладающее экспертными знаниями законодательства и практики защиты данных — должно быть назначено для оказания помощи контролеру или обработчику данных в контроле их внутреннего соблюдения Регламента. [ 7 ]

Назначенный DPO может быть действующим сотрудником контролера или процессора, либо эта роль может быть передана на аутсорсинг внешнему лицу или агентству посредством контракта на обслуживание. В любом случае обрабатывающий орган должен убедиться в отсутствии конфликта интересов в других ролях или интересах, которыми может обладать DPO. Контактные данные DPO должны быть опубликованы обрабатывающей организацией (например, в уведомлении о конфиденциальности) и зарегистрированы в надзорном органе.

DPO аналогичен сотруднику по обеспечению соответствия, и ожидается, что он также будет владеть навыками управления ИТ-процессами, безопасностью данных (включая борьбу с кибератаками ) и другими важными вопросами непрерывности бизнеса, связанными с хранением и обработкой личных и конфиденциальных данных. Требуемый набор навыков выходит за рамки понимания соблюдения законов и правил о защите данных. DPO должен поддерживать актуальный реестр всех данных, собранных и хранящихся от имени организации. [ 41 ] Более подробная информация о функциях и роли ответственного за защиту данных была представлена ​​13 декабря 2016 г. (с изменениями от 5 апреля 2017 г.) в руководящем документе. [ 42 ]

Организации, базирующиеся за пределами ЕС, также должны назначить лицо, находящееся в ЕС, в качестве представителя и контактного лица для выполнения своих обязательств GDPR ( статья 27 ). Это отдельная роль от функции DPO, хотя существует дублирование обязанностей, что позволяет предположить, что эту роль также может выполнять назначенный DPO. [ 43 ]

Средства правовой защиты, ответственность и штрафы

[ редактировать ]
См. также: Штрафы и уведомления GDPR

Помимо определения уголовного преступления в соответствии с национальным законодательством в соответствии со статьей 83 GDPR, могут быть наложены следующие санкции:

  • предупреждение в письменной форме в случаях первого и непреднамеренного невыполнения требований
  • регулярные периодические проверки защиты данных
  • штраф до 10 миллионов евро или до 2% от годового мирового оборота предыдущего финансового года в случае предприятия, в зависимости от того, что больше, если имело место нарушение следующих положений ( статья 83 , параграф 4) [ 44 ] ):
    • обязательства контролера и обработчика в соответствии со 8 , 11 , 25–39 . 43 , 42 и статьями
    • обязательства органа по сертификации в соответствии со статьями 42 и 43
    • обязательства контролирующего органа в соответствии со статьей 41(4)
  • штраф до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше, если имело место нарушение следующих положений ( статья 83 , параграфы 5 и 6). [ 44 ] ):
    • основные принципы обработки, включая условия согласия, в соответствии со статьями 5 , 6 , 7 и 9.
    • права субъектов данных в статьями 12–22 со соответствии
    • передача персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44–49.
    • любые обязательства в соответствии с законодательством государства-члена, принятым в соответствии с Главой IX.
    • несоблюдение приказа или временное или окончательное ограничение обработки или приостановка потоков данных надзорным органом в соответствии со статьей 58(2) или непредоставление доступа в нарушение статьи 58(1) [ 7 ]

Исключения

[ редактировать ]

Это некоторые случаи, которые конкретно не рассматриваются в GDPR и поэтому рассматриваются как исключения. [ 45 ]

  • Личная или домашняя деятельность
  • Правоохранительные органы
  • Национальная безопасность [ 7 ]

Когда создавался GDPR, он был создан исключительно для регулирования персональных данных, которые попадают в руки компаний. [ нужна ссылка ] Что не подпадает под действие GDPR, так это некоммерческая информация или бытовая деятельность. [ 46 ] [ не удалось пройти проверку ] Примером таких домашних занятий могут быть электронные письма между двумя школьными друзьями.

И наоборот, чтобы на него распространялся GDPR, организация или, точнее, «предприятие» должна заниматься «экономической деятельностью». [ б ] Экономическая деятельность имеет широкое определение в соответствии с законодательством Европейского Союза о конкуренции . [ 47 ]

Применимость за пределами Европейского Союза

[ редактировать ]

GDPR также применяется к контролерам и обработчикам данных за пределами Европейской экономической зоны (ЕЭЗ), если они занимаются «предложением товаров или услуг» (независимо от того, требуется ли оплата) субъектам данных в пределах ЕЭЗ или осуществляют мониторинг. поведение субъектов данных в ЕЭЗ (статья 3(2)). Постановление применяется независимо от того, где происходит обработка. [ 48 ] Это было истолковано как намеренное предоставление экстерриториальной юрисдикции GDPR предприятиям, не входящим в ЕС, если они ведут бизнес с людьми, находящимися в ЕС. Сомнительно, смогут ли ЕС или его государства-члены на практике обеспечить соблюдение GDPR в отношении организаций, которые не имеют представительства в ЕС. [ 49 ]

Представитель ЕС

[ редактировать ]

В соответствии со статьей 27 предприятия, не входящие в ЕС, на которые распространяется действие GDPR, обязаны иметь уполномоченного представителя в Европейском Союзе, «представителя ЕС», который будет служить контактным лицом для выполнения своих обязательств в соответствии с регламентом. Представитель ЕС является контактным лицом Контролера или Обработчика по отношению к европейским органам надзора за соблюдением конфиденциальности и субъектами данных по всем вопросам, связанным с обработкой, для обеспечения соблюдения настоящего GDPR. Роль Представителя ЕС может выполнять физическое (физическое лицо) или юридическое (корпорация) лицо. [ 50 ] Учреждение, не входящее в ЕС, должно выдать должным образом подписанный документ (письмо об аккредитации), назначающий данное физическое лицо или компанию своим представителем в ЕС. Указанное обозначение может быть дано только в письменной форме. [ 51 ]

Неспособность учреждения назначить представителя в ЕС считается незнанием правил и соответствующих обязательств, что само по себе является нарушением GDPR и влечет за собой штраф в размере до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год. в случае предприятия, в зависимости от того, что больше. Умышленный или небрежный (умышленная слепота) характер нарушения (неназначение представителя ЕС) скорее может представлять собой отягчающее обстоятельство. [ 52 ]

Учреждению не нужно назначать представителя ЕС, если оно занимается лишь эпизодической обработкой, которая не включает в себя в больших масштабах обработку особых категорий данных, указанных в статье 9 (1) GDPR, или обработку персональных данных, касающихся к уголовным осуждениям и правонарушениям, указанным в статье 10, и такая обработка вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, объем и цели обработки. [ 7 ] Государственные органы и органы, не входящие в ЕС, в равной степени освобождены от налога. [ 53 ]

Третьи страны

[ редактировать ]

Глава V GDPR запрещает передачу персональных данных субъектов данных ЕС в страны за пределами ЕЭЗ, известные как третьи страны , если только не установлены соответствующие гарантии или правила защиты данных третьей страны официально не считаются адекватными Европейской комиссией ( статья 45). [ 54 ] [ 55 ] Среди примеров можно назвать обязательные корпоративные правила , стандартные договорные положения о защите данных, предусмотренные Соглашением об обработке данных (DPA), или схему обязательных и подлежащих исполнению обязательств контролера данных или обработчика, находящегося в третьей стране. [ 56 ]

Реализация в Соединенном Королевстве

[ редактировать ]
Объяснение возможных результатов отхода Великобритании от европейского GDPR [ 57 ]

На применимость GDPR в Соединенном Королевстве влияет Брексит . Хотя Соединенное Королевство официально вышло из Европейского Союза 31 января 2020 года, оно оставалось субъектом законодательства ЕС, включая GDPR, до конца переходного периода 31 декабря 2020 года. [ 54 ] 23 мая 2018 года Соединенное Королевство предоставило королевское согласие на Закон о защите данных 2018 года , который дополнил GDPR, включая аспекты регулирования, которые должны быть определены национальным законодательством, а также уголовные преступления за сознательное или неосторожное получение, перераспределение или сохранение личных данных. данные без согласия контролера данных. [ 58 ] [ 59 ]

В соответствии с Законом о Европейском Союзе (выходе) 2018 года существующее и соответствующее законодательство ЕС было перенесено в местное законодательство после завершения перехода, а в GDPR были внесены поправки нормативным актом, удаляющие определенные положения, которые больше не нужны из-за нечленства Великобритании в ЕС. ЕВРОСОЮЗ. После этого регламент будет называться «GDPR Великобритании». [ 60 ] [ 55 ] [ 54 ] Великобритания не будет ограничивать передачу персональных данных в страны ЕЭЗ в соответствии с GDPR Великобритании. Тем не менее, Великобритания станет третьей страной в соответствии с GDPR ЕС, а это означает, что персональные данные не могут быть переданы в страну, если не будут установлены соответствующие меры безопасности или Европейская комиссия не примет решение об адекватности британского законодательства о защите данных (Глава V). ). В рамках соглашения о выходе Европейская комиссия обязалась провести оценку адекватности. [ 54 ] [ 55 ]

Великобритании В апреле 2019 года Управление комиссара по информации (ICO) опубликовало детский кодекс практики использования социальных сетей при использовании их несовершеннолетними, который подлежит принудительному исполнению в соответствии с GDPR, который также включает ограничения на механизмы « лайков » и «полос», чтобы препятствовать использованию социальных сетей. зависимость и использование этих данных для обработки интересов. [ 61 ] [ 62 ]

В марте 2021 года государственный секретарь по цифровым технологиям, культуре, СМИ и спорту Оливер Дауден заявил, что Великобритания изучает возможность отклонения от GDPR ЕС, чтобы «[сосредоточиться] больше на результатах, которые мы хотим получить, а не на бремени правила, налагаемые на отдельные предприятия». [ 63 ]

Заблуждения

[ редактировать ]

Некоторые распространенные заблуждения о GDPR включают в себя:

  • Любая обработка персональных данных требует согласия субъекта данных.
    • Фактически, данные могут обрабатываться без согласия, если применяется одно из пяти других законных оснований для обработки, и получение согласия часто может быть неуместным. [ 64 ]
  • Физические лица имеют абсолютное право на удаление своих данных (право на забвение).
    • Хотя существует абсолютное право отказаться от прямого маркетинга, контролеры данных могут продолжать обрабатывать персональные данные, если у них есть для этого законное основание, до тех пор, пока данные остаются необходимыми для цели, для которой они были первоначально собраны. [ 65 ]
  • Удаление имен людей из записей выводит их из сферы действия GDPR.
    • «Псевдонимные» данные, в которых физическое лицо идентифицируется по номеру, все равно могут быть персональными данными, если контролер данных способен связать эти данные с конкретным лицом другим способом. [ 66 ]
  • GDPR распространяется на всех, кто обрабатывает персональные данные граждан ЕС в любой точке мира.
    • Фактически, это применимо к организациям, не зарегистрированным в ЕС, только в том случае, если они обрабатывают данные субъектов данных, находящихся в ЕС (независимо от их гражданства), и только тогда, когда они поставляют им товары или услуги или контролируют их поведение. [ 67 ]

Прием

[ редактировать ]

Согласно исследованию, проведенному Deloitte в 2018 году, 92% компаний считают, что они смогут соблюдать GDPR в своей деловой практике в долгосрочной перспективе. [ 68 ]

Компании, работающие за пределами ЕС, вложили значительные средства в приведение своей деловой практики в соответствие с GDPR. Область согласия GDPR имеет ряд последствий для предприятий, которые на практике записывают звонки. Типичный отказ от ответственности не считается достаточным для получения предполагаемого согласия на запись разговоров. Кроме того, если после начала записи вызывающий абонент отзовет свое согласие, агент, принимающий вызов, должен иметь возможность остановить ранее начатую запись и гарантировать, что запись не будет сохранена. [ 69 ]

ИТ-специалисты ожидают, что соблюдение GDPR в целом потребует дополнительных инвестиций: более 80 процентов опрошенных ожидали, что расходы, связанные с GDPR, составят не менее 100 000 долларов США. [ 70 ] Эти опасения были отражены в отчете, подготовленном по заказу юридической фирмы Baker & McKenzie , в котором выяснилось, что «около 70 процентов респондентов считают, что организациям потребуется инвестировать дополнительный бюджет/усилия для соблюдения требований по согласию, сопоставлению данных и трансграничной передаче данных». согласно GDPR». [ 71 ] Общая стоимость для компаний ЕС оценивается в 200 миллиардов евро, а для компаний США - в 41,7 миллиарда долларов. [ 72 ] Утверждалось, что у небольших предприятий и стартапов могут не быть финансовых ресурсов для адекватного соблюдения GDPR, в отличие от более крупных международных технологических компаний (таких как Facebook и Google ), на которых это регулирование якобы нацелено в первую очередь. [ 73 ] [ 74 ] Недостаток знаний и понимания правил также вызывал обеспокоенность в преддверии их принятия. [ 75 ] Противоположным аргументом было то, что компании были уведомлены об этих изменениях за два года до их вступления в силу и у них должно было быть достаточно времени для подготовки. [ 76 ]

Правила, в том числе вопрос о том, должно ли предприятие иметь ответственного за защиту данных, подверглись критике за потенциальное административное бремя и неясные требования к соблюдению. [ 77 ] Хотя минимизация данных является требованием, а псевдонимизация является одним из возможных средств, в постановлении не содержится указаний о том, как и что представляет собой эффективная схема деидентификации данных, с серой зоной в отношении того, что будет считаться неадекватной псевдонимизацией в соответствии с разделом 5. исполнительные действия. [ 35 ] [ 78 ] [ 79 ] Также существует обеспокоенность по поводу реализации GDPR в системах блокчейна , поскольку прозрачная и фиксированная запись транзакций блокчейна противоречит самой природе GDPR. [ 80 ] Многие СМИ прокомментировали введение « права на объяснение » алгоритмических решений. [ 81 ] [ 82 ] но ученые-юристы с тех пор утверждают, что существование такого права весьма неясно без судебных проверок и в лучшем случае ограничено. [ 83 ] [ 84 ]

GDPR получил поддержку со стороны предприятий, которые рассматривают его как возможность улучшить управление данными. [ 85 ] [ 86 ] Марк Цукерберг также назвал это «очень позитивным шагом для Интернета ». [ 87 ] и призвал к принятию в США законов в стиле GDPR. [ 88 ] Группы по защите прав потребителей, такие как Европейская организация потребителей, являются одними из самых ярых сторонников закона. [ 89 ] Другие сторонники приписывают его принятие разоблачителю Эдварду Сноудену . [ 90 ] Сторонник бесплатного программного обеспечения Ричард Столлман похвалил некоторые аспекты GDPR, но призвал к дополнительным гарантиям, чтобы технологические компании не «добывали согласие». [ 91 ]

Влияние

[ редактировать ]

Академические эксперты, участвовавшие в разработке GDPR, писали, что этот закон «является наиболее значимым нормативным нововведением в информационной политике за последнее поколение. GDPR вводит персональные данные в сложный и защитный режим регулирования». [ 92 ]

Несмотря на то, что у них было как минимум два года на подготовку, многие компании и веб-сайты изменили свои политики и функции конфиденциальности по всему миру непосредственно перед введением GDPR и обычно отправляли электронные письма и другие уведомления с обсуждением этих изменений. Это подверглось критике за то, что привело к утомительному количеству сообщений, в то время как эксперты отметили, что в некоторых электронных письмах с напоминанием неверно утверждалось, что новое согласие на обработку данных должно быть получено до вступления в силу GDPR (любое ранее полученное согласие на обработку действительно до тех пор, пока оно соответствует требованиям регламента). Фишинговые мошенничества также возникали с использованием фальсифицированных версий электронных писем, связанных с GDPR, и также утверждалось, что некоторые электронные письма с уведомлениями о GDPR могли фактически быть отправлены с нарушением законов о борьбе со спамом. [ 93 ] [ 16 ] В марте 2019 года поставщик программного обеспечения для обеспечения соответствия требованиям обнаружил, что многие веб-сайты, управляемые правительствами государств-членов ЕС, содержат встроенное отслеживание от поставщиков рекламных технологий. [ 94 ] [ 95 ]

Поток уведомлений, связанных с GDPR, также породил мемы , в том числе те, которые касаются уведомлений о политике конфиденциальности, доставляемых нетипичными способами (например, доской для спиритических сеансов или «Звездных войн» открывающим сканированием ), предполагая, что список «непослушных или хороших» Санта-Клауса был нарушением. и запись выдержек из постановления бывшего диктора BBC Radio 4 Shipping Forecast . Также был создан блог GDPR Hall of Shame , чтобы продемонстрировать необычную доставку уведомлений GDPR и попытки соблюдения требований, которые содержали вопиющие нарушения требований регламента. Его автор отметил, что в постановлении «много мельчайших, скрытых деталей, но мало информации о том, как его соблюдать», но также признал, что у предприятий есть два года на то, чтобы соблюдать требования, что делает некоторые из его ответов неоправданными. . [ 96 ] [ 97 ] [ 98 ] [ 99 ] [ 100 ]

Исследования показывают, что примерно 25% уязвимостей программного обеспечения имеют последствия GDPR. [ 101 ] Поскольку в статье 33 особое внимание уделяется нарушениям, а не ошибкам, эксперты по безопасности советуют компаниям инвестировать в процессы и возможности выявления уязвимостей до того, как они могут быть использованы, включая скоординированные процессы раскрытия уязвимостей . [ 102 ] [ 103 ] Исследование политик конфиденциальности приложений Android, возможностей доступа к данным и поведения при доступе к данным показало, что многие приложения демонстрируют несколько более дружественное к конфиденциальности поведение с момента внедрения GDPR, хотя они по-прежнему сохраняют большую часть своих привилегий доступа к данным в своем коде. [ 104 ] [ 105 ] Расследование Норвежского совета потребителей по информационным панелям субъектов данных после вступления в силу GDPR на платформах социальных сетей (таких как панель Google ) пришло к выводу, что крупные компании, занимающиеся социальными сетями, используют обманную тактику, чтобы отговорить своих клиентов от ужесточения настроек конфиденциальности. [ 106 ]

С момента вступления в силу некоторые веб-сайты начали полностью блокировать посетителей из стран ЕС (включая Instapaper , [ 107 ] Unroll.me, [ 108 ] и газеты, принадлежащие Tribune Publishing , такие как Chicago Tribune и Los Angeles Times ) или перенаправлять их на урезанные версии своих услуг (в случае National Public Radio и USA Today ) с ограниченной функциональностью и/или без рекламы, поэтому что они не несут ответственности. [ 109 ] [ 110 ] [ 111 ] [ 112 ] Некоторые компании, такие как Klout и несколько онлайн-видеоигр, полностью прекратили свою деятельность, совпав с его внедрением, ссылаясь на GDPR как на бремя для их дальнейшей деятельности, особенно из-за бизнес-модели первой. [ 113 ] [ 114 ] [ 115 ] Объем размещений онлайн- поведенческой рекламы в Европе 25 мая 2018 года упал на 25–40%. [ 116 ] [ 117 ]

В 2020 году, через два года после начала реализации GDPR, Европейская комиссия подсчитала, что пользователи по всему ЕС расширили свои знания о своих правах, заявив, что «69% населения ЕС старше 16 лет слышали о GDPR. и 71% людей слышали о своем национальном органе по защите данных». [ 118 ] [ 119 ] Комиссия также установила, что конфиденциальность стала конкурентным качеством для компаний, которое потребители принимают во внимание в процессе принятия решений. [ 118 ]

Правоприменение и непоследовательность

[ редактировать ]
Основная статья: Штрафы и уведомления GDPR

Facebook и дочерние компании WhatsApp и Instagram , а также Google LLC (таргетирующая Android ) были немедленно привлечены к ответственности со стороны Макса Шремса некоммерческой организации NOYB всего через несколько часов после полуночи 25 мая 2018 года за использование «принудительного согласия». Шремс утверждает, что обе компании нарушили статью 7(4), не предоставив согласие на обработку данных на индивидуальной основе и потребовав от пользователей согласия на все действия по обработке данных (включая те, которые не являются строго необходимыми), иначе им будет запрещено использовать услуги. [ 120 ] [ 121 ] [ 122 ] [ 123 ] [ 124 ] 21 января 2019 года Google была оштрафована французским DPA на 50 миллионов евро за демонстрацию недостаточного контроля, согласия и прозрачности при использовании личных данных для поведенческой рекламы. [ 125 ] [ 126 ] В ноябре 2018 года, после журналистского расследования в отношении Ливиу Драгня , румынское DPA (ANSPDCP) использовало запрос GDPR, чтобы запросить информацию об источниках проекта RISE . [ 127 ] [ 128 ]

В июле 2019 года Управление комиссара по информации Великобритании опубликовало намерение оштрафовать British Airways на рекордные 183 миллиона фунтов стерлингов (1,5% от оборота) за плохие меры безопасности, которые позволили провести в 2018 году веб-скимминг- атаку, затронувшую около 380 000 транзакций. [ 129 ] [ 130 ] [ 131 ] [ 132 ] [ 133 ] В конечном итоге British Airways была оштрафована на уменьшенную сумму в 20 миллионов фунтов стерлингов, при этом в ICO отметили, что они «учли ​​как заявления BA, так и экономическое влияние COVID-19 на их бизнес, прежде чем назначить окончательный штраф». [ 134 ]

В декабре 2019 года издание Politico сообщило, что Ирландия и Люксембург — две небольшие страны ЕС, имеющие репутацию налоговых убежищ и (особенно в случае с Ирландией) базы для европейских дочерних компаний крупных технологических компаний США — столкнулись со значительными отставаниями в свои расследования в отношении крупных иностранных компаний в соответствии с GDPR, причем Ирландия в качестве одного из факторов назвала сложность регулирования. Критики, опрошенные Politico, также утверждали, что правоприменению также мешают различные толкования между государствами-членами, приоритезация руководства над правоприменением со стороны некоторых органов власти и отсутствие сотрудничества между государствами-членами. [ 135 ]

В ноябре 2021 года Ирландский совет по гражданским свободам подал официальную жалобу в Комиссию о том, что она нарушает свои обязательства в соответствии с законодательством ЕС по тщательному мониторингу того, как Ирландия применяет GDPR. [ 136 ] До января 2023 года Комиссия опубликовала новое обязательство на основании жалобы ICCL. [ 136 ]

Хотя компании теперь несут юридические обязательства, все еще существуют различные несоответствия в практической и технической реализации GDPR. [ 137 ] Например, в соответствии с правом доступа GDPR компании обязаны предоставлять субъектам данных данные, которые они о них собирают. Однако в исследовании карт лояльности в Германии компании не предоставили субъектам данных точную информацию о приобретенных товарах. [ 138 ] Можно возразить, что такие компании не собирают информацию о приобретаемых товарах, что не соответствует их бизнес-моделям. Таким образом, субъекты данных склонны рассматривать это как нарушение GDPR. В результате исследования показали, что контроль со стороны властей должен быть усилен. [ 138 ]

конечных пользователей Согласно GDPR, согласие должно быть действительным, предоставленным свободно, конкретным, информированным и активным. [ 139 ] Однако отсутствие исполнительной силы в отношении получения законных согласий было проблемой. Например, исследование 2020 года показало, что крупные технологические компании , то есть Google , Amazon , Facebook , Apple и Microsoft (GAFAM), используют темные шаблоны в своих механизмах получения согласия, что вызывает сомнения относительно законности полученного согласия. [ 139 ]

Сообщалось, что в марте 2021 года государства-члены ЕС во главе с Францией пытаются изменить влияние регулирования конфиденциальности в Европе, освободив от него органы национальной безопасности. [ 140 ]

После того, как в 2020 году были наложены штрафы GDPR на сумму около 160 миллионов евро, в 2021 году эта цифра уже превысила один миллиард евро. [ 141 ]

Влияние на зарубежные законы

[ редактировать ]

Массовое принятие этих новых стандартов конфиденциальности транснациональными компаниями было приведено в качестве примера « брюссельского эффекта » - явления, при котором европейские законы и правила используются в качестве основы из-за их серьезности. [ 142 ]

Американский штат Калифорния принял Калифорнийский закон о конфиденциальности потребителей 28 июня 2018 года, который вступит в силу 1 января 2020 года; он предоставляет права на прозрачность и контроль над сбором личной информации компаниями аналогично GDPR. Критики утверждают, что такие законы должны быть реализованы на федеральном уровне, чтобы быть эффективными, поскольку сборник законов на уровне штата будет иметь разные стандарты, которые усложнят соблюдение. [ 143 ] [ 144 ] [ 145 ] Два других штата США с тех пор приняли аналогичное законодательство: Вирджиния приняла Закон о конфиденциальности потребительских данных 2 марта 2021 года, [ 146 ] и Колорадо приняли Закон Колорадо о конфиденциальности 8 июля 2021 года. [ 147 ]

, Турецкая Республика кандидат на членство в Европейском Союзе , приняла Закон о защите персональных данных 24 марта 2016 года в соответствии с законодательством ЕС . [ 148 ]

Закон Китая о защите личной информации 2021 года — это первый всеобъемлющий закон страны о правах на персональные данные, созданный по образцу GDPR. [ 149 ] : 131 

Швейцария также примет новый закон о защите данных, который во многом соответствует GDPR ЕС. [ 150 ]

Просмотры веб-сайта и доход

[ редактировать ]

Исследование 2024 года показало, что GDPR снизил как количество просмотров страниц веб-сайтов пользователей из ЕС, так и доход веб-сайта на 12%. [ 151 ]

Хронология

[ редактировать ]

Единый цифровой рынок ЕС

[ редактировать ]

ЕС Стратегия единого цифрового рынка связана с деятельностью « цифровой экономики », связанной с бизнесом и людьми в ЕС. [ 159 ] В рамках стратегии GDPR и Директива NIS применяются с 25 мая 2018 года. Предлагаемый Регламент электронной конфиденциальности также планировалось применить с 25 мая 2018 года, но его действие будет отложено на несколько месяцев. [ 160 ] Регламент eIDAS также является частью стратегии.

В первоначальной оценке Европейский совет заявил, что GDPR следует рассматривать «предпосылкой для разработки будущих инициатив в области цифровой политики». [ 161 ]

См. также

[ редактировать ]

Похожие законы о конфиденциальности в других странах:

Соответствующее регулирование ЕС:

Связанные понятия:

Тактика соблюдения требований некоторыми компаниями:

Сноски

[ редактировать ]
  1. ^ Совместный контроль возникает, «когда два или более контролеров совместно определяют цели и средства обработки» данных. Они обязаны согласовать свои соответствующие обязанности «прозрачным» образом и донести «суть договоренности» до субъектов данных. [ 6 ] : Статья 26
  2. ^ См. статью   4 (18) GDPR: «предприятие» означает физическое или юридическое лицо, занимающееся экономической деятельностью, независимо от его правовой формы, включая партнерства или ассоциации, регулярно занимающиеся экономической деятельностью. [ 7 ]

Ссылки

[ редактировать ]
  1. ^ «Президент Совета: Компромиссный текст. Несколько частичных общих подходов сыграли важную роль в сближении взглядов в Совете по предложению об Общем регламенте защиты данных в целом. Текст Регламента, который Президентство представляет на утверждение в качестве общего подхода появляется в приложении», 201 страница, 11 июня 2015 г., PDF» . Архивировано из оригинала 25 декабря 2015 года . Проверено 30 декабря 2015 г.
  2. ^ «Великобритания GDPR» . Офис комиссара по информации ico . 28 июня 2021 г. Проверено 3 мая 2024 г.
  3. ^ Франческа Лукарини, «Различия между Калифорнийским Законом о конфиденциальности потребителей и GDPR». Архивировано 12 июля 2020 г. на Wayback Machine , консультант.
  4. ^ Статья 3(2) : Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или обработчиком, не зарегистрированным в Союзе, если деятельность по обработке связана с: (a) предложение товаров или услуг, независимо от того, требуется ли оплата от субъекта данных, таким субъектам данных в Союзе; или (b) мониторинг их поведения в пределах Союза.
  5. ^ «Что такое персональные данные?» . Январь 2021 г. Архивировано из оригинала 24 июля 2019 г. Проверено 22 июля 2019 г.
  6. ^ Перейти обратно: а б с «ЕВР-Лекс – 32016R0679 – RU – ЕВРО-Лекс» . eur-lex.europa.eu . Архивировано из оригинала 17 марта 2018 года . Проверено 21 марта 2018 г.
  7. ^ Перейти обратно: а б с д и ж г час я дж к л м «РЕГЛАМЕНТ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА ( статья 30 . Архивировано из оригинала 28 июня 2017 года . Проверено 7 июня 2017 г. Текст был скопирован из этого источника, который доступен по международной лицензии Creative Commons Attribution 4.0. Архивировано 16 октября 2017 г. на Wayback Machine .
  8. ^ «Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или преследования уголовные преступления или исполнение уголовных наказаний, а также о свободном перемещении таких данных и об отмене Рамочного решения Совета 2008/977/JHA» . 4 мая 2016 г.
  9. ^ Предлагаемый Общий регламент ЕС по защите данных. Руководство для штатных юристов, Hunton & Williams LLP, июнь 2015 г., с. 14
  10. ^ Перейти обратно: а б «Защита данных» (PDF) . Европейская комиссия – Европейская комиссия . Архивировано (PDF) из оригинала 3 декабря 2012 года . Проверено 3 января 2013 г.
  11. ^ Перейти обратно: а б «ЕВР-Лекс – 32016R0679 – RU – ЕВРО-Лекс» . eur-lex.europa.eu . Архивировано из оригинала 6 ноября 2017 года . Проверено 7 ноября 2017 г. .
  12. ^ "newsmyynews" . Архивировано из оригинала 22 октября 2020 года . Проверено 21 октября 2020 г.
  13. ^ «Общее_Регулирование_Защиты_Данных» . Архивировано из оригинала 22 октября 2020 года . Проверено 21 октября 2020 г.
  14. ^ «Возраст согласия в GDPR: обновленное сопоставление» . iapp.org . Архивировано из оригинала 27 мая 2018 года . Проверено 26 мая 2018 г.
  15. ^ «Как предлагаемые правила ЕС о защите данных создают волновой эффект во всем мире». Архивировано 17 февраля 2021 года в Wayback Machine . Джуди Шмитт, Флориан Шталь. 11 октября 2012 г. Проверено 3 января 2013 г.
  16. ^ Перейти обратно: а б Херн, Алекс (21 мая 2018 г.). «Большинство электронных писем GDPR не нужны, а некоторые незаконны, говорят эксперты» . Хранитель . Архивировано из оригинала 28 мая 2018 года . Проверено 28 мая 2018 г.
  17. ^ Камлейтнер, Бернадетт; Митчелл, Винс (1 октября 2019 г.). «Ваши данные — мои данные: основа борьбы с взаимозависимыми нарушениями конфиденциальности» . Журнал государственной политики и маркетинга . 38 (4): 433–450. дои : 10.1177/0743915619858924 . ISSN   0743-9156 . S2CID   201343307 .
  18. ^ Перейти обратно: а б с «Официальный журнал Л 119/2016» . eur-lex.europa.eu . Архивировано из оригинала 22 ноября 2018 года . Проверено 26 мая 2018 г.
  19. ^ «Руководство по праву на переносимость данных в соответствии с Регламентом 2016/679» . Европейская комиссия. 2017. Архивировано из оригинала 29 июня 2017 года . Проверено 2 ноября 2023 г.
  20. ^ Вил, Майкл; Биннс, Рубен; Ауслос, Джеф (2018). «Когда защита данных по замыслу и права субъекта данных сталкиваются» . Международный закон о конфиденциальности данных . 8 (2): 105–123. дои : 10.1093/idpl/ipy002 .
  21. ^ Зейдервен Боргезиус, Фредерик Дж. (апрель 2016 г.). «Выделение людей без знания их имен – поведенческий таргетинг, псевдонимные данные и новые правила защиты данных». Обзор компьютерного права и безопасности . 32 (2): 256–271. дои : 10.1016/j.clsr.2015.12.013 . ISSN   0267-3649 .
  22. ^ Предложение по Общему регламенту ЕС по защите данных. Архивировано 3 декабря 2012 г. в Wayback Machine . Европейская комиссия. 25 января 2012 г. Проверено 3 января 2013 г.
  23. ^ Болдри, Тони ; Хайамс, Оливер (15 мая 2014 г.). «Право на забвение» . 1 Эссексский суд. Архивировано из оригинала 19 октября 2017 года . Проверено 1 июня 2014 г.
  24. ^ «Законодательная резолюция Европейского парламента от 12 марта 2014 года о предложении по постановлению Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Общий регламент по защите данных) " . Европейский парламент . Архивировано из оригинала 5 июня 2014 года . Проверено 1 июня 2014 г.
  25. ^ «Практическая конфиденциальность данных | Книги мыслителей» . Мыслительные работы . Проверено 25 августа 2023 г.
  26. ^ Перейти обратно: а б «Право на возражение» . ico.org.uk. ​30 августа 2019 года. Архивировано из оригинала 2 декабря 2019 года . Проверено 14 ноября 2019 г.
  27. ^ Сукман, Барри; Чарльз Морган; Адам Гольденберг (30 апреля 2021 г.). «Использование законов о конфиденциальности для регулирования автоматического принятия решений» . Барри Сукман . Архивировано из оригинала 24 мая 2021 года . Проверено 24 мая 2021 г.
  28. Решение Суда (Третьей палаты) от 4 мая 2023 г. UI против Österreichische Post AG. Запрос на предварительное решение Верховного суда. Дело C-300/21 , ECLI:EU:C:2023:370 : Ссылка на предварительное постановление – Защита физических лиц в отношении обработки персональных данных – Регламент (ЕС) 2016/679 – Статья 82(1) – Право на компенсацию ущерба, причиненного обработкой данных, нарушающей это правило - Условия, регулирующие право на компенсацию - Простого нарушения этого правила недостаточно - Необходимость возмещения ущерба, причиненного этим нарушением - Компенсация нематериального ущерба, возникшего в результате такой обработки - Несовместимость национальное правило, предусматривающее компенсацию такого ущерба при условии превышения порога серьезности - Правила определения ущерба национальными судами.
  29. ^ Почта Австрии (C-300/21), суб 54.
  30. ^ Мнение генерального адвоката Кампоса Санчеса-Бордоны, вынесенное 25 мая 2023 г. ZQ против Медицинской службы медицинского страхования Северного Рейна, корпорации публичного права. Дело C‑667/21 , ECLI:EU:C:2023:433 (предварительный текст)
  31. ^ «Уведомления о конфиденциальности в соответствии с Общим регламентом ЕС по защите данных» . ico.org.uk. ​19 января 2018 года. Архивировано из оригинала 23 мая 2018 года . Проверено 22 мая 2018 г.
  32. ^ «Какая информация должна быть предоставлена ​​лицам, чьи данные собираются?» . Европа (веб-портал). Архивировано из оригинала 23 мая 2018 года . Проверено 23 мая 2018 г.
  33. ^ «Конфиденциальность и защита данных задумана – ENISA» . Европа (веб-портал). Архивировано из оригинала 5 апреля 2017 года . Проверено 4 апреля 2017 г.
  34. ^ Наука о данных в соответствии с GDPR с псевдонимизацией в конвейере данных. Архивировано 18 апреля 2018 г. на Wayback Machine. Опубликовано Dativa, 17 апреля 2018 г.
  35. ^ Перейти обратно: а б Уэс, Мэтт (25 апреля 2017 г.). «Хотите соблюдать GDPR? Вот учебник по анонимизации и псевдонимизации» . ИАПП. Архивировано из оригинала 19 февраля 2018 года . Проверено 19 февраля 2018 г.
  36. ^ «Безопасность персональных данных | Европейский совет по защите данных» . www.edpb.europa.eu . Проверено 16 мая 2024 г.
  37. ^ «Защита данных по умолчанию и задумана» . ico.org.uk. ​1 июля 2023 г. Проверено 16 мая 2024 г.
  38. ^ «Как защитить свою конфиденциальность в Интернете» . онреп . 4 сентября 2023 г. Проверено 16 мая 2024 г.
  39. ^ «Что, если кто-то отзовет свое согласие? - Европейская комиссия» . Commission.europa.eu . Проверено 16 мая 2024 г.
  40. ^ «EUR-Lex – Статья 37» . eur-lex.europa.eu . Архивировано из оригинала 22 января 2017 года . Проверено 23 января 2017 г.
  41. ^ «Разъяснение запросов субъектов данных GDPR» . ТруВолт . Архивировано из оригинала 20 февраля 2019 года . Проверено 19 февраля 2019 г.
  42. ^ «Руководство для сотрудников по защите данных («DPO»)» . Архивировано из оригинала 29 июня 2017 года . Проверено 2 ноября 2023 г.
  43. ^ Янковски, Пайпер-Мередит (21 июня 2017 г.). «Охват GDPR: что поставлено на карту?» . Лексология . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  44. ^ Перейти обратно: а б "L_2016119EN.01000101.xml" . eur-lex.europa.eu . Архивировано из оригинала 10 ноября 2017 года . Проверено 28 августа 2016 г.
  45. ^ «Исключения» . ico.org.uk. ​20 июля 2020 года. Архивировано из оригинала 11 ноября 2020 года . Проверено 11 ноября 2020 г.
  46. ^ «Освобождение домашних хозяйств в GDPR» . Фенек Фарруджа Фиотт Юридические услуги . 22 мая 2020 г. Архивировано из оригинала 29 октября 2020 г. . Проверено 11 ноября 2020 г.
  47. ^ Веландер, Кэролайн (2016). « Экономическая деятельность»: критерии и значимость в области права внутреннего рынка ЕС, права конкуренции и права закупок» (PDF) . В Веландере, Кэролайн (ред.). Услуги общеэкономического значения как конституционная концепция права ЕС . Гаага, Нидерланды: TMC Asser Press. стр. 35–65. дои : 10.1007/978-94-6265-117-3_2 . ISBN  978-94-6265-116-6 . Архивировано (PDF) из оригинала 26 мая 2018 года . Проверено 23 мая 2018 г.
  48. ^ «(Дополнительные) территориальные рамки GDPR: право на забвение» . Фаскен.com . 28 ноября 2019 г. Архивировано из оригинала 21 февраля 2020 г. . Проверено 21 февраля 2020 г.
  49. ^ «Экстратерриториальная сфера действия GDPR: нужно ли соблюдать его компаниям за пределами ЕС?» . Американская ассоциация адвокатов. Архивировано из оригинала 21 февраля 2020 года . Проверено 21 февраля 2020 г.
  50. ^ Ст. 27(4) GDPR.
  51. ^ Ст. 27(1) GDPR.
  52. ^ Ст. 83(1), (2) и (4a) GDPR.
  53. ^ Ст. 27(2) GDPR.
  54. ^ Перейти обратно: а б с д «Великобритания: понимание полного влияния Брексита на Великобританию: потоки данных ЕС» . Конфиденциальность имеет значение . ДЛА Пайпер . 23 сентября 2019 г. Архивировано из оригинала 20 февраля 2020 г. Проверено 20 февраля 2020 г.
  55. ^ Перейти обратно: а б с Палмер, Дэнни. «Что касается защиты данных, Великобритания заявляет, что будет действовать в одиночку. Вероятно, этого не произойдет» . ЗДНет . Архивировано из оригинала 16 февраля 2020 года . Проверено 20 февраля 2020 г.
  56. ^ Доннелли, Конор (18 января 2018 г.). «Как передать данные в «третью страну» в соответствии с GDPR» . Блог по управлению ИТ Ru . Архивировано из оригинала 21 февраля 2020 года . Проверено 21 февраля 2020 г.
  57. ^ «Цифровые права после Брексита» . Ютуб . Группа «Открытые права» . 2 ноября 2022 года. Архивировано из оригинала 22 ноября 2022 года . Проверено 27 ноября 2022 г. Видео от Open Rights Group, разработанное как объяснение предложений Великобритании
  58. ^ «Новый закон о защите данных принят в Великобритании» . Out-Law.com . Архивировано из оригинала 25 мая 2018 года . Проверено 25 мая 2018 г.
  59. ^ Эшфорд, Уорик (24 мая 2018 г.). «Новый закон Великобритании о защите данных не всеми приветствуется» . Компьютерный еженедельник . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  60. ^ Портер, Джон (20 февраля 2020 г.). «После Брекзита Google передает США полномочия по управлению пользовательскими данными из Великобритании» . Грань . Архивировано из оригинала 20 февраля 2020 года . Проверено 20 февраля 2020 г.
  61. ^ «Люди до 18 лет сталкиваются с ограничениями по «подобию» и «полосам»» . Новости Би-би-си . 15 апреля 2019 года. Архивировано из оригинала 15 апреля 2019 года . Проверено 15 апреля 2019 г.
  62. ^ Гринфилд, Патрик (15 апреля 2019 г.). «Facebook настоятельно рекомендовал отключить функцию лайков для детей-пользователей» . Хранитель . ISSN   0261-3077 . Архивировано из оригинала 15 апреля 2019 года . Проверено 15 апреля 2019 г.
  63. ^ Афифи-Сабет, Кеумар (12 марта 2021 г.). «Великобритания стремится к отходу от GDPR, чтобы «стимулировать рост » . ЭТО ПРО . Архивировано из оригинала 13 марта 2021 года . Проверено 12 марта 2021 г.
  64. ^ «Разоблачение мифов о совместном использовании данных» . Управление комиссара по информации . 19 мая 2023 г. Проверено 19 октября 2023 г.
  65. ^ «Разоблачены девять главных мифов о GDPR» . Закон ВС . 22 января 2019 года . Проверено 19 октября 2023 г.
  66. ^ «Пять разрушителей мифов о GDPR» . Филд Фишер . 11 мая 2023 г. Проверено 19 октября 2023 г.
  67. ^ Статья 3 (2) GDPR.
  68. ^ Гуч, Питер (2018). «Новая эра конфиденциальности: GDPR спустя шесть месяцев» (PDF) . «Делойт», Великобритания . Архивировано (PDF) из оригинала 12 октября 2020 г. Проверено 26 ноября 2020 г.
  69. ^ «Как умные компании могут избежать штрафов GDPR при записи звонков» . xewave.io . Архивировано из оригинала 14 апреля 2018 года . Проверено 13 апреля 2018 г.
  70. ^ Бабель, Крис (11 июля 2017 г.). «Высокая цена соблюдения GDPR» . Информационная неделя . Технологическая группа УБМ. Архивировано из оригинала 5 октября 2017 года . Проверено 4 октября 2017 г.
  71. ^ «Подготовка к новым режимам конфиденциальности: взгляды специалистов по конфиденциальности на общие правила защиты данных и защиту конфиденциальности» (PDF) . Bakermckenzie.com . Бейкер и Маккензи. 4 мая 2016 г. Архивировано (PDF) из оригинала 31 августа 2018 г. . Проверено 4 октября 2017 г.
  72. ^ Георгиев, Георгий. «Калькулятор затрат на соблюдение GDPR» . GIGAcalculator.com . Архивировано из оригинала 16 мая 2018 года . Проверено 16 мая 2018 г.
  73. ^ Солон, Оливия (19 апреля 2018 г.). «Как европейский «революционный» закон о конфиденциальности влияет на Facebook и Google» . Хранитель . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  74. ^ «Новые европейские правила конфиденциальности не являются серебряной пулей» . Politico.eu . 22 апреля 2018 г. Архивировано из оригинала 26 мая 2018 г. . Проверено 25 мая 2018 г.
  75. ^ «Недостаток знаний GDPR — это и опасность, и возможность» . МикроскопВеликобритания . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  76. ^ Чон, Сара (22 мая 2018 г.). «Никто не готов к GDPR» . Грань . Архивировано из оригинала 28 мая 2018 года . Проверено 1 июня 2018 г.
  77. ^ Эдвардс, Элейн (22 февраля 2018 г.). «Новые правила защиты данных создают проблемы с соблюдением требований для компаний» . Ирландские Таймс . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  78. ^ Чассан, Готье (2017). «Влияние общего регламента ЕС по защите данных на научные исследования» . электрораковая медицинская наука . 11 : 709. дои : 10.3332/ecancer.2017.709 . ISSN   1754-6605 . ПМЦ   5243137 . ПМИД   28144283 .
  79. ^ Тархонен, Лаура (2017). «Псевдонимизация персональных данных в соответствии с Общим регламентом защиты данных» . Архивировано из оригинала 19 февраля 2018 года . Проверено 19 февраля 2018 г.
  80. ^ «Недавний отчет, опубликованный Ирландской ассоциацией блокчейнов, показал, что когда дело касается GDPR, возникает гораздо больше вопросов, чем ответов» . www.siliconrepublic.com . 23 ноября 2017 года. Архивировано из оригинала 5 марта 2018 года . Проверено 5 марта 2018 г.
  81. ^ Сэмпл, Ян (27 января 2017 г.). «Наблюдающему за искусственным интеллектом необходимо регулировать автоматизированное принятие решений, говорят эксперты» . Хранитель . ISSN   0261-3077 . Архивировано из оригинала 18 июня 2017 года . Проверено 15 июля 2017 г.
  82. ^ «Право ЕС на объяснение: вредное ограничение искусственного интеллекта» . techzone360.com . Архивировано из оригинала 4 августа 2017 года . Проверено 15 июля 2017 г.
  83. ^ Вахтер, Сандра; Миттельштадт, Брент; Флориди, Лучано (28 декабря 2016 г.). «Почему право на объяснение автоматизированного принятия решений не существует в Общем регламенте защиты данных». Международный закон о конфиденциальности данных . ССНН   2903469 .
  84. ^ Эдвардс, Лилиан; Вил, Майкл (2017). «Раб алгоритма? Почему «право на объяснение», вероятно, не то средство, которое вы ищете» . Обзор права и технологий герцога . дои : 10.2139/ssrn.2972855 . ССНН   2972855 .
  85. ^ Фримин, Михаил (29 марта 2018 г.). «Пять преимуществ соблюдения GDPR для вашего бизнеса» . Форбс . Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  86. ^ Баттерворт, Тревор (23 мая 2018 г.). «Новый жесткий европейский закон о цифровой конфиденциальности должен стать образцом для политиков США» . Вокс. Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  87. ^ Джаффе, Джастин; Хаутала, Лаура (25 мая 2018 г.). «Что означает GDPR для Facebook, ЕС и вас» . CNET . Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  88. ^ «Призыв генерального директора Facebook Цукерберга к принятию законов о конфиденциальности GDPR вызывает вопросы» . www.cnbc.com . Апрель 2019. Архивировано из оригинала 4 апреля 2019 года . Проверено 8 апреля 2019 г.
  89. ^ Тику, Ниташа (19 марта 2018 г.). «Новый европейский закон о конфиденциальности изменит Интернет и многое другое» . Проводной . Архивировано из оригинала 15 октября 2018 года . Проверено 11 сентября 2018 г.
  90. ^ Калянпур, Нихил; Ньюман, Авраам (25 мая 2018 г.). «Сегодня новый закон ЕС меняет права на неприкосновенность частной жизни для каждого. Без Эдварда Сноудена этого могло бы никогда не случиться» . Вашингтон Пост . Архивировано из оригинала 11 октября 2018 года . Проверено 11 сентября 2018 г.
  91. ^ Столлман, Ричард (3 апреля 2018 г.). «Радикальное предложение по обеспечению безопасности ваших личных данных» . Хранитель . Архивировано из оригинала 12 сентября 2018 года . Проверено 11 сентября 2018 г.
  92. ^ Хуфнэгл, Крис Джей; ван дер Слоот, Барт; Боргезиус, Фредерик Зейдервен (10 февраля 2019 г.). «Общие правила защиты данных Европейского Союза: что это такое и что это значит» . Закон об информационных и коммуникационных технологиях . 28 (1): 65–98. дои : 10.1080/13600834.2019.1573501 . hdl : 2066/204503 .
  93. ^ Афифи-Сабет, Кеумарс (3 мая 2018 г.). «Мошенники используют электронные оповещения GDPR для проведения фишинговых атак» . ЭТО ПРО . Архивировано из оригинала 26 мая 2018 года . Проверено 25 мая 2018 г.
  94. ^ «Сайты правительства ЕС и общественного здравоохранения ужасно переполнены рекламными технологиями, как показывает исследование» . ТехКранч . 18 марта 2019 г. Архивировано из оригинала 10 апреля 2021 г. Проверено 18 марта 2019 г.
  95. ^ «Граждан ЕС отслеживают на секретных правительственных сайтах» . Файнэншл Таймс . 18 марта 2019 г. Архивировано из оригинала 19 марта 2019 г. . Проверено 18 марта 2019 г.
  96. ^ «Засыпайте за считанные секунды, слушая успокаивающий голос, читающий новое законодательство ЕС о GDPR» . Грань . Архивировано из оригинала 17 июня 2018 года . Проверено 16 июня 2018 г.
  97. ^ «Как европейские правила GDPR стали мемом» . Проводной . Архивировано из оригинала 18 июня 2018 года . Проверено 17 июня 2018 г.
  98. ^ «Интернет создал мем, вдохновленный GDPR, используя политику конфиденциальности» . Рекламная неделя . Архивировано из оригинала 17 июня 2018 года . Проверено 17 июня 2018 г.
  99. ^ Берджесс, Мэтт. «Помогите, у меня перегорели лампочки! Как GDPR стал больше, чем Бейонсе» . Wired.co.uk . Архивировано из оригинала 19 июня 2018 года . Проверено 17 июня 2018 г.
  100. ^ «Вот некоторые из худших попыток соблюдения GDPR» . Материнская плата . 25 мая 2018 г. Архивировано из оригинала 18 июня 2018 г. . Проверено 17 июня 2018 г.
  101. ^ «Какой процент уязвимостей вашего программного обеспечения имеет последствия GDPR?» (PDF) . ХакерУан. 16 января 2018 г. Архивировано (PDF) из оригинала 6 июля 2018 г. . Проверено 6 июля 2018 г.
  102. ^ «Уполномоченный по защите данных (DPO): все, что вам нужно знать» . Cranium и HackerOne. 20 марта 2018 г. Архивировано из оригинала 31 августа 2018 г. Проверено 6 июля 2018 г.
  103. ^ «Как могут выглядеть программы вознаграждения за обнаружение ошибок в соответствии с GDPR?» . Международная ассоциация специалистов по конфиденциальности (IAPP). 27 марта 2018 г. Архивировано из оригинала 6 июля 2018 г. Проверено 6 июля 2018 г.
  104. ^ Момен, Н.; Хатамян, М.; Фрич, Л. (ноябрь 2019 г.). «Улучшилась ли конфиденциальность приложений после GDPR?» . Безопасность IEEE Конфиденциальность . 17 (6): 10–20. дои : 10.1109/MSEC.2019.2938445 . ISSN   1558-4046 . S2CID   203699369 .
  105. ^ Хатамян, Маджид; Момен, Нурул; Фрич, Лотар; Ранненберг, Кай (2019), Нальди, Маурицио; Итальяно, Джузеппе Ф.; Ранненберг, Кай; Медина, Манель (ред.), «Многосторонний метод анализа влияния на конфиденциальность для приложений Android» , Технологии и политика конфиденциальности , Конспекты лекций по информатике, том. 11498, Springer International Publishing, стр. 87–106, номер номера : 10.1007/978-3-030-21752-5_7 , ISBN.  978-3-030-21751-8 , S2CID   184483219 , заархивировано из оригинала 12 июля 2020 г. , получено 3 июня 2020 г.
  106. ^ Моен, Гро Метте, Айло Крог Равна и Финн Мирстад. «Обманутый замыслом: как технологические компании используют темные шаблоны, чтобы отговорить нас от реализации наших прав на конфиденциальность». Архивировано 20 декабря 2019 года на Wayback Machine . 2018. Отчет Норвежского совета потребителей.
  107. ^ «Instapaper временно закрывает доступ европейским пользователям из-за GDPR» . Грань . Архивировано из оригинала 24 мая 2018 года . Проверено 24 мая 2018 г.
  108. ^ «Unroll.me закрывается от пользователей из ЕС, заявляющих, что он не соответствует GDPR» . ТехКранч . 5 мая 2018 г. Архивировано из оригинала 30 мая 2018 г. . Проверено 29 мая 2018 г.
  109. ^ Херн, Алекс; Уотерсон, Джим (24 мая 2018 г.). «Сайты блокируют пользователей, прекращают деятельность и наводняют почтовые ящики, поскольку надвигаются правила GDPR» . Хранитель . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  110. ^ «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы» . Bloomberg LP, 25 мая 2018 г. Архивировано из оригинала 25 мая 2018 г. . Проверено 26 мая 2018 г.
  111. ^ «Новостные агентства США блокируют европейских читателей из-за новых правил конфиденциальности» . Нью-Йорк Таймс . 25 мая 2018 г. ISSN   0362-4331 . Архивировано из оригинала 26 мая 2018 года . Проверено 26 мая 2018 г.
  112. ^ «Смотрите: вот что видят граждане ЕС теперь, когда вступил в силу GDPR» . Рекламный век . Архивировано из оригинала 25 мая 2018 года . Проверено 26 мая 2018 г.
  113. ^ Тику, Ниташа (24 мая 2018 г.). «Почему ваш почтовый ящик забит политиками конфиденциальности» . Проводной . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  114. ^ Чен, Брайан X. (23 мая 2018 г.). «Получаете поток обновлений политики конфиденциальности, связанных с GDPR? Прочтите их» . Нью-Йорк Таймс . ISSN   0362-4331 . Архивировано из оригинала 24 мая 2018 года . Проверено 25 мая 2018 г.
  115. ^ Ланксон, Нейт (25 мая 2018 г.). «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы» . Блумберг . Архивировано из оригинала 25 мая 2018 года . Проверено 25 мая 2018 г.
  116. ^ «Погром GDPR: объем продаж программной рекламы в Европе резко упал» . Дигидей . 25 мая 2018 г. Архивировано из оригинала 25 мая 2018 г. Проверено 26 мая 2018 г.
  117. ^ Скиера, Бернд; Миллер, Клаус Матиас; Джин, Юси; Крафт, Леннарт; Лауб, Рене; Шмитт, Юлия (5 июля 2022 г.). Влияние GDPR на рынок онлайн-рекламы . Франкфурт-на-Майне: Бернд Скиера. ISBN  978-3-9824173-0-1 . OCLC   1322186902 .
  118. ^ Перейти обратно: а б «Пресс-уголок» . Европейская Комиссия - Европейская Комиссия . Архивировано из оригинала 27 декабря 2020 года . Проверено 18 сентября 2020 г.
  119. ^ «Ваши права имеют значение: защита данных и конфиденциальность – Исследование фундаментальных прав» . Агентство Европейского Союза по основным правам . 12 июня 2020 года. Архивировано из оригинала 25 сентября 2020 года . Проверено 18 сентября 2020 г.
  120. ^ «GDPR: noyb.eu подал четыре жалобы по поводу «принудительного согласия» против Google, Instagram, WhatsApp и Facebook» (PDF) . НОЙБ.eu. 25 мая 2018 г. Архивировано из оригинала (PDF) 25 мая 2018 г. . Проверено 26 мая 2018 г.
  121. ^ «Facebook и Google получили судебные иски на сумму 8,8 миллиарда долларов в первый день принятия GDPR» . Грань . Архивировано из оригинала 25 мая 2018 года . Проверено 26 мая 2018 г.
  122. ^ «Макс Шремс возбуждает первые дела по GDPR против Facebook и Google» . Ирландские Таймс . Архивировано из оригинала 25 мая 2018 года . Проверено 26 мая 2018 г.
  123. ^ «Facebook и Google столкнулись с первыми жалобами на GDPR по поводу «принудительного согласия» » . ТехКранч . 25 мая 2018 г. Архивировано из оригинала 26 мая 2018 г. . Проверено 26 мая 2018 г.
  124. ^ Мейер, Дэвид. «Google и Facebook получили серьезные жалобы на GDPR: скоро появятся и другие» . ЗДНет . Архивировано из оригинала 28 мая 2018 года . Проверено 26 мая 2018 г.
  125. ^ Фокс, Крис (21 января 2019 г.). «Google оштрафована на 44 миллиона фунтов стерлингов согласно GDPR» . Новости Би-би-си . Архивировано из оригинала 21 января 2019 года . Проверено 14 июня 2019 г.
  126. ^ Портер, Джон (21 января 2019 г.). «Google оштрафовали на 50 миллионов евро за нарушение GDPR во Франции» . Грань . Архивировано из оригинала 10 июня 2019 года . Проверено 14 июня 2019 г.
  127. ^ Масник, Майк (19 ноября 2018 г.). «Очередная катастрофа GDPR: журналистам приказали передать секретные источники в соответствии с Законом о защите данных» . Архивировано из оригинала 20 ноября 2018 года . Проверено 20 ноября 2018 г.
  128. ^ Бэлэйцы, Джордж (9 ноября 2018 г.). «Английский перевод письма Румынского органа по защите данных в проект RISE» . Проект по освещению организованной преступности и коррупции . Архивировано из оригинала 9 ноября 2018 года . Проверено 20 ноября 2018 г.
  129. ^ «Намерение оштрафовать British Airways на 183,39 миллиона фунтов стерлингов в соответствии с GDPR за утечку данных» . ICO . 8 июля 2019 года. Архивировано из оригинала 6 декабря 2020 года . Проверено 22 декабря 2020 г.
  130. ^ Уиттакер, Зак (11 сентября 2018 г.). «Нарушение в British Airways вызвано вредоносным ПО для скимминга кредитных карт, говорят исследователи» . ТехКранч . Архивировано из оригинала 10 декабря 2018 года . Проверено 9 декабря 2018 г.
  131. ^ «Руководитель British Airways приносит извинения за «злонамеренную» утечку данных» . Новости Би-би-си . 7 сентября 2018 г. Архивировано из оригинала 15 октября 2018 г. Проверено 7 сентября 2018 г.
  132. ^ Суини, Марк (8 июля 2019 г.). «BA грозит штраф в размере 183 миллионов фунтов стерлингов за утечку данных о пассажирах» . Хранитель . ISSN   0261-3077 . Архивировано из оригинала 8 июля 2019 года . Проверено 8 июля 2019 г.
  133. ^ «British Airways грозит рекордный штраф в размере 183 миллионов фунтов стерлингов за утечку данных» . Новости Би-би-си . 8 июля 2019 года. Архивировано из оригинала 8 июля 2019 года . Проверено 8 июля 2019 г.
  134. ^ «ICO оштрафовала British Airways на 20 миллионов фунтов стерлингов за утечку данных, затронувшую более 400 000 клиентов» . ICO . 16 октября 2020 г. Архивировано из оригинала 16 октября 2020 г. . Проверено 22 декабря 2020 г.
  135. ^ Винокур, Николай (27 декабря 2019 г.). « У нас огромная проблема»: европейский регулятор в отчаянии из-за отсутствия правоприменения» . Политик . Архивировано из оригинала 28 декабря 2019 года . Проверено 6 мая 2020 г.
  136. ^ Перейти обратно: а б Райан, Джонни (31 января 2023 г.). «Общеевропейский пересмотр системы мониторинга GDPR, инициированный ICCL» . Ирландский совет гражданских свобод . Архивировано из оригинала 6 апреля 2023 года . Проверено 8 апреля 2023 г.
  137. ^ Ализаде, Фатима; Якоби, Тимо; Болдт, Йенс; Стивенс, Гуннар (2019). «GDPR-Проверка реальности права на доступ к данным». Труды Mensch und Computer 2019 . Нью-Йорк: ACM Press. стр. 811–814. дои : 10.1145/3340764.3344913 . ISBN  978-1-4503-7198-8 . S2CID   202159324 .
  138. ^ Перейти обратно: а б Ализаде, Фатима; Якоби, Тимо; Боден, Александр; Стивенс, Гуннар; Болдт, Йенс (2020). «Проверка реальности GDPR: получение и расследование персональных данных от компаний» (PDF) . ЕвроУСЭК . Архивировано (PDF) из оригинала 17 июня 2020 г. Проверено 17 июня 2020 г.
  139. ^ Перейти обратно: а б Человек, Сохейл; Чех, Флориан (2021). «Человекоориентированный взгляд на цифровое согласие: пример GAFAM» (PDF) . Циммерманн, Альфред; Хоулетт, Роберт Дж.; Джайн, Лахми К. (ред.). Человекоцентрированные интеллектуальные системы . Умные инновации, системы и технологии. Том. 189. Сингапур: Спрингер. стр. 139–159. дои : 10.1007/978-981-15-5784-2_12 . ISBN  978-981-15-5784-2 . S2CID   214699040 . Архивировано (PDF) из оригинала 14 апреля 2021 года . Проверено 23 августа 2020 г. .
  140. ^ Кристакис и Пропп, Теодор и Кеннет (8 марта 2021 г.). «Как европейские спецслужбы стремятся избежать Высшего суда ЕС — и что это значит для Соединенных Штатов» . Законность . Архивировано из оригинала 23 сентября 2023 года . Проверено 13 марта 2021 г.
  141. ^ Браун, Райан (18 января 2022 г.). «Штрафы за нарушение закона ЕС о конфиденциальности выросли в семь раз и достигли 1,2 миллиарда долларов, поскольку основной удар приходится на крупные технологические компании» . CNBC . Архивировано из оригинала 9 февраля 2022 года . Проверено 9 февраля 2022 г.
  142. ^ Робертс, Джефф Джон (25 мая 2018 г.). «GDPR в силе: стоит ли бояться американским компаниям?» . Архивировано из оригинала 28 мая 2018 года . Проверено 28 мая 2018 г.
  143. ^ «Комментарий: Новый закон Калифорнии о конфиденциальности данных может стать регуляторной катастрофой» . Удача . Архивировано из оригинала 10 апреля 2019 года . Проверено 10 апреля 2019 г.
  144. ^ «Калифорния единогласно приняла закон об исторической конфиденциальности» . Проводной . Архивировано из оригинала 29 июня 2018 года . Проверено 29 июня 2018 г.
  145. ^ «Маркетологи и технологические компании противостоят калифорнийской версии GDPR» . Архивировано из оригинала 29 июня 2018 года . Проверено 29 июня 2018 г.
  146. ^ «Вирджиния принимает Закон о защите данных потребителей» . Международная ассоциация специалистов по конфиденциальности . 3 марта 2021 года. Архивировано из оригинала 30 августа 2021 года . Проверено 26 августа 2021 г.
  147. ^ «Закон штата Колорадо о конфиденциальности становится законом» . Международная ассоциация специалистов по конфиденциальности . 8 июля 2021 года. Архивировано из оригинала 26 августа 2021 года . Проверено 26 августа 2021 г.
  148. ^ «ОРГАН ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ | КВКК | История» . www.kvkk.gov.tr. ​Проверено 19 декабря 2020 г.
  149. ^ Чжан, Анджела Хуюэ (2024). High Wire: как Китай регулирует крупные технологические отрасли и управляет своей экономикой . Издательство Оксфордского университета . ISBN  9780197682258 .
  150. ^ Портал МСП «Новый Федеральный закон о защите данных (nFADP)» . www.kmu.admin.ch . Архивировано из оригинала 25 марта 2023 года . Проверено 25 марта 2023 г.
  151. ^ Гольдберг, Сэмюэл Г.; Джонсон, Гаррет А.; Шрайвер, Скотт К. (2024). «Регулирование конфиденциальности в Интернете: экономическая оценка GDPR» . Американский экономический журнал: Экономическая политика . 16 (1): 325–358. дои : 10.1257/pol.20210309 . ISSN   1945-7731 .
  152. ^ «Реформа защиты данных: Совет принял позицию в первом чтении – Консилиум» . Европа (веб-портал). Архивировано из оригинала 6 октября 2017 года . Проверено 14 апреля 2016 г.
  153. Принятие позиции Совета в первом чтении. Архивировано 25 ноября 2017 г. на Wayback Machine , Votewatch.eu.
  154. Письменная процедура. Архивировано 1 декабря 2017 г. в Wayback Machine , 8 апреля 2016 г., Совет Европейского Союза.
  155. ^ «Реформа защиты данных – Парламент утверждает новые правила, подходящие для цифровой эпохи – Новости – Европейский Парламент» . 14 апреля 2016 года. Архивировано из оригинала 17 апреля 2016 года . Проверено 14 апреля 2016 г.
  156. ^ «История Общего регулирования защиты данных | Европейский инспектор по защите данных» . edps.europa.eu . 25 мая 2018 года . Проверено 2 февраля 2024 г.
  157. ^ «Общий регламент по защите данных (GDPR) вступил в силу в ЕЭЗ» . ЕАСТ . 20 июля 2018 г. Архивировано из оригинала 1 октября 2018 г. Проверено 30 сентября 2018 г.
  158. ^ Кольсруд, Кьетил (10 июля 2018 г.). «GDPR – 20 июля – дата!» . Верно24 . Архивировано из оригинала 13 июля 2018 года . Проверено 13 июля 2018 г.
  159. ^ «Единый цифровой рынок» . Единый цифровой рынок . Архивировано из оригинала 8 октября 2017 года . Проверено 5 октября 2017 г.
  160. ^ «Что означает Положение об электронной конфиденциальности для онлайн-индустрии? – ePrivacy» . www.eprivacy.eu . Архивировано из оригинала 22 мая 2018 года . Проверено 26 мая 2018 г.
  161. ^ «Позиция и выводы Совета по применению Общего регламента защиты данных (GDPR), 19 декабря 2019 г.» . Консилиум . Архивировано из оригинала 23 декабря 2019 года . Проверено 23 декабря 2019 г.
[ редактировать ]
На Wikimedia Commons есть средства массовой информации, связанные с Общими правилами защиты данных .
Retrieved from "https://en.wikipedia.org/w/index.php?title=General_Data_Protection_Regulation&oldid=1238318796#Rights_of_the_data_subject"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 176513020b40d04a18c259a4a7b95088__1722662340
URL1:https://arc.ask3.ru/arc/aa/17/88/176513020b40d04a18c259a4a7b95088.html
Заголовок, (Title) документа по адресу, URL1:
General Data Protection Regulation - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)