Общие правила защиты данных - General Data Protection Regulation

(ЕВРОПА) 2016/679
ЗаголовокРегламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC (Директива о защите данных)
СделанЕвропейский парламент и Совет Европейского Союза
Журнал ссылкаL 100000, май 2016 г., стр. 1–88
История
Дата изготовления14 апреля 2016 г.
Дата внедрения25 мая 2018
Подготовительные тексты
Комиссия предложениеCOM / 2012/010, финал - 2012/0010 (COD)
Другое законодательство
ЗаменяетДиректива о защите данных
Действующее законодательство

В Общие правила защиты данных (ЕВРОПА) 2016/679 (GDPR) это регулирование в Закон ЕС на защита данных и конфиденциальность в Евросоюз (ЕС) и Европейская экономическая зона (ЕЭЗ). Это также касается передачи личные данные за пределами ЕС и ЕЭЗ. Основная цель GDPR - предоставить физическим лицам контроль над их личными данными и упростить нормативную среду для Международный бизнес путем унификации регулирования внутри ЕС.[1] Замена Директива о защите данных 95/46 / EC, регламент содержит положения и требования, касающиеся обработки личные данные физических лиц (формально субъекты данных в GDPR), которые расположены в ЕЭЗ, и применяется к любому предприятию - независимо от его местоположения и гражданства или проживания субъектов данных - которое обрабатывает личную информацию лиц внутри ЕЭЗ.

Контроллеры и обработчики персональных данных должны ввести соответствующие технические и организационные меры реализовать принципы защиты данных. Бизнес-процессы, которые обрабатывают персональные данные, должны быть разработаны и построены с учетом принципов и обеспечения мер безопасности для защиты данных (например, использование псевдонимизация или полный анонимизация где необходимо). Контроллеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, использование максимально возможных параметров конфиденциальности по умолчанию, чтобы наборы данных по умолчанию не были общедоступными и не могли использоваться для идентификации объекта. Никакие личные данные не могут обрабатываться, если эта обработка не выполняется в соответствии с одной из шести законных оснований, указанных в постановлении (согласие, контракт, общественная задача, жизненный интерес, законный интерес или юридическое требование). Если обработка основана на согласии, субъект данных имеет право отозвать его в любое время.

Контроллеры данных должны четко раскрывать любые сбор информации, объявить законную основу и цель обработки данных, а также указать, как долго данные хранятся и передаются ли они третьим сторонам или за пределами ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей в той степени, в которой извлекаются только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить портативный копия данных, собранных контролером в общем формате, и право на их данные удалены при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, обязаны использовать сотрудник по защите данных (DPO), который отвечает за соблюдение GDPR. Компании должны сообщать утечки данных в национальные надзорные органы в течение 72 часов, если они отрицательно сказываются на конфиденциальности пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, какая сумма больше.

GDPR был принят 14 апреля 2016 года и вступил в силу с 25 мая 2018 года. Поскольку GDPR является регулирование, а не директива, он имеет прямую обязательную силу и применим, но обеспечивает гибкость для некоторых аспектов регулирования, которые могут корректироваться отдельными государствами-членами.

Регламент стал образцом для многих национальных законов за пределами ЕС, включая Чили, Японию, Бразилию, Южную Корею, Аргентину и Кению. В Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR.[2]

Содержание

GDPR 2016 состоит из одиннадцати глав, касающихся общих положений, принципов, прав субъекта данных, обязанностей контроллеров или обработчиков данных, передачи персональных данных в третьи страны, надзорных органов, сотрудничества между государствами-членами, средств правовой защиты, ответственности или штрафов за нарушение права и прочие заключительные положения.[3]

Основные положения

Регламент применяется, если контроллер данных (организация, собирающая данные от резидентов ЕС) или обработчик (организация, которая обрабатывает данные от имени контроллера данных, например поставщики облачных услуг ), или субъект данных (лицо) находится в ЕС. При определенных обстоятельствах[4] Регламент также применяется к организациям, находящимся за пределами ЕС, если они собирают или обрабатывают личные данные лиц, находящихся на территории ЕС. Регламент не распространяется на обработку данных лицом для «чисто личной или бытовой деятельности и, следовательно, без связи с профессиональной или коммерческой деятельностью». (Сольный концерт 18)

Согласно Европейская комиссия, "Персональные данные - это информация, которая относится к идентифицированному или идентифицируемому лицу. Если вы не можете напрямую идентифицировать лицо на основе этой информации, вам необходимо решить, можно ли его по-прежнему идентифицировать. Вы должны принять во внимание информацию, которую вы обрабатываете вместе с все средства, которые с большой вероятностью могут быть использованы вами или любым другим лицом для установления личности этого человека ".[5] Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контролер» и «обработчик» приведены в Статья 4 Положения.[6]

Регламент не претендует на применение к обработке персональных данных в целях национальной безопасности или правоохранительных органов ЕС; однако отраслевые группы, обеспокоенные потенциальным конфликтом законов, задаются вопросом, Статья 48.[6] Общего регламента по защите данных (GDPR) можно было бы использовать для предотвращения того, чтобы контролер данных, подчиняющийся законам третьей страны, выполнял законный приказ правоохранительных, судебных органов или органов национальной безопасности этой страны о раскрытии таким органам персональных данных лица из ЕС, независимо от того, находятся ли данные в ЕС или за его пределами. Статья 48. заявляет, что любое решение суда или трибунал и любое решение административного органа третьей страны, требующее от контролера или обработчика передачи или раскрытия личных данных, не может быть признано или обеспечено исковой силой каким-либо образом, кроме случаев, когда оно основано на международном соглашении, например договор о взаимной правовой помощи в силе между запрашивающей третьей страной (не входящей в ЕС) и ЕС или государством-членом.[7] Пакет реформы защиты данных также включает отдельную Директиву о защите данных для полиции и сектора уголовного правосудия.[8] который устанавливает правила обмена личными данными на национальном, европейском и международном уровнях.

Единый свод правил применяется ко всем странам-членам ЕС. Каждое государство-член создает независимый надзорный орган (SA) для рассмотрения и расследования жалоб, наказания административных правонарушений и т. Д. SA в каждом государстве-члене сотрудничают с другими SA, оказывая взаимопомощь и организовывая совместные операции. Если у компании есть несколько заведений в ЕС, у нее должен быть один SA в качестве «ведущего органа», исходя из местоположения его «основного предприятия», где осуществляется основная деятельность по обработке. Таким образом, ведущий орган действует как "универсальный магазин "контролировать все процессы обработки этого бизнеса на всей территории ЕС[9][10] (Статьи 46–55 GDPR). А Европейский совет по защите данных (EDPB) координирует SA. Таким образом, EDPB заменяет Статья 29. Рабочая группа по защите данных. Существуют исключения для данных, обрабатываемых в контексте занятости или в целях национальной безопасности, которые по-прежнему могут регулироваться законодательством отдельных стран (Статьи 2 (2) (а) и 88 GDPR).

Принципы

Если субъект данных не предоставил информированное согласие на обработку данных для одной или нескольких целей, персональные данные не могут быть обработаны, если для этого нет хотя бы одного законного основания. Статья 6. заявляет, что законными целями являются:[11]

  • (а) если субъект данных дал согласие на обработку его или ее личных данных;
  • (b) Для выполнения договорных обязательств с субъектом данных или для задач по запросу субъекта данных, который находится в процессе заключения договора;
  • (c) Для соблюдения юридических обязательств контроллера данных;
  • (d) для защиты жизненно важных интересов субъекта данных или другого лица;
  • e) выполнение задачи в общественных интересах или в соответствии с официальными полномочиями;
  • (f) Для законных интересов контроллера данных или третьей стороны, если эти интересы не перекрываются интересами субъекта данных или ее или его прав в соответствии с Хартия основных прав (особенно в случае с детьми).[7]

Если информированное согласие используется в качестве законного основания для обработки,[12] согласие должно быть явным для собираемых данных, и данные каждой цели используются для (Статья 7.; определено в Статья 4). Согласие должно быть конкретным, свободно выраженным, ясно сформулированным,[13] и недвусмысленное подтверждение, данное субъектом данных; онлайн-форма, в которой варианты согласия структурированы как отказ, выбранный по умолчанию, является нарушением GDPR, поскольку согласие не подтверждено пользователем однозначно. Кроме того, несколько типов обработки не могут быть «объединены» вместе в один запрос подтверждения, поскольку это не является специфическим для каждого использования данных, и отдельные разрешения не предоставляются бесплатно. (Сольный концерт 32)

Субъектам данных должно быть разрешено отозвать это согласие в любое время, и процесс этого не должен быть сложнее, чем это было при подписке. (Статья 7 (3)) Контроллер данных не может отказывать в обслуживании пользователям, которые отказываются от согласия на обработку, которая не является строго необходимой для использования услуги. (Статья 7 (4)) Согласие для детей, которые определены в постановлении как дети младше 16 лет (хотя государства-члены могут в индивидуальном порядке сделать его не старше 13 лет (Статья 8 (1)),[14] должны быть предоставлены родителем или опекуном ребенка и поддаются проверке (Статья 8.).[15]

Если согласие на обработку уже было предоставлено в соответствии с Директивой о защите данных, контроллеру данных не нужно повторно получать согласие, если обработка задокументирована и получена в соответствии с требованиями GDPR (Recital 171).[16][17]>

Права субъекта данных

Прозрачность и условия

Статья 12. требует, чтобы контролер данных предоставлял информацию «субъекту данных в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык, в частности, для любой информации, адресованной конкретно ребенку».[7]

Информация и доступ

В право доступа (Статья 15.) является правом субъекта данных.[18] Это дает людям право доступа к своим личным данным и информации о том, как эти личные данные обрабатываются. Контроллер данных должен предоставить по запросу обзор категорий данных, которые обрабатываются (статья 15 (1) (b)), а также копию фактических данных (Статья 15 (3)); кроме того, контролер данных должен сообщить субъекту данных подробную информацию об обработке, например, цели обработки (Статья 15 (1) (а)), с которым передаются данные (Статья 15 (1) (c)), и как он получил данные (Статья 15 (1) (g)).

Субъект данных должен иметь возможность передавать персональные данные из одной системы электронной обработки в другую, без препятствий для этого со стороны контроллера данных. Данные, которые были в достаточной степени анонимизированы, исключаются, но данные, которые были только деидентифицированы, но по-прежнему могут быть связаны с данным лицом, например, путем предоставления соответствующего идентификатора, не допускаются.[19] Однако на практике предоставление таких идентификаторов может быть сложной задачей, например, в случае с Apple Siri, где голосовые и расшифрованные данные хранятся с личным идентификатором, доступ к которому производитель ограничивает,[20] или в поведенческом таргетинге в Интернете, который в значительной степени зависит от отпечатки пальцев устройства которые может быть сложно захватить, отправить и проверить.[21]

Включены как данные, «предоставленные» субъектом данных, так и «наблюдаемые» данные, например о поведении. Кроме того, данные должны быть предоставлены контролером в структурированном и обычно используемом стандартном электронном формате. Право на переносимость данных предоставляется Статья 20. GDPR.[22]

Исправление и стирание

А право быть забытым был заменен на более ограниченный право на стирание в версии GDPR, принятой Европейским парламентом в марте 2014 года.[23][24] Статья 17. предусматривает, что субъект данных имеет право запросить удаление связанных с ним персональных данных по любому из нескольких оснований в течение 30 дней, включая несоблюдение Статья 6 (1) (законность), который включает случай (f), если законные интересы контролера нарушаются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных[7] (смотрите также Google Spain SL, Google Inc. против Agencia Española de Protección de Datos, Марио Костеха Гонсалес ).

Право на возражение и автоматизированные решения

Статья 21. GDPR [25] позволяет физическому лицу возражать против обработки личной информации в целях маркетинга, продаж или не связанных с услугами. Это означает, что контроллер данных должен предоставить человеку право остановить или запретить контроллеру обрабатывать его личные данные.

В некоторых случаях это возражение неприменимо. Например, если:

  1. Осуществляются юридические или официальные полномочия
  2. «Законный интерес», когда организации необходимо обрабатывать данные, чтобы предоставить субъекту данных услугу, на которую он подписался.
  3. Задача выполняется в общественных интересах.

GDPR также ясно указывает на то, что контроллер данных должен информировать людей об их праве на возражение с момента первого сообщения, которое контролер имеет с ними. Это должно быть ясно и отдельно от любой другой информации, которую предоставляет контролер, и давать им варианты того, как лучше всего возражать против обработки их данных.

Бывают случаи, когда контролер может отклонить запрос, при обстоятельствах, когда запрос на возражение является «явно необоснованным» или «чрезмерным», поэтому каждый случай возражения следует рассматривать индивидуально.[25]

Контроллер и процессор

Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен реализовать меры, которые соответствуют принципам защиты данных по дизайну и по умолчанию. Статья 25. требует, чтобы меры защиты данных были включены в разработку бизнес-процессов для продуктов и услуг. Такие меры включают псевдонимизация персональные данные контролером в кратчайшие сроки (Recital 78). Ответственность и ответственность контролера данных заключается в том, чтобы внедрить эффективные меры и быть в состоянии продемонстрировать соответствие действий по обработке, даже если обработка выполняется процессором данных от имени контролера (Recital 74).[7]

При сборе данных субъекты данных должны быть четко информированный об объеме сбора данных, правовой основе для обработки персональных данных, о том, как долго данные хранятся, если данные передаются третьей стороне и / или за пределы ЕС, а также о любом автоматическом принятии решений, принимаемых на исключительно алгоритмический основание. Субъекты данных должны быть проинформированы о своих правах на конфиденциальность в соответствии с GDPR, включая их право отозвать согласие на обработку данных в любое время, их право на просматривать их личные данные и получать доступ к обзору того, как они обрабатываются, их право на получение переносимая копия сохраненных данных, право на стирание данных при определенных обстоятельствах, право оспаривать любое автоматизированное решение, которое было принято исключительно алгоритмический основание, и право подавать жалобы в Орган по защите данных. Таким образом, субъекту данных также должны быть предоставлены контактные данные контроллера данных и назначенного им уполномоченного по защите данных, если это применимо.[26][27]

Оценка воздействия на защиту данных (Статья 35.) должны проводиться, когда возникают определенные риски для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а для высоких рисков требуется предварительное одобрение органов по защите данных.

Статья 25. требует, чтобы защита данных использовалась при разработке бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности должны быть установлены на высоком уровне по умолчанию, и контроллеру следует принять технические и процедурные меры, чтобы гарантировать, что обработка на протяжении всего жизненного цикла обработки соответствует требованиям. Контроллеры также должны внедрить механизмы, гарантирующие, что личные данные не будут обрабатываться, если это не требуется для каждой конкретной цели.

Отчет[28] посредством Агентство Европейского Союза по сетевой и информационной безопасности подробно описывает, что необходимо сделать для обеспечения конфиденциальности и защиты данных по умолчанию. Он определяет, что операции шифрования и дешифрования должны выполняться локально, а не удаленной службой, потому что и ключи, и данные должны оставаться во власти владельца данных, если должна быть достигнута какая-либо конфиденциальность. В отчете указывается, что внешнее хранение данных в удаленных облаках практично и относительно безопасно, если только владелец данных, а не облачная служба, владеет ключами дешифрования.

Псевдонимизация

Согласно GDPR, псевдонимизация - это необходимый процесс для хранимых данных, который преобразует личные данные таким образом, что полученные данные нельзя отнести к конкретному субъекту данных без использования дополнительной информации (в качестве альтернативы другому варианту полного анонимизация данных ).[29] Примером является шифрование, что делает исходные данные непонятными, и процесс не может быть отменен без доступа к правильным ключ дешифрования. GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонимизированных данных.

Другой пример псевдонимизации: токенизация, который представляет собой нематематический подход к защите данные в состоянии покоя который заменяет конфиденциальные данные нечувствительными аналогами, называемыми токенами. Хотя токены не имеют внешнего или эксплуатируемого значения или ценности, они позволяют полностью или частично видеть определенные данные для обработки и анализа, в то время как конфиденциальная информация остается скрытой. Токенизация не изменяет тип или длину данных, что означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных. Это также требует гораздо меньше вычислительных ресурсов для обработки и меньше места для хранения в базах данных, чем данные с традиционным шифрованием.

Псевдонимизация - это технология повышения конфиденциальности и рекомендуется для снижения рисков для заинтересованных субъектов данных, а также для помощи контроллерам и обработчикам данных в выполнении их обязательств по защите данных (Recital 28).[30]

Записи о деятельности по обработке

В соответствии с Статья 30.,[7] записи о процессах обработки должны вестись каждой организацией в соответствии с одним из следующих критериев:

  • насчитывает более 250 человек;
  • обработка, которую он выполняет, может привести к риску для прав и свобод субъектов данных;
  • обработка не случайна;
  • обработка включает специальные категории данных, упомянутые в статье 9 (1), или личные данные, относящиеся к уголовным обвинениям и правонарушениям, упомянутым в статье 10.

Такие требования могут быть изменены каждой страной ЕС. Записи должны быть в электронной форме, и контролер или обработчик и, если применимо, представитель контролера или обработчика, должны предоставить запись надзорному органу по запросу.

Записи контролера должны содержать всю следующую информацию:

  • имя и контактные данные контролера и, если применимо, совместного контролера, представителя контролера и ответственного за защиту данных;
  • цели обработки;
  • описание категорий субъектов данных и категорий персональных данных;
  • категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международных организациях;
  • где применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передачи, упомянутой во втором подпараграфе статьи 49 (1), документация подходящего гарантии;
  • где возможно, предполагаемые сроки стирания различных категорий данных;
  • где возможно, общее описание технических и организационных мер безопасности, указанных в Статье 32 (1).

Записи обработчика должны содержать всю следующую информацию:

  • имя и контактные данные обработчика или обработчиков и каждого контролера, от имени которого действует обработчик, и, если применимо, представителя контролера или обработчика и сотрудника по защите данных;
  • категории обработки, выполняемой от имени каждого контролера;
  • где применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, а в случае передачи, упомянутой во втором подпараграфе статьи 49 (1),
  • документация о подходящих гарантиях;
  • где возможно, общее описание технических и организационных мер безопасности, указанных в Статье 32 (1).[7]

Безопасность личных данных

Статья 33. заявляет, что контролер данных имеет юридическое обязательство незамедлительно уведомить надзорный орган, кроме случаев, когда нарушение вряд ли приведет к риску для прав и свобод людей. Для составления отчета есть максимум 72 часа после того, как стало известно об утечке данных. Необходимо уведомить людей, если установлен высокий риск неблагоприятного воздействия (Статья 34.). Кроме того, обработчик данных должен будет уведомить контролера без неоправданной задержки после того, как станет известно о нарушении личных данных (Статья 33.).

Однако уведомление субъектов данных не требуется, если контроллер данных реализовал соответствующие технические и организационные меры защиты, которые делают личные данные непонятными для любого лица, не уполномоченного на доступ к ним, например, шифрование (Статья 34.).[7]

Сотрудник по защите данных

Статья 37. требует назначения сотрудника по защите данных. Если обработка осуществляется государственным органом (за исключением судов или независимых судебных органов, действующих в своем судебном качестве), или если операции обработки включают регулярный и систематический мониторинг субъектов данных в крупном масштабе, или если обработка в крупных масштабах особые категории данных и личные данные, относящиеся к уголовным обвинениям и правонарушениям (Статьи 9 и Статья 10.,[31]) Должностное лицо по защите данных (DPO) - лицо, обладающее экспертными знаниями в области законодательства и практики защиты данных - должно быть назначено для оказания помощи контролеру или процессору в мониторинге их внутреннего соответствия Регламенту.[7]

Назначенный DPO может быть текущим сотрудником контролера или процессора, либо эта роль может быть передана внешнему лицу или агентству через контракт на обслуживание. В любом случае обрабатывающий орган должен убедиться, что нет конфликта интересов в других ролях или интересах, которые может иметь DPO. Контактные данные DPO должны быть опубликованы обрабатывающей организацией (например, в уведомлении о конфиденциальности) и зарегистрированы в надзорном органе.

DPO похож на специалиста по комплаенсу, и ожидается, что он также обладает знаниями в области управления ИТ-процессами. безопасность данных (включая работу с кибератаки ) и другие важные Непрерывность бизнеса вопросы, связанные с хранением и обработкой личных и конфиденциальных данных. Требуемый набор навыков выходит за рамки понимания юридического соответствия законам и постановлениям о защите данных. DPO должен вести реестр всех данных, собранных и хранимых от имени организации.[32] Более подробная информация о функциях и роли уполномоченного по защите данных была представлена ​​13 декабря 2016 г. (пересмотрено 5 апреля 2017 г.) в руководящем документе.[33]

Организации, расположенные за пределами ЕС, также должны назначить лицо из ЕС в качестве представителя и контактного лица для выполнения своих обязательств по GDPR (СТАТЬЯ 27). Эта роль отличается от роли DPO, хотя существует перекрытие в обязанностях, что предполагает, что эту роль также может выполнять назначенный DPO.[34]

Средства правовой защиты, ответственность и штрафы

Помимо определения уголовного преступления в соответствии с национальным законодательством, следующие Статья 83. GDPR могут быть наложены следующие санкции:

  • письменное предупреждение в случае первого и непреднамеренного несоблюдения
  • регулярные периодические аудиты защиты данных
  • штраф до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год для предприятия, в зависимости от того, какая сумма больше, если имело место нарушение следующих положений: (Статья 83., Пункт 4[35])
    • обязательства контролера и обработчика в соответствии с Статьи 8, 11, 25 к 39, и 42 и 43
    • обязанности органа по сертификации в соответствии с Статьи 42 и 43
    • обязанности контролирующего органа в соответствии с Статья 41 (4)
  • штраф до 20 миллионов евро или до 4% от годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, что больше, если имело место нарушение следующих положений:Статья 83., Пункты 5 и 6[35])
    • основные принципы обработки, включая условия согласия, в соответствии с Статьи 5, 6, 7, и 9
    • права субъектов данных в соответствии с Статьи 12 к 22
    • передача персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44-49
    • любые обязательства в соответствии с законодательством государства-члена, принятым в соответствии с главой IX
    • несоблюдение приказа или временное или окончательное ограничение обработки или приостановление потоков данных надзорным органом в соответствии с Статья 58 (2) или непредоставление доступа в нарушение Статья 58 (1)[7]

Исключения

Это некоторые случаи, которые специально не рассматриваются в GDPR, поэтому рассматриваются как исключения.[36]

  • Личная или домашняя деятельность
  • Правоохранительные органы
  • Национальная безопасность[7]

Когда создавался GDPR, он был строго создан для регулирования личных данных, которые попадают в руки компаний. GDPR не распространяется на вашу некоммерческую информацию или домашнюю деятельность.[37] Примером таких домашних дел может быть переписка между двумя школьными друзьями.

Кроме того, GDPR не применяется, когда данные потенциально связаны с полицейским расследованием. Несмотря на то, что это не регулируется GDPR, Часть 3 Закона о защите данных от 2018 года прямо охватывает эти основания.[38]

Наконец, когда данные поступают в национальную безопасность, они выходят за пределы GPDR, поэтому они подпадают под действие Закона о защите данных от 2018 г., часть 2, глава 3.[39]

И наоборот, юридическое лицо или, точнее, «предприятие» должно заниматься «экономической деятельностью», чтобы на него распространялся GDPR.[а] Экономическая деятельность в широком смысле определяется Закон о конкуренции Европейского Союза.[40]

Применимость за пределами Европейского Союза

GDPR также применяется к контроллерам и обработчикам данных за пределами Европейской экономической зоны (ЕЭЗ), если они участвуют в «предложении товаров или услуг» (независимо от того, требуется ли оплата) субъектам данных в пределах ЕЭЗ или осуществляют мониторинг поведение субъектов данных в ЕЭЗ (статья 3 (2)). Регламент применяется независимо от того, где происходит обработка.[41] Это было интерпретировано как намеренное предоставление GDPR экстерриториальная юрисдикция для предприятий, не входящих в ЕС, если они ведут бизнес с людьми, проживающими в ЕС.[42]

Представитель ЕС

Согласно статье 27 предприятия, не входящие в ЕС, на которые распространяется действие GDPR, обязаны иметь назначенного в Европейском союзе представителя, «представителя ЕС», который мог бы служить контактным лицом для выполнения своих обязательств в соответствии с регламентом. Представитель в ЕС является контактным лицом Контролера или Обработчика данных по отношению к европейским надзорным органам за конфиденциальностью и субъектам данных по всем вопросам, связанным с обработкой, для обеспечения соблюдения настоящего GDPR. Физическое (физическое) или моральное (корпоративное) лицо может играть роль представителя ЕС.[43] Учреждение, не входящее в ЕС, должно выдать должным образом подписанный документ (письмо об аккредитации), в котором определенное лицо или компания назначаются в качестве представителя в ЕС. Указанное обозначение может быть дано только в письменной форме.[44]

Неспособность учреждения назначить представителя в ЕС считается игнорированием правил и соответствующих обязательств, что само по себе является нарушением GDPR и подлежит штрафу в размере до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год. в случае предприятия - в зависимости от того, что больше. Умышленный или небрежный (умышленная слепота) характер нарушения (неспособность назначить представителя ЕС) может, скорее, представлять собой отягчающие обстоятельства.[45]

Учреждению не нужно указывать представителя ЕС, если оно участвует только в эпизодической обработке, которая не включает в себя крупномасштабную обработку особых категорий данных, как указано в статье 9 (1) GDPR, или обработку персональных данных, относящихся к за уголовные приговоры и правонарушения, указанные в статье 10, и такая обработка вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, объем и цели обработки.[7] Государственные органы и органы, не входящие в ЕС, также освобождаются от уплаты налогов.[46]

Третьи страны

Глава V GDPR запрещает передачу персональных данных субъектов данных ЕС в страны за пределами ЕЭЗ, известные как третьи страны - если не введены соответствующие меры безопасности или правила защиты данных третьей страны формально не считаются адекватными Европейской комиссией (статья 45).[47][48] Обязательные корпоративные правила, стандартные договорные положения о защите данных, выданные DPA, или схема связывающих и подлежащих исполнению обязательств со стороны контроллера данных или процессора, расположенного в третьей стране, являются одними из примеров.[49]

Внедрение в Соединенном Королевстве

На применимость GDPR в Соединенном Королевстве влияют: Brexit. Хотя Соединенное Королевство формально вышло из Европейского Союза 31 января 2020 года, оно по-прежнему подчиняется законам ЕС, включая GDPR, до конца переходного периода 31 декабря 2020 года.[47] Соединенное Королевство предоставило королевское согласие к Закон о защите данных 2018 23 мая 2018 г., который ввел в действие GDPR, аспекты регулирования, которые должны быть определены национальным законодательством, и уголовные преступления за сознательное или необдуманное получение. распространение или сохранение личных данных без согласия контроллера данных.[50][51]

Под Закон о Европейском Союзе (Выход) 2018 г., действующий и соответствующий закон ЕС будет перенесен в местное законодательство по завершении перехода, а GDPR будет изменен законодательный акт удалить определенные положения, которые больше не нужны из-за того, что Великобритания не является членом ЕС. В дальнейшем регулирование будет называться «GDPR Великобритании».[52][48][47] Великобритания не будет ограничивать передачу персональных данных в страны ЕЭЗ в соответствии с GDPR Великобритании. Однако Великобритания станет третья страна в соответствии с GDPR ЕС, что означает, что персональные данные не могут быть переданы в страну, если не будут приняты соответствующие меры безопасности или если Европейская комиссия не примет решение о соответствии британского законодательства о защите данных (глава V). В рамках соглашение об отзыве, Европейская комиссия обязалась провести оценку адекватности.[47][48]

В апреле 2019 года Великобритания Офис уполномоченного по информации (ICO) выпустила предлагаемый свод правил для служб социальных сетей при использовании несовершеннолетними, имеющий исковую силу в соответствии с GDPR, который также включает ограничения на "подобно "и" полосы ", чтобы препятствовать зависимость от социальных сетей, и использование этих данных для обработки интересов.[53][54]

Прием

Предложение о новом регламенте вызвало много споров и дискуссий.[55][56] Были предложены тысячи поправок.[57] As per a study conducted by Deloitte in 2018, 92% of companies believe they are able to comply with GDPR in their business practices in the long run.[58]

Despite the mixed reception of GDPR, companies operating outside of the EU have invested heavily to align their business practices with GDPR. The area of GDPR consent has a number of implications for businesses who record calls as a matter of practice. A typical disclaimer is not considered sufficient to gain assumed consent to record calls. Additionally, when recording has commenced, should the caller withdraw their consent, then the agent receiving the call must be able to stop a previously started recording and ensure the recording does not get stored.[59]

IT professionals expect that compliance with the GDPR will require additional investment overall: over 80 percent of those surveyed expected GDPR-related spending to be at least US$100,000.[60] The concerns were echoed in a report commissioned by the law firm Бейкер и Маккензи that found that "around 70 percent of respondents believe that organizations will need to invest additional budget/effort to comply with the consent, data mapping and cross-border data transfer requirements under the GDPR."[61] The total cost for EU companies is estimated at around €200 billion while for US companies the estimate is for $41.7 billion.[62] It has been argued that smaller businesses and начинающие компании might not have the financial resources to adequately comply with the GDPR, unlike the larger international technology firms (such as Facebook и Google ) that the regulation is ostensibly meant to target first and foremost.[63][64] A lack of knowledge and understanding of the regulations has also been a concern in the lead-up to its adoption.[65] A counter-argument to this has been that companies were made aware of these changes two years prior to them coming into effect and, therefore, should have had enough time to prepare.[66]

The regulations, including whether an enterprise must have a data protection officer, have been criticized for potential administrative burden and unclear compliance requirements.[67] Although data minimisation is a requirement, with pseudonymisation being one of the possible means, the regulation provide no guidance on how or what constitutes an effective data de-identification scheme, with a grey area on what would be considered as inadequate pseudonymisation subject to Section 5 enforcement actions.[68][69][70] There is also concern regarding the implementation of the GDPR in блокчейн systems, as the transparent and fixed record of blockchain transactions contradicts the very nature of the GDPR.[71] Many media outlets have commented on the introduction of a "right to explanation " of algorithmic decisions,[72][73] but legal scholars have since argued that the existence of such a right is highly unclear without judicial tests and is limited at best.[74][75]

The GDPR has garnered support from businesses who regard it as an opportunity to improve their data management.[76][77] Марк Цукерберг has also called it a "very positive step for the Internet",[78] and has called for GDPR-style laws to be adopted in the US.[79] Consumer rights groups such as The European Consumer Organisation are among the most vocal proponents of the legislation.[80] Other supporters have attributed its passage to the whistleblower Эдвард Сноуден.[81] Free software advocate Ричард Столмен has praised some aspects of the GDPR but called for additional safeguards to prevent technology companies from "manufacturing consent".[82]

Влияние

Academic experts who participated in the formulation of the GDPR wrote that the law, "is the most consequential regulatory development in information policy in a generation. The GDPR brings personal data into a complex and protective regulatory regime. That said, the ideas contained within the GDPR are not entirely European, nor new. The GDPR’s protections can be found – albeit in weaker, less prescriptive forms – in U.S. privacy laws and in Federal Trade Commission settlements with companies.[83]

Despite having had at least two years to prepare and do so, many companies and websites changed their privacy policies and features worldwide directly prior to GDPR's implementation, and customarily provided email and other notifications discussing these changes. This was criticised for resulting in a fatiguing number of communications, while experts noted that some reminder emails incorrectly asserted that new consent for data processing had to be obtained for when the GDPR took effect (any previously-obtained consent to processing is valid as long as it met the regulation's requirements). Фишинг scams also emerged using falsified versions of GDPR-related emails, and it was also argued that some GDPR notice emails may have actually been sent in violation of anti-spam laws.[84][16] In March 2019, a provider of compliance software found that many websites operated by EU member state governments contained embedded tracking from ad technology providers.[85][86]

The deluge of GDPR-related notices also inspired мемы, including those surrounding privacy policy notices being delivered by atypical means (such as an Уиджа board or Звездные войны opening crawl ), suggesting that Санта Клаус 's "naughty or nice" list was a violation, and a recording of excerpts from the regulation by a former BBC Radio 4 Прогноз доставки диктор. A blog, GDPR Hall of Shame, was also created to showcase unusual delivery of GDPR notices, and attempts at compliance that contained egregious violations of the regulation's requirements. Its author remarked that the regulation "has a lot of nitty gritty, in-the-weeds details, but not a lot of information about how to comply", but also acknowledged that businesses had two years to comply, making some of its responses unjustified.[87][88][89][90][91]

Research indicates that approximately 25% of software vulnerabilities have GDPR implications.[92] Since Article 33 emphasizes breaches, not bugs, security experts advise companies to invest in processes and capabilities to identify vulnerabilities before they can be exploited, including Coordinated vulnerability disclosure processes.[93][94] An investigation of Android apps' privacy policies, data access capabilities and data access behaviour has shown that numerous apps display a somewhat privacy-friendlier behavior since the GDPR was implemented, however they still retain most of their data access privileges in their code.[95][96] An investigation of the Consumer Council of Norway (called Forbrukerrådet in Norwegian) into the post-GDPR data subject dashboards on social media platforms (such as Google dashboard ) has concluded that large social media firms deploy deceptive tactics in order to discourage their customers from sharpening their privacy settings.[97]

On the effective date, some international websites began to block EU users entirely (including Instapaper,[98] Unroll.me,[99] и Tribune Publishing -owned newspapers, such as the Чикаго Трибьюн и Лос-Анджелес Таймс ) or redirect them to stripped-down versions of their services (in the case of Национальное общественное радио и USA Today ) with limited functionality and/or no advertising, so that they will not be liable.[100][101][102][103] Некоторые компании, такие как Klout, and several online video games, ceased operations entirely to coincide with its implementation, citing the GDPR as a burden on their continued operations, especially due to the business model of the former.[104][105][106] Sales volume of online behavioural advertising placements in Europe fell 25–40% on 25 May 2018.[107]

In 2020, two years after the GDRP began its implementation, the European Commission assessed that users across the EU had increased their knowledge about their rights, stating that "69% of the population above the age of 16 in the EU have heard about the GDPR and 71% of people heard about their national data protection authority."[108][109] The Commission also found that privacy has become a competitive quality for companies which consumers are taking into account in their decisionmaking processes.[108]

Enforcement and Inconsistency

Facebook and subsidiaries WhatsApp и Instagram, а также Google LLC (targeting Android ), were immediately sued by Max Schrems 's non-profit NOYB just hours after midnight on 25 May 2018, for their use of "forced consent". Schrems asserts that both companies violated Article 7(4) by not presenting opt-ins for обработка данных consent on an individualized basis, and requiring users to consent to all data processing activities (including those not strictly necessary) or would be forbidden from using the services.[110][111][112][113][114] On 21 January 2019, Google was fined €50 million by the French DPA for showing insufficient control, consent, and transparency over use of personal data for behavioural advertising.[115][116] In November 2018, following a journalistic investigation into Ливиу Драгня the Romanian DPA (ANSPDCP) used a GDPR request to demand information on the RISE Project's sources.[117][118]

In July 2019, the British Офис уполномоченного по информации issued a record fine of £183 million (1.5% of turnover) against British Airways, for poor security arrangements that enabled a 2018 web skimming attack affecting around 380,000 transactions.[119][120][121][122]

В декабре 2019 г. Политико reported that Ireland and Luxembourg — two smaller EU countries that have had a reputation as a налоговые убежища and (especially in the case of Ireland) as a base for European subsidiaries of U.S. большая технология companies, were facing significant backlogs in their investigations of major foreign companies under GDPR, with Ireland citing the complexity of the regulation as a factor. Critics interviewed by Политико also argued that enforcement was also being hampered by varying interpretations between member states, the prioritisation of guidance over enforcement by some authorities, and a lack of cooperation between member states.[123]

While companies are now subject to legal obligations, there are still various inconsistencies in the practical and technical implementation of GDPR.[124] As an example, according to the GDPR's right to access, the companies are obliged to provide data subjects with the data they gather about them. However, in a study on loyalty cards in Germany, companies did not provide the data subjects with the exact information of the purchased articles.[125] One might argue that such companies do not collect the information of the purchased articles, which does not conform with their business models. Therefore, data subjects tend to see that as a GDPR violation. As a result, studies have suggested for a better control through authorities.[125]

According to the GDPR, end-users' согласие should be valid, freely given, specific, informed and active.[126] However, the lack of enforceability regarding obtaining lawful consents has been a challenge. As an example, a 2020 study, showed that the Big Tech, т.е. Google, Amazon, Facebook, яблоко, и Microsoft (GAFAM), use dark patterns in their consent obtaining mechanisms, which raises doubts regarding the lawfulness of the acquired consent.[126]

Influence on international laws

Mass adoption of these new privacy standards by international companies has been cited as an example of the "Brussels effect ", a phenomenon wherein European laws and regulations are used as a global baseline due to their gravitas.[127]

Штат США Калифорния прошел Закон Калифорнии о конфиденциальности потребителей on 28 June 2018, taking effect 1 January 2020: it grants rights to transparency and control over the collection of personal information by companies in a similar means to GDPR. Critics have argued that such laws need to be implemented at the federal level to be effective, as a collection of state-level laws would have varying standards that would complicate compliance.[128][129][130]

График

EU Digital Single Market

The EU Digital Single Market strategy relates to "цифровая экономика " activities related to businesses and people in the EU.[137] As part of the strategy, the GDPR and the Директива NIS all apply from 25 May 2018. The proposed ePrivacy Regulation was also planned to be applicable from 25 May 2018, but will be delayed for several months.[138] В eIDAS Regulation is also part of the strategy.

In an initial assessment, the European Council has stated that the GDPR should be considered "a prerequisite for the development of future digital policy initiatives".[139]

Смотрите также

Примечания

  1. ^ Refer GDPR article 4(18): 'enterprise' means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity.[7]

Цитаты

  1. ^ "Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 1000000000000 pages, 11 June 2015, PDF". В архиве с оригинала 25 декабря 2015 г.. Получено 30 декабря 2015.
  2. ^ Francesca Lucarini, "The differences between the California Consumer Privacy Act and the GDPR", Advisera
  3. ^ "Eckerson Group". www.eckerson.com. Получено 6 декабря 2020.
  4. ^ Article 3(2): This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
  5. ^ https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/
  6. ^ а б "EUR-Lex – 32016R0679 – EN – EUR-Lex". eur-lex.europa.eu. В архиве из оригинала 17 марта 2018 г.. Получено 21 марта 2018.
  7. ^ а б c d е ж грамм час я j k л м "REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (article 30)". В архиве с оригинала 28 июня 2017 г.. Получено 7 июн 2017. CC-BY icon.svg Текст был скопирован из этого источника, который доступен под Международная лицензия Creative Commons Attribution 4.0.
  8. ^ "Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA". 4 мая 2016.
  9. ^ The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
  10. ^ а б "Защита данных" (PDF). Европейская комиссия - Европейская комиссия. В архиве (PDF) from the original on 3 December 2012. Получено 3 января 2013.
  11. ^ "EUR-Lex – 32016R0679 – EN – EUR-Lex". eur-lex.europa.eu. В архиве из оригинала 6 ноября 2017 г.. Получено 7 ноября 2017..
  12. ^ General_Data_Protection_Regulation
  13. ^ newsmyynews
  14. ^ "Age of consent in the GDPR: updated mapping". iapp.org. В архиве с оригинала 27 мая 2018 г.. Получено 26 мая 2018.
  15. ^ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide". Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
  16. ^ а б Hern, Alex (21 May 2018). "Most GDPR emails unnecessary and some illegal, say experts". Хранитель. В архиве с оригинала 28 мая 2018 г.. Получено 28 мая 2018.
  17. ^ Kamleitner, Bernadette; Mitchell, Vince (1 October 2019). "Your Data Is My Data: A Framework for Addressing Interdependent Privacy Infringements". Journal of Public Policy & Marketing. 38 (4): 433–450. Дои:10.1177/0743915619858924. ISSN  0743-9156. S2CID  201343307.
  18. ^ а б c "Official Journal L 119/2016". eur-lex.europa.eu. В архиве из оригинала 22 ноября 2018 г.. Получено 26 мая 2018.
  19. ^ Article 29 Working Party (2017). Guidelines on the right to data portability. Европейская комиссия. В архиве из оригинала 29 июня 2017 г.. Получено 15 июля 2017.
  20. ^ Veale, Michael; Binns, Reuben; Ausloos, Jef (2018). "When data protection by design and data subject rights clash". International Data Privacy Law. 8 (2): 105–123. Дои:10.1093/idpl/ipy002.
  21. ^ Zuiderveen Borgesius, Frederik J. (April 2016). "Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation". Обзор компьютерного права и безопасности. 32 (2): 256–271. Дои:10.1016/j.clsr.2015.12.013. ISSN  0267-3649.
  22. ^ Proposal for the EU General Data Protection Regulation В архиве 3 декабря 2012 г. Wayback Machine. Европейская комиссия. 25 January 2012. Retrieved 3 January 2013.
  23. ^ Baldry, Tony; Hyams, Oliver. "The Right to Be Forgotten". 1 Essex Court. В архиве из оригинала 19 октября 2017 г.. Получено 1 июня 2014.
  24. ^ "European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)". Европейский парламент. В архиве из оригинала 5 июня 2014 г.. Получено 1 июня 2014.
  25. ^ а б "Right to object". ico.org.uk. 30 августа 2019 г.. Получено 14 ноября 2019.
  26. ^ "Privacy notices under the EU General Data Protection Regulation". ico.org.uk. 19 January 2018. В архиве с оригинала 23 мая 2018 г.. Получено 22 мая 2018.
  27. ^ "What information must be given to individuals whose data is collected?". Europa (web portal). В архиве с оригинала 23 мая 2018 г.. Получено 23 мая 2018.
  28. ^ "Privacy and Data Protection by Design – ENISA". Europa (web portal). В архиве из оригинала 5 апреля 2017 г.. Получено 4 апреля 2017.
  29. ^ Data science under GDPR with pseudonymization in the data pipeline В архиве 18 April 2018 at the Wayback Machine Published by Dativa, 17 April 2018
  30. ^ "Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization". iapp.org. В архиве из оригинала 19 февраля 2018 г.. Получено 19 февраля 2018.
  31. ^ "EUR-Lex – Art. 37". eur-lex.europa.eu. В архиве from the original on 22 January 2017. Получено 23 января 2017.
  32. ^ "Explaining GDPR Data Subject Requests". TrueVault. Получено 19 февраля 2019.
  33. ^ "Guidelines on Data Protection Officers". В архиве из оригинала 29 июня 2017 г.. Получено 27 августа 2017.
  34. ^ Jankowski, Piper-Meredith. "Global reach of the GDPR: What is at stake?". Лексология. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  35. ^ а б "L_2016119EN.01000101.xml". eur-lex.europa.eu. В архиве с оригинала 10 ноября 2017 г.. Получено 28 августа 2016.
  36. ^ "Exemptions". ico.org.uk. 20 июля 2020 г.. Получено 11 ноября 2020.
  37. ^ "The "Household Exemption" In GDPR". Fenech Farrugia Fiott Legal | A Leading Law Firm in Malta. 22 мая 2020. Получено 11 ноября 2020.
  38. ^ "Data Protection Act 2018, Part 3".
  39. ^ "Data Protection Act 2018, Part 2 Chapter 3".
  40. ^ Wehlander, Caroline (2016). "Chapter 2 "Economic activity": criteria and relevance in the fields of EU internal market law, competition law and procurement law" (PDF). In Wehlander, Caroline (ed.). Services of general economic interest as a constitutional concept of EU Law. The Hague, Netherlands: TMC Asser Press. С. 35–65. Дои:10.1007/978-94-6265-117-3_2. ISBN  978-94-6265-116-6. В архиве (PDF) из оригинала 26 мая 2018 г.. Получено 23 мая 2018.
  41. ^ "The (Extra) Territorial Scope of the GDPR: The Right to Be Forgotten". Fasken.com. Получено 21 февраля 2020.
  42. ^ "Extraterritorial Scope of GDPR: Do Businesses Outside the EU Need to Comply?". Американская ассоциация адвокатов. Получено 21 февраля 2020.
  43. ^ Изобразительное искусство. 27(4) GDPR.
  44. ^ Изобразительное искусство. 27(1) GDPR.
  45. ^ Изобразительное искусство. 83(1),(2)&(4a) GDPR.
  46. ^ Изобразительное искусство. 27(2) GDPR.
  47. ^ а б c d "UK: Understanding the full impact of Brexit on UK: EU data flows". Privacy Matters. DLA Piper. 23 сентября 2019 г.. Получено 20 февраля 2020.
  48. ^ а б c Палмер, Дэнни. "On data protection, the UK says it will go it alone. It probably won't". ZDNet. Получено 20 февраля 2020.
  49. ^ Donnelly, Conor (18 January 2018). "How to transfer data to a 'third country' under the GDPR". IT Governance Blog En. Получено 21 февраля 2020.
  50. ^ "New Data Protection Act finalised in the UK". Out-Law.com. В архиве с оригинала 25 мая 2018 г.. Получено 25 мая 2018.
  51. ^ "New UK Data Protection Act not welcomed by all". Computer Weekly. В архиве из оригинала 24 мая 2018 г.. Получено 25 мая 2018.
  52. ^ Porter, Jon (20 February 2020). "Google shifts authority over UK user data to the US in wake of Brexit". Грани. Получено 20 февраля 2020.
  53. ^ "Under-18s face 'like' and 'streaks' limits". Новости BBC. 15 апреля 2019 г.. Получено 15 апреля 2019.
  54. ^ Greenfield, Patrick (15 April 2019). "Facebook urged to disable 'like' feature for child users". Хранитель. ISSN  0261-3077. Получено 15 апреля 2019.
  55. ^ House of Commons Justice Committee (November 2012). The Committee's Opinion on the EU Data Protection Framework Proposals. House of Commons, U.K. p. 32. ISBN  9780215049759. Получено 3 октября 2017. Another issue that has been subject to a large number of comments... is the requirement to appoint a DPO
  56. ^ Wessing, Taylor (1 September 2016). "The compliance burden under the GDPR – Data Protection Officers". taylorwessing.com. Тейлор Вессинг. Получено 3 октября 2017. One of the politically most contentious innovations of the General Data Protection Regulation (GDPR) is the obligation to appoint a Data Protection Officer (DPO) in certain cases.
  57. ^ "Overview of amendments". LobbyPlag. В архиве из оригинала 17 июля 2013 г.. Получено 23 июля 2013.
  58. ^ Gooch, Peter (2018). "A new era for privacy - GDPR six months on" (PDF). Deloitte UK. Получено 26 ноября 2020.
  59. ^ "How Smart Businesses Can Avoid GDPR Penalties When Recording Calls". xewave.io. Архивировано из оригинал 14 апреля 2018 г.. Получено 13 апреля 2018.
  60. ^ Babel, Chris (11 July 2017). "The High Costs of GDPR Compliance". Информационная неделя. UBM Technology Group. В архиве из оригинала 5 октября 2017 г.. Получено 4 октября 2017.
  61. ^ "Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield" (PDF). bakermckenzie.com. Бейкер и Маккензи. 4 мая 2016. В архиве (PDF) с оригинала 31 августа 2018 г.. Получено 4 октября 2017.
  62. ^ Georgiev, Georgi. "GDPR Compliance Cost Calculator". GIGAcalculator.com. В архиве из оригинала 16 мая 2018 г.. Получено 16 мая 2018.
  63. ^ Solon, Olivia (19 April 2018). "How Europe's 'breakthrough' privacy law takes on Facebook and Google". Хранитель. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  64. ^ "Europe's new privacy rules are no silver bullet". Politico.eu. 22 апреля 2018. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  65. ^ "Lack of GDPR knowledge is a danger and an opportunity". MicroscopeUK. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  66. ^ "No one's ready for GDPR". Грани. В архиве с оригинала 28 мая 2018 г.. Получено 1 июня 2018.
  67. ^ "New rules on data protection pose compliance issues for firms". The Irish Times. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  68. ^ Wes, Matt (25 April 2017). "Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization". IAPP. В архиве из оригинала 19 февраля 2018 г.. Получено 19 февраля 2018.
  69. ^ Chassang, G. (2017). The impact of the EU general data protection regulation on scientific research. ecancermedicalscience, 11.
  70. ^ Tarhonen, Laura (2017). "Pseudonymisation of Personal Data According to the General Data Protection Regulation". В архиве из оригинала 19 февраля 2018 г.. Получено 19 февраля 2018.
  71. ^ "A recent report issued by the Blockchain Association of Ireland has found there are many more questions than answers when it comes to GDPR". Siliconrepublic.com. В архиве from the original on 5 March 2018. Получено 5 марта 2018.
  72. ^ Sample, Ian (27 January 2017). "AI watchdog needed to regulate automated decision-making, say experts". Хранитель. ISSN  0261-3077. В архиве с оригинала 18 июня 2017 г.. Получено 15 июля 2017.
  73. ^ "EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence". techzone360.com. В архиве из оригинала 4 августа 2017 г.. Получено 15 июля 2017.
  74. ^ Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 December 2016). "Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation". SSRN  2903469. Цитировать журнал требует | журнал = (помощь)
  75. ^ Edwards, Lilian; Veale, Michael (2017). "Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for". Duke Law and Technology Review. Дои:10.2139/ssrn.2972855. SSRN  2972855.
  76. ^ Frimin, Michael (29 March 2018). "Five benefits GDPR compliance will bring to your business". Forbes. В архиве from the original on 12 September 2018. Получено 11 сентября 2018.
  77. ^ Butterworth, Trevor (23 May 2018). "Europe's tough new digital privacy law should be a model for US policymakers". Vox. В архиве from the original on 12 September 2018. Получено 11 сентября 2018.
  78. ^ Jaffe, Justin; Hautala, Laura (25 May 2018). "What the GDPR means for Facebook, the EU and you". CNET. В архиве from the original on 12 September 2018. Получено 11 сентября 2018.
  79. ^ "Facebook CEO Zuckerberg's Call for GDPR Privacy Laws Raises Questions". www.cnbc.com.
  80. ^ Tiku, Nitasha (19 March 2018). "Europe's new privacy law will change the web, and more". Проводной. В архиве from the original on 15 October 2018. Получено 11 сентября 2018.
  81. ^ Kalyanpur, Nikhil; Newman, Abraham (25 May 2018). "Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened". Вашингтон Пост. В архиве из оригинала 11 октября 2018 г.. Получено 11 сентября 2018.
  82. ^ Stallman, Richard (3 April 2018). "A radical proposal to keep your personal data safe". Хранитель. В архиве from the original on 12 September 2018. Получено 11 сентября 2018.
  83. ^ Hoofnagle, Chris; van der Sloot, Bart; Borgesius, Frederik Zuiderveen (10 February 2019). "The European Union general data protection regulation: what it is and what it means". Information & Communications Technology Law. 28: 65–98. Дои:10.1080/13600834.2019.1573501.
  84. ^ Afifi-Sabet, Keumars (3 May 2018). "Scammers are using GDPR email alerts to conduct phishing attacks". IT PRO. В архиве из оригинала 26 мая 2018 г.. Получено 25 мая 2018.
  85. ^ "EU gov't and public health sites are lousy with adtech, study finds". TechCrunch. Получено 18 марта 2019.
  86. ^ "EU citizens being tracked on sensitive government websites". Financial Times. Получено 18 марта 2019.
  87. ^ "Fall asleep in seconds by listening to a soothing voice read the EU's new GDPR legislation". Грани. В архиве из оригинала 17 июня 2018 г.. Получено 16 июн 2018.
  88. ^ "How Europe's GDPR Regulations Became a Meme". Проводной. В архиве с оригинала 18 июня 2018 г.. Получено 17 июн 2018.
  89. ^ "The Internet Created a GDPR-Inspired Meme Using Privacy Policies". Adweek. В архиве из оригинала 17 июня 2018 г.. Получено 17 июн 2018.
  90. ^ Берджесс, Мэтт. "Help, my lightbulbs are dead! How GDPR became bigger than Beyonce". Wired.co.uk. В архиве из оригинала 19 июня 2018 г.. Получено 17 июн 2018.
  91. ^ "Here Are Some of the Worst Attempts At Complying with GDPR". Материнская плата. 25 мая 2018. В архиве с оригинала 18 июня 2018 г.. Получено 17 июн 2018.
  92. ^ "What Percentage of Your Software Vulnerabilities Have GDPR Implications?" (PDF). HackerOne. 16 января 2018. В архиве (PDF) из оригинала 6 июля 2018 г.. Получено 6 июля 2018.
  93. ^ "The Data Protection Officer (DPO): Everything You Need to Know". Cranium and HackerOne. 20 марта 2018. В архиве с оригинала 31 августа 2018 г.. Получено 6 июля 2018.
  94. ^ "What might bug bounty programs look like under the GDPR?". The International Association of Privacy Professionals (IAPP). 27 March 2018. В архиве из оригинала 6 июля 2018 г.. Получено 6 июля 2018.
  95. ^ Momen, N.; Hatamian, M.; Fritsch, L. (November 2019). "Did App Privacy Improve After the GDPR?". IEEE Security Конфиденциальность. 17 (6): 10–20. Дои:10.1109/MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
  96. ^ Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019), Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel (eds.), "A Multilateral Privacy Impact Analysis Method for Android Apps", Privacy Technologies and Policy, Springer International Publishing, 11498, pp. 87–106, Дои:10.1007/978-3-030-21752-5_7, ISBN  978-3-030-21751-8
  97. ^ Moen, Gro Mette, Ailo Krogh Ravna, and Finn Myrstad: Deceived by design - How tech companies use dark patterns to discourage us from exercising our rights to privacy. 2018. Report by the Consumer Council of Norway / Forbrukerrådet. https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf
  98. ^ "Instapaper is temporarily shutting off access for European users due to GDPR". Грани. В архиве из оригинала 24 мая 2018 г.. Получено 24 мая 2018.
  99. ^ "Unroll.me to close to EU users saying it can't comply with GDPR". TechCrunch. В архиве с оригинала 30 мая 2018 г.. Получено 29 мая 2018.
  100. ^ Херн, Алекс; Waterson, Jim (24 May 2018). "Sites block users, shut down activities and flood inboxes as GDPR rules loom". Хранитель. В архиве из оригинала 24 мая 2018 г.. Получено 25 мая 2018.
  101. ^ "Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules". Bloomberg L.P. 25 May 2018. В архиве с оригинала 25 мая 2018 г.. Получено 26 мая 2018.
  102. ^ "U.S. News Outlets Block European Readers Over New Privacy Rules". Нью-Йорк Таймс. 25 мая 2018. ISSN  0362-4331. В архиве из оригинала 26 мая 2018 г.. Получено 26 мая 2018.
  103. ^ "Look: Here's what EU citizens see now that GDPR has landed". Возраст рекламы. В архиве с оригинала 25 мая 2018 г.. Получено 26 мая 2018.
  104. ^ Tiku, Nitasha (24 May 2018). "Why Your Inbox Is Crammed Full of Privacy Policies". Проводной. В архиве из оригинала 24 мая 2018 г.. Получено 25 мая 2018.
  105. ^ Chen, Brian X. (23 May 2018). "Getting a Flood of G.D.P.R.-Related Privacy Policy Updates? Read Them". Нью-Йорк Таймс. ISSN  0362-4331. В архиве из оригинала 24 мая 2018 г.. Получено 25 мая 2018.
  106. ^ Lanxon, Nate (25 May 2018). "Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules". Bloomberg. В архиве с оригинала 25 мая 2018 г.. Получено 25 мая 2018.
  107. ^ "GDPR mayhem: Programmatic ad buying plummets in Europe". Digiday. 25 мая 2018. В архиве с оригинала 25 мая 2018 г.. Получено 26 мая 2018.
  108. ^ а б "Пресс-уголок". Европейская комиссия - Европейская комиссия. Получено 18 сентября 2020.
  109. ^ "Your rights matter: Data protection and privacy - Fundamental Rights Survey". Агентство Европейского Союза по основным правам. 12 июн 2020. Получено 18 сентября 2020.
  110. ^ "GDPR: noyb.eu filed four complaints over "forced consent" against Google, Instagram, WhatsApp and Facebook" (PDF). NOYB.eu. 25 мая 2018. Получено 26 мая 2018.
  111. ^ "Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR". Грани. В архиве с оригинала 25 мая 2018 г.. Получено 26 мая 2018.
  112. ^ "Max Schrems files first cases under GDPR against Facebook and Google". The Irish Times. В архиве с оригинала 25 мая 2018 г.. Получено 26 мая 2018.
  113. ^ "Facebook, Google face first GDPR complaints over 'forced consent'". TechCrunch. В архиве из оригинала 26 мая 2018 г.. Получено 26 мая 2018.
  114. ^ Meyer, David. "Google, Facebook hit with serious GDPR complaints: Others will be soon". ZDNet. В архиве с оригинала 28 мая 2018 г.. Получено 26 мая 2018.
  115. ^ Fox, Chris (21 January 2019). "Google hit with £44m GDPR fine". Новости BBC. Получено 14 июн 2019.
  116. ^ Porter, Jon (21 January 2019). "Google fined €50 million for GDPR violation in France". Грани. Получено 14 июн 2019.
  117. ^ Masnick, Mike (19 November 2018). "Yet Another GDPR Disaster: Journalists Ordered To Hand Over Secret Sources Under 'Data Protection' Law". В архиве с оригинала 20 ноября 2018 г.. Получено 20 ноября 2018.
  118. ^ Bălăiți, George (9 November 2018). "English Translation of the Letter from the Romanian Data Protection Authority to RISE Project". Проект по освещению организованной преступности и коррупции. В архиве из оригинала 9 ноября 2018 г.. Получено 20 ноября 2018.
  119. ^ Whittaker, Zack (11 September 2018). "British Airways breach caused by credit card skimming malware, researchers say". TechCrunch. В архиве с оригинала 10 декабря 2018 г.. Получено 9 декабря 2018.
  120. ^ "British Airways boss apologises for 'malicious' data breach". Новости BBC. 7 сентября 2018. В архиве from the original on 15 October 2018. Получено 7 сентября 2018.
  121. ^ Sweney, Mark (8 July 2019). "BA faces £183m fine over passenger data breach". Хранитель. ISSN  0261-3077. Получено 8 июля 2019.
  122. ^ "British Airways faces record £183m fine for data breach". Новости BBC. 8 июля 2019 г.. Получено 8 июля 2019.
  123. ^ Vinocur, Nicholas (27 December 2019). "'We have a huge problem': European regulator despairs over lack of enforcement". Политико. Получено 6 мая 2020.
  124. ^ Alizadeh, Fatemeh; Jakobi, Timo; Boldt, Jens; Stevens, Gunnar (2019). "GDPR-Reality Check on the Right to Access Data". Proceedings of Mensch und Computer 2019 on - MuC'19. New York, New York, USA: ACM Press: 811–814. Дои:10.1145/3340764.3344913. ISBN  978-1-4503-7198-8. S2CID  202159324.
  125. ^ а б Alizadeh, Fatemeh; Jakobi, Timo; Boden, Alexander; Stevens, Gunnar; Boldt, Jens (2020). "GDPR Reality Check–Claiming and Investigating Personally Identifiable Data from Companies" (PDF). EuroUSEC.
  126. ^ а б Human, Soheil; Cech, Florian (2021). Zimmermann, Alfred; Howlett, Robert J.; Jain, Lakhmi C. (eds.). "A Human-Centric Perspective on Digital Consenting: The Case of GAFAM" (PDF). Human Centred Intelligent Systems. Умные инновации, системы и технологии. Сингапур: Спрингер. 189: 139–159. Дои:10.1007/978-981-15-5784-2_12. ISBN  978-981-15-5784-2.
  127. ^ Roberts, Jeff John (25 May 2018). "The GDPR Is in Effect: Should U.S. Companies Be Afraid?". В архиве с оригинала 28 мая 2018 г.. Получено 28 мая 2018.
  128. ^ "Commentary: California's New Data Privacy Law Could Begin a Regulatory Disaster". Удача. Получено 10 апреля 2019.
  129. ^ "California Unanimously Passes Historic Privacy Bill". Проводной. В архиве из оригинала 29 июня 2018 г.. Получено 29 июн 2018.
  130. ^ "Marketers and tech companies confront California's version of GDPR". В архиве из оригинала 29 июня 2018 г.. Получено 29 июн 2018.
  131. ^ "Data protection reform: Council adopts position at first reading – Consilium". Europa (web portal).
  132. ^ Adoption of the Council's position at first reading В архиве 25 November 2017 at the Wayback Machine, Votewatch.eu
  133. ^ Written procedure В архиве 1 декабря 2017 г. Wayback Machine, 8 April 2016, Council of the European Union
  134. ^ "Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament". В архиве from the original on 17 April 2016. Получено 14 апреля 2016.
  135. ^ "General Data Protection Regulation (GDPR) entered into force in the EEA". ЕАСТ. 20 июля 2018. В архиве из оригинала на 1 октября 2018 г.. Получено 30 сентября 2018.
  136. ^ Kolsrud, Kjetil (10 July 2018). "GDPR – 20. juli er datoen!". Rett24. В архиве из оригинала 13 июля 2018 г.. Получено 13 июля 2018.
  137. ^ «Единый цифровой рынок». Единый цифровой рынок. В архиве из оригинала 8 октября 2017 г.. Получено 5 октября 2017.
  138. ^ "What does the ePrivacy Regulation mean for the online industry? – ePrivacy". www.eprivacy.eu. В архиве из оригинала 22 мая 2018 г.. Получено 26 мая 2018.
  139. ^ "Council position and findings on the application of the General Data Protection Regulation (GDPR), 19 December 2019". Консилиум. Получено 23 декабря 2019.

внешняя ссылка