GDPR (англ. General Data Protection Regulation– загальний регламент захисту персональних даних) – це постанова Європейського Союзу, за допомогою якої Європейський парламент, Рада Європейського Союзу і Європейська комісія посилюють і уніфікують захист персональних даних усіх осіб в Європейському Союзі (ЄС). Постанова також спрямована на експорт даних із ЄС.
Головні цілі GDPR:
- надати фізичним особам можливість та інструменти контролю за їх персональними даними;
- впровадження сучасних стандартів захисту персональних даних;
- розвиток цифрового простору ЄС із захисту персональних даних;
- забезпечення суворого дотримання правил усіма учасниками, включаючи компетентні органи країн-членів ЄС;
- правове забезпечення міжнародної передачі персональних даних.
GDPR охоплює такі типи даних:
- Персональні дані – це дані, які можуть бути пов’язані з фізичною особою та які дозволяють ідентифікувати цю особу. (наприклад: ім’я, адреса, дата народження). Також до персональних даних може належати закодована інформація (“анонімна” інформація), якщо вона може бути пов’язана з фізичною особою, незалежно від того, наскільки неясною чи технічною вона є.
- Конфіденційні персональні дані – дані, що містять додаткові відомості про персональні дані. (наприклад: етнічне походження, релігійні погляди тощо) До конфіденційних персональних даних також відносяться біометричні дані та дані ДНК.
Сфера дії GDPR
Під дію закону GDPR потрапляє повністю або частково автоматизована обробка персональних даних громадян ЄС на території Європейського Союзу та за його межами фізичними чи юридичними особами, державними органами та іншими інститутами та організаціями.
Підготовка до GDPR
На підставі даних публікації, підготовленої Бюро публікацій Європейського Союзу, можна виділити 7 кроків, які може зробити організація, щоб підготуватися до Загального регламенту захисту даних:
1) Проведення визначення та інвентаризації збираних та використовуваних персональних даних, цілей цих дій.
2) Інформування клієнтів, співробітників та інших фізичних осіб про необхідність збирання їх персональних даних
3) Визначення необхідних термінів зберігання персональних даних.
4) Забезпечення захисту персональних даних, що Ви обробляєте (розробка параметрів безпеки вашої IT-системи, безпека зберігання паперових документів, персональних даних у хмарі).
5) Забезпечення безпеки документації з обробки даних.
6) Контроль за дотриманням правил безпеки персональних даних при роботі з субпідрядниками.
7) Призначення спеціаліста, відповідального за забезпечення захисту даних.