Загальний регламент захисту даних (англ. General Data Protection Regulation, GDPR), що значно підсилить та уніфікує захист персональних даних резидентів Європейського Союзу, вступає в дію з 25 травня 2018 року.

Для початку нагадаємо, що персональні дані - це будь-яка інформація щодо фізичної особи, яка ідентифікована або може бути конкретно ідентифікована.

Що ж нового у Регламенті та чому про нього важливо знати? 

Нові правила стали відповіддю на громадське занепокоєння щодо захисту права на приватність. Призначені вони в першу чергу для того, щоби повернути громадянам контроль над власними даними, та замінюють Директиву Захисту інформації від 1995 року. Регламент встановлює новий, уніфікований стандарт збереження та обробки такої інформації. 

Особливістю даного документу є те, що його імплементація не вимагає ніяких змін законодавства на локальному рівні країн-членів. Він розповсюджується на всі компанії (включно з неурядовими), незалежно від місця їх реєстрації та роботи, що пропонують товари або послуги резидентам ЄС та/чи збирають та аналізують дані громадян ЄС. 

Контроль виконання регламенту буде здійснюватися як національними органами країн-членів, так і окремим повноважним органом, який включатиме представників національних агентств та незалежної Європейської інспекції із захисту даних. 

Які вимоги накладає новий Регламент?

Регламент встановлює значно вищі стандарти безпеки та захисту інформації, а також вимагає відповідних організаційних та технічних дій. Норми документу спрямовані на забезпечення принципів прозорості, підзвітності та захисту прав громадянина. 

Ключові зміни такі:

• відтепер розпорядник (обробник) інформації зобов’язаний повідомити відповідному органу влади про інцидент порушення безпеки персональної інформації протягом 72 годин і якомога швидше всіх суб’єктів інформації;
• портативність даних – суб’єкт інформації має право отримати від розпорядника свої персональні дані у машинозчитуваному форматі та передати їх до іншого розпорядника;
• право на доступ – суб’єкт інформації має право звертатись до розпорядника з питанням: яка інформація, пов’язана з ним, зберігається/обробляється, з якою метою, у який спосіб та де саме, а розпорядник зобов’язаний безкоштовно надати цифрову копію всієї збереженої персональної інформації на вимогу;
• право на забуття – суб’єкт інформації має право вимагати у розпорядника інформації на припинення будь-якої обробки, зберігання та подальшого розповсюдження всіх персональних даних;
• відповідальні за безпеку інформації співробітники – Регламент також змінює порядок зберігання записів для великих організацій, що займаються збереженням та обробкою персональних даних у великих об’ємах та на постійній основі. 

Найважливіше нововведення містить у собі Стаття 25, яка говорить про “Data protection by design and by default”. Концепція “privacy by design”, що закликає дбати про захист права на  приватність ще під час кожного з етапів розробки програмного забезпечення на системному рівні, існує багато років. Проте лише у даному Регламенті вона вперше знаходить відображення у правовому документі. Ця стаття, наприклад, зобов’язує розпорядників вживати відповідних технічних та організаційних дій, щоб за замовчуванням забезпечити обробку лише мінімально достатньої кількості персональної інформації для кожної конкретної ситуації. 

У наступному матеріалі ми поговоримо про те, як вступ у силу Загального регламенту захисту даних стосується українських НУО.