С вступлением в силу, в мае 2016 г., РЕГЛАМЕНТА (ЕС) 2016/679 General Data Protection Regulation (GDPR) о защите физических лиц в связи с обработкой личных данных и о свободном движении таких данных, и об отмене Директивы 95/46/ЕО, вводится единая правовая основа, которая сделает одинаковым законодательство, защищающее личные данные граждан ЕС.
Регламент (GDPR) вступил в силу 25 мая 2018 г., его целью является облегчение свободного движения потоков личных данных в ЕС и за его пределами, связанное с международной торговлей и международным сотрудничеством, обеспечение механизмов защиты от нарушения неприкосновенности личных данных при использовании автоматизированных и других средств обработки. С 25.05.2018 г. права физических лиц и обязанности администраторов и обработчиков данных, в отношении неприкосновенности и защиты личных данных, необходимо иметь в виду ещё на этапе планирования конкретной деятельности попадающей под GDPR.
Изменения, введенные GDPR, приводят к изменениям в политике регулирования и в механизмах их применения.
Обязательно требование согласия на обработку и сохранения личных данных. Вводятся требования к текстам, связанным с требованием согласия, а именно:
- ясные, краткие, разборчивые (не должны использоваться непонятные правовые термины);
- отличающиеся от других тем/вопросов;
- доступны для обработки;
- должна быть гарантия, что отзыв согласия производится так же легко, как и его предоставление.
Права физических лиц — GDPR предоставляет право субъекту данных получать подтверждение:
- целей обработки;
- категории данных;
- получателей данных;
- срока или критериев определения срока сохранения данных;
- право на возражение против обработки;
- существование автоматизированного принятия решения, включительно профилирование;
- право на требование коррекции или удаления личных данных или ограничение обработки личных данных, связанных с субъектом данных, право на подачу жалобы в органы надзора и контроля;
- узнавать источники данных, если они не были получены от субьекта;
- право на получение копии личных данных в доступном электронном формате.
Право быть забытым: Субъект данных получает право, которое позволяет ему запросить у администратора личных данных, удаления личных данных и прекращения их дальнейшего распространения и обработки. В пункте 17 GDPR условия удаления включают данные, которые уже не имеют значения для предусмотренной обработки или есть запрос на отзыв данных. При рассмотрении таких запросов берется во внимание, будет ли затронут общественный интерес в отношении наличия этих данных.
Перенос данных: Вводится право субъекта данных на получение своих личных данных, структурированных в широко используемый и пригодный для распознавания компьютером формат, с целью передачи их другому администратору.
Обязательство на уведомление Компетентных органов надзора и контроля. GDPR вводит обязательство по уведомлению Компетентных органов надзора и контроля при установлении нарушений, связанных с безопасностью личных данных. Администратор должен выполнить уведомление без замедления в течение 72 часов после выявления нарушения.
Безопасность. Неприкосновенность личной жизни и безопасность личных данных при применении механизма контроля и наблюдения лежат в основе существующей в данный момент декларации для применения, используемой в сертифицированных системах управления безопасностью информации (ISO 27001). Использование технических и организационных механизмов администраторами и обработчиками личных данных, обеспечивающих безопасность данных, стало законным требованием с 25 мая 2018 г. Механизмы должны учитывать уровень риска и его значение по отношению к правам и свободам физического лица (напр. псевдонимизация личных данных, способность гарантирования постоянной конфиденциальности, целостности, наличия и устойчивости систем и услуг обработки; способность своевременного восстановления наличия и доступа к личным данным в случае физического или технического инцидента; процесс постоянного тестирования и оценки эффективности технических и организационных мер с учётом гарантии безопасности обработки).