Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
"GDPR" перенаправляется сюда. Для экономического термина см. Валовой внутренний продукт региона .

(ЕС) 2016/679
ЗаголовокРегламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC (Директива о защите данных)
СделанЕвропейский Парламент и Совет Европейского Союза
Ссылка на журналL 100000, май 2016 г., стр. 1–88
История
Дата изготовления14 апреля 2016 г.
Дата внедрения25 мая 2018
Подготовительные тексты
Предложение комиссииCOM / 2012/010, финал - 2012/0010 (COD)
Другое законодательство
ЗаменяетДиректива о защите данных
Действующее законодательство

Общие Положение о защите данных (EU) 2016/679 ( GDPR ) является регулирование в законодательстве ЕС о защите данных и неприкосновенности частной жизни в Европейском союзе (ЕС) и Европейской экономической зоны (ЕЭЗ). Он также касается передачи личных данных за пределы ЕС и ЕЭЗ. Основная цель GDPR - предоставить физическим лицам возможность контролировать свои личные данные и упростить нормативную среду для международного бизнеса путем унификации регулирования внутри ЕС. [1] Замена Директивы о защите данных95/46 / EC, постановление содержит положения и требования, связанные с обработкой персональных данных физических лиц (формально называемых субъектами данных в GDPR), которые находятся в ЕЭЗ, и применяется к любому предприятию - независимо от его местонахождения и данных. гражданство или местожительство субъектов - то есть обработка личной информации лиц внутри ЕЭЗ.

Контроллеры и обработчики персональных данных должны принять соответствующие технические и организационные меры для реализации принципов защиты данных. Бизнес-процессы, которые обрабатывают персональные данные, должны разрабатываться и строиться с учетом принципов и обеспечения гарантий защиты данных (например, с использованием псевдонимизации или полной анонимности, где это необходимо). Контроллеры данных должны разрабатывать информационные системы с учетом конфиденциальности. Например, использование максимально возможных параметров конфиденциальности по умолчанию, чтобы наборы данных по умолчанию не были общедоступными и не могли использоваться для идентификации объекта. Никакие личные данные не могут обрабатываться, если эта обработка не выполняется в соответствии с одной из шести законных оснований, указанных в постановлении (согласие , договор, общественная задача, жизненный интерес, законный интерес или юридическое требование). Если обработка основана на согласии, субъект данных имеет право отозвать его в любое время.

Контроллеры данных должны четко раскрывать любой сбор данных , декларировать законную основу и цель обработки данных, а также указывать, как долго данные хранятся и передаются ли они третьим сторонам или за пределами ЕЭЗ. Фирмы обязаны защищать данные сотрудников и потребителей в той степени, в которой извлекаются только необходимые данные с минимальным вмешательством в конфиденциальность данных со стороны сотрудников, потребителей или третьих лиц. Фирмы должны иметь внутренний контроль и правила для различных отделов, таких как аудит, внутренний контроль и операции. Субъекты данных имеют право запросить переносную копию данных, собранных контроллером в общем формате, и право на удаление своих данных.при определенных обстоятельствах. Государственные органы и предприятия, основная деятельность которых заключается в регулярной или систематической обработке персональных данных, должны нанять сотрудника по защите данных (DPO), который отвечает за соблюдение GDPR. Компании должны сообщать об утечках данных национальным надзорным органам в течение 72 часов, если они отрицательно сказываются на конфиденциальности пользователей. В некоторых случаях нарушители GDPR могут быть оштрафованы на сумму до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, какая сумма больше.

GDPR был принят 14 апреля 2016 года и вступил в силу с 25 мая 2018 года. Поскольку GDPR является нормативным актом, а не директивой , он имеет прямую обязательную силу и применим, но обеспечивает гибкость для определенных аспектов регулирования, которые могут корректироваться отдельными лицами. Государства-члены.

Регламент стал образцом для многих национальных законов за пределами ЕС, включая Чили, Японию, Бразилию, Южную Корею, Аргентину и Кению. Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый 28 июня 2018 года, во многом похож на GDPR. [2]

Содержание [ править ]

GDPR 2016 состоит из одиннадцати глав, касающихся общих положений, принципов, прав субъекта данных, обязанностей контроллеров или обработчиков данных, передачи персональных данных в третьи страны, надзорных органов, сотрудничества между государствами-членами, средств правовой защиты, ответственности или штрафов за нарушение права и прочие заключительные положения. [3]

Общие положения [ править ]

Регламент применяется, если контроллер данных (организация, которая собирает данные от резидентов ЕС), обработчик (организация, которая обрабатывает данные от имени контроллера данных, например, поставщиков облачных услуг ), или субъект данных (лицо) находится в ЕС. . При определенных обстоятельствах [4] постановление также применяется к организациям, находящимся за пределами ЕС, если они собирают или обрабатывают личные данные лиц, находящихся на территории ЕС. Регламент не распространяется на обработку данных лицом для «исключительно личной или домашней деятельности и, следовательно, без связи с профессиональной или коммерческой деятельностью». (Сольный концерт 18)

Согласно Европейской комиссии , «Персональные данные - это информация, которая относится к идентифицированному или идентифицируемому лицу. Если вы не можете напрямую идентифицировать человека по этой информации, вам необходимо решить, можно ли его по-прежнему идентифицировать. Вы должны принять во внимание информацию. вы обрабатываете вместе со всеми средствами, которые с большой вероятностью могут быть использованы вами или любым другим лицом для идентификации этого человека ". [5] Точные определения таких терминов, как «персональные данные», «обработка», «субъект данных», «контролер» и «обработчик» изложены в статье 4 Регламента. [6]

Регламент не претендует на применение к обработке персональных данных в целях национальной безопасности или правоохранительных органов ЕС; однако отраслевые группы, обеспокоенные потенциальным конфликтом законов, задаются вопросом, можно ли ссылаться на статью 48 [6] GDPR, чтобы попытаться помешать контроллеру данных, подчиняющемуся законам третьей страны, соблюдать законный приказ правоохранительных органов этой страны. , судебные органы или органы национальной безопасности раскрыть таким органам личные данные лица из ЕС, независимо от того, находятся ли данные в ЕС или за его пределами. Статья 48 гласит, что любое решение суда или трибуналаи любое решение административного органа третьей страны, требующее от контролера или процессора передать или раскрыть личные данные, не может быть признано или принудительно исполнено каким-либо образом, если оно не основано на международном соглашении, таком как договор о взаимной правовой помощи, действующий между запрашивающей третьей стороной. страна (не входящая в ЕС) и ЕС или государство-член. [7] Пакет реформы защиты данных также включает отдельную Директиву о защите данных для полиции и сектора уголовного правосудия [8], которая устанавливает правила обмена личными данными на национальном, европейском и международном уровнях.

Единый свод правил применяется ко всем странам-членам ЕС. Каждое государство-член создает независимый надзорный орган (SA) для рассмотрения и расследования жалоб, наказания административных правонарушений и т. Д. SA в каждом государстве-члене сотрудничают с другими SA, оказывая взаимопомощь и организовывая совместные операции. Если у компании есть несколько заведений в ЕС, у нее должен быть один SA в качестве «ведущего органа», исходя из местоположения его «основного предприятия», где осуществляется основная деятельность по обработке. Таким образом, ведущий орган действует как « единое окно » для надзора за всей процессинговой деятельностью этого бизнеса на всей территории ЕС [9] [10] ( статьи 46–55 GDPR). Европейский совет по защите данных(EDPB) координирует SA. Таким образом, EDPB заменяет Рабочую группу по защите данных по статье 29 . Существуют исключения для данных, обрабатываемых в контексте занятости или в целях национальной безопасности, которые по-прежнему могут регулироваться законодательством отдельных стран ( статьи 2 (2) (a) и 88 GDPR).

Принципы [ править ]

Если субъект данных не предоставил информированное согласие на обработку данных для одной или нескольких целей, персональные данные не могут быть обработаны, если для этого нет хотя бы одного законного основания. В статье 6 говорится, что законными целями являются: [11]

  • (а) если субъект данных дал согласие на обработку его или ее личных данных;
  • (b) Для выполнения договорных обязательств с субъектом данных или для задач по запросу субъекта данных, который находится в процессе заключения договора;
  • (c) Для соблюдения юридических обязательств контроллера данных;
  • (d) для защиты жизненно важных интересов субъекта данных или другого лица;
  • e) выполнение задачи в общественных интересах или в соответствии с официальными полномочиями;
  • (f) Для законных интересов контроллера данных или третьей стороны, если только эти интересы не перекрываются интересами субъекта данных или ее или его прав в соответствии с Хартией основных прав (особенно в случае детей). [7]

Если информированное согласие используется в качестве законной основы для обработки, [12] согласие должно быть явным для собираемых данных и для каждой цели используются данные ( статья 7 ; определение в статье 4 ). Согласие должно быть конкретным, свободно выраженным, ясно сформулированным [13] и недвусмысленным подтверждением, данным субъектом данных; онлайн-форма, в которой варианты согласия структурированы как отказ, выбранный по умолчанию, является нарушением GDPR, поскольку согласие не подтверждено пользователем однозначно. Кроме того, несколько типов обработки не могут быть «объединены» вместе в один запрос подтверждения, так как это не является специфическим для каждого использования данных, и отдельные разрешения не предоставляются бесплатно. (Сольный концерт 32)

Субъектам данных должно быть разрешено отозвать это согласие в любое время, и процесс этого не должен быть сложнее, чем это было при выборе. ( Статья 7 (3) ) Контроллер данных не может отказывать в обслуживании пользователям, которые отказываются от согласия обработка, которая не является строго необходимой для использования службы. ( Статья 7 (4) ) Согласие детей, определенных в постановлении, как детей младше 16 лет (хотя государства-члены имеют возможность индивидуально сделать его возрастом до 13 лет ( статья 8 (1) ), [14 ] должны быть предоставлены родителем или опекуном ребенка и поддаются проверке ( статья 8 ) [15].

Если согласие на обработку уже было предоставлено в соответствии с Директивой о защите данных, контроллеру данных не нужно повторно получать согласие, если обработка задокументирована и получена в соответствии с требованиями GDPR (Recital 171). [16] [17] >

Права субъекта данных [ править ]

Прозрачность и условия [ править ]

Статья 12 требует, чтобы контроллер данных предоставлял информацию «субъекту данных в краткой, прозрачной, понятной и легко доступной форме, используя ясный и простой язык, в частности, для любой информации, адресованной конкретно ребенку». [7]

Информация и доступ [ править ]

Право доступа ( статья 15 ) , является предметом данных прав. [18] Это дает людям право доступа к своим личным данным и информации о том, как эти личные данные обрабатываются. Контроллер данных должен предоставить по запросу обзор категорий данных, которые обрабатываются (статья 15 (1) (b)), а также копию реальных данных ( статья 15 (3) ); кроме того, контролер данных должен информировать субъекта данных о деталях обработки, таких как цели обработки ( статья 15 (1) (а) ), кому данные передаются ( статья 15 (1) (c) ), и как он получил данные ( статья 15 (1) (g) ).

Субъект данных должен иметь возможность передавать персональные данные из одной системы электронной обработки в другую, без препятствий для этого со стороны контроллера данных. Данные, которые были в достаточной степени анонимизированы, исключаются, но данные, которые были только деидентифицированы, но по-прежнему могут быть связаны с данным лицом, например, путем предоставления соответствующего идентификатора, не допускаются. [19] Однако на практике предоставление таких идентификаторов может быть проблематичным, например, в случае Siri от Apple , где голосовые и транскрипционные данные хранятся с личным идентификатором, доступ к которому производитель ограничивает, [20] или в онлайн-поведенческом таргетинге, который в значительной степени полагается на отпечатки пальцев устройствакоторые может быть сложно захватить, отправить и проверить. [21]

Включены как данные, «предоставленные» субъектом данных, так и «наблюдаемые» данные, например о поведении. Кроме того, данные должны быть предоставлены контролером в структурированном и обычно используемом стандартном электронном формате. Право на переносимость данных предусмотрено статьей 20 GDPR. [22]

Исправление и стирание [ править ]

Право быть забыто было заменено более ограниченным правом стирания в версии GDPR , которая была принята Европейским парламентом в марте 2014 года [23] [24] Статья 17 предусматривает , что субъект данных имеет право запрашивать стирание личных данных, связанных с ними, по любому из нескольких оснований в течение 30 дней, включая несоблюдение статьи 6 (1) (законность), которая включает случай (f), если законные интересы контролера нарушаются интересами или фундаментальными права и свободы субъекта данных, требующие защиты персональных данных [7] (см. такжеGoogle Spain SL, Google Inc. против Agencia Española de Protección de Datos, Марио Костеха Гонсалес ).

Право на возражение и автоматизированные решения [ править ]

Статья 21 GDPR [25] позволяет физическому лицу возражать против обработки личной информации в целях маркетинга, продаж или не связанных с услугами. Это означает, что контроллер данных должен предоставить человеку право остановить или запретить контроллеру обрабатывать его личные данные.

В некоторых случаях это возражение неприменимо. Например, если:

  1. Осуществляются юридические или официальные полномочия
  2. «Законный интерес», когда организации необходимо обрабатывать данные, чтобы предоставить субъекту данных услугу, на которую он подписался.
  3. Задача выполняется в общественных интересах.

GDPR также ясно указывает на то, что контроллер данных должен информировать людей об их праве на возражение с момента первого сообщения, которое контролер имеет с ними. Это должно быть ясно и отдельно от любой другой информации, которую предоставляет контролер, и давать им варианты того, как лучше всего возражать против обработки их данных.

Бывают случаи, когда контролер может отклонить запрос, при обстоятельствах, когда запрос на возражение является «явно необоснованным» или «чрезмерным», поэтому каждый случай возражения следует рассматривать индивидуально [25].

Контроллер и процессор [ править ]

Чтобы иметь возможность продемонстрировать соответствие GDPR, контролер данных должен реализовать меры, которые соответствуют принципам защиты данных по дизайну и по умолчанию. Статья 25 требует, чтобы меры защиты данных включались в разработку бизнес-процессов для продуктов и услуг. Такие меры включают псевдонимизацию персональных данных контролером в кратчайшие сроки (Recital 78). Ответственность и ответственность контролера данных заключается в том, чтобы внедрить эффективные меры и быть в состоянии продемонстрировать соответствие действий по обработке, даже если обработка выполняется процессором данных от имени контролера (Recital 74). [7]

При сборе данных субъекты данных должны быть четко проинформированы об объеме сбора данных, правовой основе для обработки личных данных, сроках хранения данных, если данные передаются третьей стороне и / или за пределы ЕС, и любое автоматизированное принятие решений, которое принимается исключительно на алгоритмической основе. Субъекты данных должны быть проинформированы о своих правах на неприкосновенность частной жизни в соответствии с GDPR, в том числе об их праве отозвать согласие на обработку данных в любое время, их праве просматривать свои персональные данные и получать доступ к обзору того, как они обрабатываются , их праве на получение портативного устройства. копия сохраненных данных , право на удаление данных при определенных обстоятельствах, право оспаривать любое автоматическое принятие решений, которое было принято исключительно на алгоритмической основе, и право подавать жалобы в орган по защите данных . Таким образом, субъекту данных также должны быть предоставлены контактные данные контроллера данных и назначенного им уполномоченного по защите данных, если это применимо. [26] [27]

Оценка воздействия защиты данных ( статья 35 ) должна проводиться, когда возникают определенные риски для прав и свобод субъектов данных. Требуется оценка и смягчение рисков, а для высоких рисков требуется предварительное одобрение органов по защите данных.

Статья 25 требует, чтобы защита данных была включена в разработку бизнес-процессов для продуктов и услуг. Поэтому настройки конфиденциальности должны быть установлены на высоком уровне по умолчанию, и контроллеру следует принять технические и процедурные меры, чтобы гарантировать, что обработка на протяжении всего жизненного цикла обработки соответствует требованиям. Контроллеры также должны внедрить механизмы, гарантирующие, что личные данные не будут обрабатываться, за исключением случаев, когда это необходимо для каждой конкретной цели.

В докладе [28] в Агентство Европейского Союза по сетевой и информационной безопасности конкретизирует , что должно быть сделано для достижения секретности и защиты данных по умолчанию. Он определяет, что операции шифрования и дешифрования должны выполняться локально, а не удаленной службой, потому что и ключи, и данные должны оставаться во власти владельца данных, если должна быть достигнута какая-либо конфиденциальность. В отчете указывается, что внешнее хранение данных в удаленных облаках практично и относительно безопасно, если только владелец данных, а не облачная служба, владеет ключами дешифрования.

Псевдонимизация [ править ]

Согласно GDPR, псевдонимизация - это обязательный процесс для хранимых данных, который преобразует персональные данные таким образом, что полученные данные не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации (в качестве альтернативы другому варианту полных данных анонимизация ). [29] Примером может служить шифрование , при котором исходные данные становятся неразборчивыми, и процесс не может быть отменен без доступа к правильному ключу дешифрования . GDPR требует, чтобы дополнительная информация (например, ключ дешифрования) хранилась отдельно от псевдонимизированных данных.

Другой пример псевдонимизации - токенизация , которая представляет собой нематематический подход к защите данных в состоянии покоя , при котором конфиденциальные данные заменяются нечувствительными заменителями, называемыми токенами. Хотя токены не имеют внешнего или эксплуатируемого значения или значения, они позволяют полностью или частично видеть определенные данные для обработки и анализа, в то время как конфиденциальная информация остается скрытой. Токенизация не изменяет тип или длину данных, что означает, что они могут обрабатываться устаревшими системами, такими как базы данных, которые могут быть чувствительны к длине и типу данных. Это также требует гораздо меньше вычислительных ресурсов для обработки и меньше места для хранения в базах данных, чем данные с традиционным шифрованием.

Псевдонимизация - это технология, повышающая конфиденциальность, и рекомендуется для снижения рисков для заинтересованных субъектов данных, а также для помощи контроллерам и обработчикам данных в выполнении своих обязательств по защите данных (Recital 28). [30]

Записи о деятельности по обработке [ править ]

Согласно статье 30 , [7] записи перерабатывающих деятельностей должны поддерживаться каждым соответствующая организация одного из следующих критериев:

  • насчитывает более 250 человек;
  • обработка, которую он выполняет, может привести к риску для прав и свобод субъектов данных;
  • обработка не случайна;
  • обработка включает специальные категории данных, упомянутые в статье 9 (1), или личные данные, относящиеся к уголовным обвинениям и правонарушениям, упомянутым в статье 10.

Такие требования могут быть изменены каждой страной ЕС. Записи должны быть в электронной форме, и контролер или обработчик и, если применимо, представитель контролера или обработчика, должны предоставить запись надзорному органу по запросу.

Записи контролера должны содержать всю следующую информацию:

  • имя и контактные данные контролера и, если применимо, совместного контролера, представителя контролера и ответственного за защиту данных;
  • цели обработки;
  • описание категорий субъектов данных и категорий персональных данных;
  • категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международных организациях;
  • где применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации и, в случае передачи, упомянутой во втором подпараграфе статьи 49 (1), документация подходящего гарантии;
  • где возможно, предполагаемые сроки стирания различных категорий данных;
  • где возможно, общее описание технических и организационных мер безопасности, указанных в Статье 32 (1).

Записи обработчика должны содержать всю следующую информацию:

  • имя и контактные данные обработчика или обработчиков и каждого контролера, от имени которого действует обработчик, и, если применимо, представителя контролера или обработчика и сотрудника по защите данных;
  • категории обработки, выполняемой от имени каждого контролера;
  • где применимо, передача персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации, а в случае передачи, упомянутой во втором подпараграфе статьи 49 (1),
  • документация о подходящих гарантиях;
  • где возможно, общее описание технических и организационных мер безопасности, указанных в Статье 32 (1). [7]

Безопасность личных данных [ править ]

Статья 33 гласит, что контролер данных имеет юридическое обязательство уведомить надзорный орган без неоправданной задержки, если нарушение вряд ли приведет к риску для прав и свобод людей. Для составления отчета есть максимум 72 часа после того, как стало известно об утечке данных. Люди должны быть уведомлены, если установлен высокий риск неблагоприятного воздействия ( статья 34 ). Кроме того, обработчик данных должен будет уведомить контролера без неоправданной задержки после того, как станет известно об утечке личных данных ( статья 33 ).

Однако уведомление субъектов данных не требуется, если контроллер данных реализовал соответствующие технические и организационные меры защиты, которые делают личные данные непонятными для любого лица, не уполномоченного на доступ к ним, например, шифрование ( статья 34 ). [7]

Сотрудник по защите данных [ править ]

См. Также: Сотрудник Европейской комиссии по защите данных

Статья 37 требует назначения сотрудника по защите данных. Если обработка осуществляется государственным органом (за исключением судов или независимых судебных органов, действующих в своем судебном качестве), или если операции обработки включают регулярный и систематический мониторинг субъектов данных в крупном масштабе, или если обработка в крупных масштабах особые категории данных и личных данных, относящиеся к уголовным обвинениям и правонарушениям ( статьи 9 и статья 10 , [31] ). Должен быть назначен сотрудник по защите данных (DPO) - лицо, обладающее экспертными знаниями в области законодательства и практики защиты данных - для оказания помощи контроллеру или обработчику при мониторинге их внутреннего соответствия Регламенту. [7]

Назначенный DPO может быть текущим сотрудником контролера или процессора, либо эта роль может быть передана внешнему лицу или агентству через контракт на обслуживание. В любом случае обрабатывающий орган должен убедиться, что нет конфликта интересов в других ролях или интересах, которые может иметь DPO. Контактные данные DPO должны быть опубликованы обрабатывающей организацией (например, в уведомлении о конфиденциальности) и зарегистрированы в надзорном органе.

DPO похож на специалиста по соблюдению нормативных требований, и ожидается, что он будет обладать навыками управления ИТ-процессами, безопасностью данных (включая борьбу с кибератаками ) и другими критически важными вопросами непрерывности бизнеса, связанными с хранением и обработкой личных и конфиденциальных данных. Требуемый набор навыков выходит за рамки понимания юридического соответствия законам и постановлениям о защите данных. DPO должен вести реестр всех данных, собранных и хранимых от имени организации. [32] Более подробная информация о функциях и роли уполномоченного по защите данных была представлена ​​13 декабря 2016 г. (пересмотрено 5 апреля 2017 г.) в руководящем документе. [33]

Организации, зарегистрированные за пределами ЕС, также должны назначить лицо из ЕС в качестве представителя и контактного лица для выполнения своих обязательств по GDPR ( статья 27 ). Эта роль отличается от роли DPO, хотя существует перекрытие в обязанностях, что предполагает, что эту роль также может выполнять назначенный DPO. [34]

Средства правовой защиты, ответственность и штрафы [ править ]

См. Также: штрафы и уведомления GDPR

Помимо определения уголовного преступления в соответствии со статьей 83 GDPR, могут быть применены следующие санкции:

  • письменное предупреждение в случае первого и непреднамеренного несоблюдения
  • регулярные периодические аудиты защиты данных
  • штраф до 10 миллионов евро или до 2% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, какая сумма больше, если имело место нарушение следующих положений: ( Статья 83 , Параграф 4 [ 35] )
    • обязательства контроллера и процессора во исполнение статей 8 , 11 , 25 до 39 , и 42 и 43
    • обязанности органа по сертификации согласно статьям 42 и 43
    • обязанности контролирующего органа в соответствии со статьей 41 (4)
  • штраф до 20 миллионов евро или до 4% годового мирового оборота за предыдущий финансовый год в случае предприятия, в зависимости от того, какая сумма больше, если имело место нарушение следующих положений: ( Статья 83 , Параграф 5 и 6 [35] )
    • основные принципы обработки, включая условия согласия, в соответствии со статьями 5 , 6 , 7 и 9
    • права субъектов данных во исполнение в статьях 12 до 22
    • передача персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44-49
    • любые обязательства в соответствии с законодательством государства-члена, принятым в соответствии с главой IX
    • несоблюдение приказа или временное или окончательное ограничение обработки или приостановление потоков данных надзорным органом в соответствии со статьей 58 (2) или непредоставление доступа в нарушение статьи 58 (1) [7]

Исключения [ править ]

Это некоторые случаи, которые специально не рассматриваются в GDPR, поэтому рассматриваются как исключения. [36]

  • Личная или домашняя деятельность
  • Правоохранительные органы
  • Национальная безопасность [7]

Когда создавался GDPR, он был строго создан для регулирования личных данных, которые попадают в руки компаний. GDPR не распространяется на вашу некоммерческую информацию или домашнюю деятельность. [37] Примером таких домашних дел может быть переписка между двумя школьными друзьями.

Кроме того, GDPR не применяется, когда данные потенциально связаны с полицейским расследованием. Несмотря на то, что это не регулируется GDPR, Часть 3 Закона о защите данных от 2018 года прямо охватывает эти основания. [38]

Наконец, когда данные поступают в национальную безопасность, они выходят за рамки GPDR, поэтому они подпадают под действие Закона о защите данных от 2018 г., часть 2, глава 3. [39]

И наоборот, юридическое лицо или, точнее, «предприятие» должно заниматься «экономической деятельностью», чтобы на него распространялся GDPR. [a] Экономическая деятельность широко определяется законодательством Европейского Союза о конкуренции . [40]

Применимость за пределами Европейского Союза [ править ]

GDPR также применяется к контроллерам и обработчикам данных за пределами Европейской экономической зоны (ЕЭЗ), если они участвуют в «предложении товаров или услуг» (независимо от того, требуется ли оплата) субъектам данных в пределах ЕЭЗ или осуществляют мониторинг поведение субъектов данных в ЕЭЗ (статья 3 (2)). Регламент применяется независимо от того, где происходит обработка. [41] Это было истолковано как намеренное предоставление экстерриториальной юрисдикции GDPR для предприятий, не входящих в ЕС, если они ведут дела с людьми, проживающими в ЕС. [42]

Представитель ЕС [ править ]

Согласно статье 27 предприятия, не входящие в ЕС, на которые распространяется действие GDPR, обязаны иметь назначенного в Европейском союзе представителя, «представителя в ЕС», который мог бы служить контактным лицом для выполнения своих обязательств в соответствии с регламентом. Представитель в ЕС является контактным лицом Контролера или Обработчика по отношению к европейским надзорным органам за конфиденциальностью и субъектам данных по всем вопросам, связанным с обработкой, для обеспечения соблюдения настоящего GDPR. Физическое (физическое) или моральное (корпоративное) лицо может играть роль представителя ЕС. [43] Учреждение, не входящее в ЕС, должно выдать должным образом подписанный документ (письмо об аккредитации), в котором определенное лицо или компания назначаются в качестве представителя в ЕС. Указанное обозначение может быть дано только в письменной форме. [44]

Неспособность учреждения назначить представителя в ЕС считается игнорированием правил и соответствующих обязательств, что само по себе является нарушением GDPR и подлежит штрафу в размере до 10 миллионов евро или до 2% от годового мирового оборота за предыдущий финансовый год. в случае предприятия - в зависимости от того, что больше. Умышленный или небрежный (умышленная слепота) характер нарушения (неспособность назначить представителя ЕС) может, скорее, представлять собой отягчающие обстоятельства. [45]

Учреждению не нужно указывать представителя ЕС, если оно участвует только в эпизодической обработке, которая не включает в себя крупномасштабную обработку особых категорий данных, как указано в статье 9 (1) GDPR, или обработку персональных данных, относящихся к за уголовные обвинения и правонарушения, указанные в статье 10, и такая обработка вряд ли приведет к риску для прав и свобод физических лиц, учитывая характер, контекст, объем и цели обработки. [7] Государственные органы и органы, не входящие в ЕС, также освобождены от уплаты налогов. [46]

Третьи страны [ править ]

Глава V GDPR запрещает передачу персональных данных субъектов данных ЕС в страны за пределами ЕЭЗ, известные как третьи страны, если не введены соответствующие меры безопасности или правила защиты данных третьих стран формально считаются адекватными Европейской комиссией ( Статья 45). [47] [48] Среди примеров - обязательные корпоративные правила , стандартные договорные положения о защите данных, изданные DPA, или схема обязательных и подлежащих исполнению обязательств со стороны контроллера данных или процессора, расположенного в третьей стране. [49]

Реализация в Соединенном Королевстве [ править ]

На применимость GDPR в Великобритании влияет Brexit . Хотя Соединенное Королевство формально вышло из Европейского Союза 31 января 2020 года, оно оставалось под действием законодательства ЕС, включая GDPR, до конца переходного периода 31 декабря 2020 года. [47] Соединенное Королевство предоставило королевское согласие на защиту данных. Закон 2018 от 23 мая 2018 года, который дополнил GDPR, включая аспекты регулирования, которые должны быть определены национальным законодательством, и уголовные преступления за сознательное или опрометчивое получение, распространение или сохранение персональных данных без согласия контроллера данных. [50] [51]

В соответствии с Законом о Европейском союзе (выход) 2018 года существующий и соответствующий закон ЕС будет перенесен в местное законодательство по завершении перехода, а GDPR будет изменен законодательным актом, чтобы удалить некоторые положения, которые больше не нужны из-за того, что Великобритания не является членом. в ЕС. В дальнейшем регулирование будет называться «GDPR Великобритании». [52] [48] [47] Великобритания не будет ограничивать передачу личных данных в страны ЕЭЗ в соответствии с GDPR Великобритании. Однако Великобритания станет третьей страной.в соответствии с GDPR ЕС, что означает, что личные данные не могут быть переданы в страну, если не будут приняты соответствующие меры безопасности или если Европейская комиссия не примет решение о соответствии британского законодательства о защите данных (Глава V). В рамках соглашения об отзыве Европейская комиссия обязалась провести оценку адекватности. [47] [48]

В апреле 2019 года в Великобритании Управление информации комиссара (ICO) опубликовало предлагаемый кодекс практики для социальных сетей при использовании несовершеннолетних, применимом в соответствии с GDPR, который также включает в себя ограничения на « как » и механизмы «мелирования» для того , чтобы препятствовать социальный медиа зависимость и использование этих данных для обработки интересов. [53] [54]

Прием [ править ]

Предложение о новом регламенте вызвало много споров и дискуссий. [55] [56] Были предложены тысячи поправок. [57] Согласно исследованию, проведенному Deloitte в 2018 году, 92% компаний считают, что в долгосрочной перспективе они могут соблюдать GDPR в своей деловой практике. [58]

Несмотря на неоднозначное восприятие GDPR, компании, работающие за пределами ЕС, вложили значительные средства в приведение своей деловой практики в соответствие с GDPR. Сфера согласия GDPR имеет ряд последствий для предприятий, которые на практике записывают звонки. Типичный отказ от ответственности не считается достаточным для получения предполагаемого согласия на запись разговоров. Кроме того, когда запись началась, если вызывающий абонент отзовет свое согласие, тогда агент, принимающий вызов, должен иметь возможность остановить ранее начатую запись и гарантировать, что запись не будет сохранена. [59]

ИТ-специалисты ожидают, что соблюдение GDPR потребует дополнительных инвестиций в целом: более 80 процентов опрошенных ожидают, что расходы, связанные с GDPR, составят не менее 100 000 долларов США. [60] Обеспокоенность была отражена в отчете, заказанном юридической фирмой Baker & McKenzie, который показал, что «около 70 процентов респондентов считают, что организациям потребуется вложить дополнительный бюджет / усилия для соблюдения согласия, сопоставления данных и трансграничных требования к передаче данных согласно GDPR ". [61] Общие затраты для компаний ЕС оцениваются примерно в 200 миллиардов евро, а для компаний США - в 41,7 миллиарда долларов. [62] Утверждалось, что малые предприятия и начинающие компаниимогут не иметь финансовых ресурсов для надлежащего соблюдения GDPR, в отличие от более крупных международных технологических компаний (таких как Facebook и Google ), на которые регулирование якобы направлено в первую очередь. [63] [64] Недостаток знаний и понимания правил также был проблемой в преддверии их принятия. [65] Противоположным аргументом этому является то, что компании были уведомлены об этих изменениях за два года до их вступления в силу и, следовательно, у них должно было быть достаточно времени для подготовки. [66]

Нормативные акты, в том числе необходимость наличия на предприятии сотрудника по защите данных, подвергались критике за потенциальную административную нагрузку и нечеткие требования соответствия. [67] Хотя минимизация данных является обязательным требованием, а псевдонимизация является одним из возможных средств, в нормативных актах не содержится указаний относительно того, как и что составляет эффективную схему деидентификации данных, с серой зоной на том, что можно рассматривать как неадекватный объект псевдонимизации. к Разделу 5 «Правоприменительные меры». [68] [69] [70] Также существует озабоченность по поводу реализации GDPR в системах блокчейнов , поскольку прозрачная и фиксированная запись транзакций блокчейна противоречит самой природе GDPR.[71] Многие СМИ прокомментировали введение « права на объяснение » алгоритмических решений, [72] [73] но ученые-правоведы с тех пор утверждали, что существование такого права крайне неясно без судебных проверок и ограничено. в лучшем случае. [74] [75]

GDPR получил поддержку со стороны компаний, которые рассматривают его как возможность улучшить управление своими данными. [76] [77] Марк Цукерберг также назвал это «очень позитивным шагом для Интернета» [78] и призвал принять в США законы в стиле GDPR. [79] Группы по защите прав потребителей, такие как Европейская организация потребителей, являются одними из самых активных сторонников закона. [80] Другие сторонники приписывают его прохождение разоблачителю Эдварду Сноудену . [81] Сторонник свободного программного обеспечения Ричард Столлманпохвалил некоторые аспекты GDPR, но призвал к дополнительным гарантиям, чтобы технологические компании не получали «согласие на производство». [82]

Воздействие [ править ]

Академические эксперты, участвовавшие в разработке GDPR, писали, что закон «является наиболее важным регуляторным событием в информационной политике за поколение. GDPR вводит персональные данные в сложный и защищающий нормативный режим. Тем не менее, идеи, содержащиеся в GDPR не является ни полностью европейским, ни новым. Средства защиты GDPR можно найти, хотя и в более слабых, менее предписывающих формах, в законах США о конфиденциальности и в расчетах Федеральной торговой комиссии с компаниями. [83]

Несмотря на то, что на подготовку и подготовку у них было не менее двух лет, многие компании и веб-сайты изменили свои политики конфиденциальности и функции по всему миру непосредственно перед внедрением GDPR и обычно отправляли электронные письма и другие уведомления с обсуждением этих изменений. Это подверглось критике за то, что привело к утомительному количеству сообщений, в то время как эксперты отметили, что в некоторых электронных письмах с напоминаниями неверно утверждалось, что новое согласие на обработку данных должно быть получено на тот момент, когда GDPR вступит в силу (любое ранее полученное согласие на обработку действительно до тех пор, пока он соответствовал требованиям регламента). Фишинг- мошенничество также возникло с использованием поддельных версий электронных писем, связанных с GDPR, и также утверждалось, что некоторые электронные письма с уведомлениями GDPR могли действительно быть отправлены с нарушением законов о борьбе со спамом. [84] [16]В марте 2019 года поставщик программного обеспечения для обеспечения соответствия обнаружил, что многие веб-сайты, управляемые правительствами стран-членов ЕС, содержат встроенные средства отслеживания от поставщиков рекламных технологий. [85] [86]

Поток уведомлений, связанных с GDPR, также вдохновил на создание мемов , в том числе тех, которые окружают уведомления о политике конфиденциальности, доставляемые нетипичными средствами (такими как доска спиритических сеансов или открывающее сканирование Звездных войн ), предполагая, что список "непослушных или хороших" Санта-Клауса был нарушением и запись выдержек из постановления бывшего диктора BBC Radio 4 Shipping Forecast . Блог, Зал позора GDPR, также был создан для демонстрации необычной доставки уведомлений GDPR и попыток соблюдения требований, содержащих вопиющие нарушения требований регламента. Его автор отметил, что в нормативном акте «много мелких деталей, скрытых в подробностях, но не так много информации о том, как соблюдать», но также признал, что у предприятий есть два года на соблюдение, что делает некоторые из его ответов необоснованными. . [87] [88] [89] [90] [91]

Исследования показывают, что примерно 25% уязвимостей программного обеспечения имеют последствия для GDPR. [92] Поскольку статья 33 делает упор на нарушениях, а не на ошибках, эксперты по безопасности советуют компаниям инвестировать в процессы и возможности для выявления уязвимостей до того, как они могут быть использованы, в том числе процессы скоординированного раскрытия уязвимостей . [93] [94] Исследование политик конфиденциальности приложений Android, возможностей доступа к данным и поведения доступа к данным показало, что многие приложения демонстрируют несколько более благоприятное для конфиденциальности поведение с момента внедрения GDPR, однако они по-прежнему сохраняют большую часть своих прав доступа к данным. в их коде. [95] [96]Расследование Совета потребителей Норвегии (на норвежском языке Forbrukerrådet) в отношении панелей мониторинга субъектов данных после GDPR на платформах социальных сетей (таких как панель инструментов Google ) пришло к выводу, что крупные компании, занимающиеся социальными сетями, применяют обманчивую тактику, чтобы отговорить своих клиентов от повышения резкости их настройки конфиденциальности. [97]

С даты вступления в силу некоторые международные веб-сайты начали полностью блокировать пользователей из ЕС (включая Instapaper , [98] Unroll.me, [99] и газеты, принадлежащие Tribune Publishing , такие как Chicago Tribune и Los Angeles Times ) или перенаправлять их на урезанные версии их услуг (в случае National Public Radio и USA Today ) с ограниченной функциональностью и / или без рекламы, так что они не несут ответственности. [100] [101] [102] [103] Некоторые компании, такие как Klout, и несколько онлайн-видеоигр прекратили работу полностью, чтобы совпасть с ее реализацией, сославшись на GDPR как на бремя для их дальнейшей работы, особенно из-за бизнес-модели первой. [104] [105] [106] Объем продаж размещения поведенческой онлайн- рекламы в Европе упал на 25–40% 25 мая 2018 года. [107]

В 2020 году, через два года после начала внедрения GDPR, Европейская комиссия оценила, что пользователи в ЕС повысили свои знания о своих правах, заявив, что «69% населения в возрасте старше 16 лет в ЕС слышали о GDPR. и 71% людей слышали о своем национальном органе по защите данных ». [108] [109] Комиссия также обнаружила, что конфиденциальность стала конкурентным качеством для компаний, которое потребители принимают во внимание в своих процессах принятия решений. [108]

Правоприменение и несогласованность [ править ]

Основная статья: штрафы и уведомления GDPR

Facebook и дочернее WhatsApp и Instagram , а также Google LLC (таргетинг Android ), сразу же подали в суд на Max Шремс «ы некоммерческого NOYB через несколько часов после полуночи 25 мая 2018 года, для их использования„вынужденного согласия“. Шремс утверждает, что обе компании нарушили Статью 7 (4), не предоставив согласия на обработку данных на индивидуальной основе и потребовав от пользователей согласия на все действия по обработке данных (включая те, которые не являются строго необходимыми), или им будет запрещено использовать Сервисы. [110] [111] [112] [113] [114]21 января 2019 года французское агентство DPA оштрафовало Google на 50 миллионов евро за недостаточный контроль, согласие и прозрачность использования личных данных для поведенческой рекламы. [115] [116] В ноябре 2018 года, после журналистского расследования в отношении Ливиу Драгня, румынское агентство DPA (ANSPDCP) использовало запрос GDPR для получения информации об источниках проекта RISE . [117] [118]

В июле 2019 года Управление британского информационного комиссара объявило о намерении оштрафовать British Airways на рекордные 183 миллиона фунтов стерлингов (1,5% от оборота) за плохие меры безопасности, которые позволили провести в 2018 году атаку веб-скимминга, затронувшую около 380000 транзакций. [119] [120] [121] [122] [123] British Airways была в конечном итоге оштрафована на уменьшенную сумму в 20 миллионов фунтов стерлингов, при этом ICO отметило, что они «учли ​​как заявления BA, так и экономическое влияние COVID-19 на их дело до назначения окончательного штрафа ". [124]

В декабре 2019 года издание Politico сообщило, что Ирландия и Люксембург - две небольшие страны ЕС, которые имели репутацию налоговых убежищ и (особенно в случае Ирландии) в качестве базы для европейских дочерних компаний крупных технологических компаний США, столкнулись со значительными отставаниями в свои исследования крупных иностранных компаний в соответствии с GDPR, при этом Ирландия в качестве фактора указала на сложность регулирования. Критики, опрошенные « Политико», также утверждали, что правоприменению также препятствуют различные толкования между государствами-членами, приоритет руководства над правоприменением со стороны некоторых властей и отсутствие сотрудничества между государствами-членами. [125]

Несмотря на то, что компании теперь несут юридические обязательства, все еще существуют различные несоответствия в практической и технической реализации GDPR. [126] Например, согласно праву GDPR на доступ, компании обязаны предоставлять субъектам данных данные, которые они собирают о себе. Однако в исследовании карт лояльности в Германии компании не предоставили субъектам данных точную информацию о приобретенных товарах. [127] Кто-то может возразить, что такие компании не собирают информацию о приобретенных товарах, что не соответствует их бизнес-моделям. Следовательно, субъекты данных склонны рассматривать это как нарушение GDPR. В результате исследования предложили улучшить контроль со стороны властей. [127]

Согласно GDPR, конечных пользователей согласие должно быть действительным, дарованное, конкретным, информированным и активным. [128] Однако отсутствие возможности принудительного исполнения в отношении получения законного согласия было проблемой. Например, исследование 2020 года показало, что крупные технологические компании , то есть Google , Amazon , Facebook , Apple и Microsoft (GAFAM), используют темные шаблоны в своих механизмах получения согласия, что вызывает сомнения в законности полученного согласия. [128]

Влияние на международное право [ править ]

Массовое принятие этих новых стандартов конфиденциальности международными компаниями было приведено в качестве примера « эффекта Брюсселя », явления, при котором европейские законы и постановления используются в качестве глобальной основы из-за их важности. [129]

Штат Калифорния в США принял Закон о конфиденциальности потребителей Калифорнии 28 июня 2018 года, вступивший в силу 1 января 2020 года: он предоставляет права на прозрачность и контроль над сбором личной информации компаниями аналогично GDPR. Критики утверждали, что такие законы должны быть реализованы на федеральном уровне, чтобы быть эффективными, поскольку набор законов на уровне штатов будет иметь различные стандарты, которые усложнят соблюдение. [130] [131] [132]

Республика Турция , страна держит свой статус кандидата на вступление в Европейский Союз принял Закон о защите персональных данных от 24 марта 2016 года в соответствии с ЕС сводом . [133]

Хронология [ править ]

  • 25 января 2012 г .: опубликовано предложение по GDPR. [10]
  • 21 октября 2013 г .: Комитет Европейского парламента по гражданским свободам, правосудию и внутренним делам (LIBE) провел ориентационное голосование.
  • 15 декабря 2015 г .: Переговоры между Европейским парламентом , Советом и Комиссией ( официальное заседание трилогии ) привели к выработке совместного предложения.
  • 17 декабря 2015 г .: Комитет LIBE Европейского парламента проголосовал за переговоры между тремя партиями.
  • 8 апреля 2016 г .: Принятие Советом Европейского Союза. [134] Единственным государством-членом, проголосовавшим против, была Австрия, которая утверждала, что уровень защиты данных в некоторых отношениях ниже директивы 1995 года. [135] [136]
  • 14 апреля 2016 года: принятие Европейским парламентом. [137]
  • 24 мая 2016: Постановление вступило в силу через 20 дней после его публикации в Официальном журнале Европейского Союза . [18]
  • 25 мая 2018 г .: Его положения стали напрямую применяться во всех государствах-членах, через два года после вступления в силу правил. [18]
  • 20 июля 2018 года: GDPR вступил в силу в странах ЕЭЗ ( Исландия , Лихтенштейн и Норвегия ) [138] после того, как Объединенный комитет ЕЭЗ и три страны согласились следовать правилам. [139]

Единый цифровой рынок ЕС [ править ]

Стратегия единого цифрового рынка ЕС касается деятельности « цифровой экономики », связанной с бизнесом и людьми в ЕС. [140] В рамках стратегии, GDPR и Директива NIS применяются с 25 мая 2018 года. Планировалось, что предложенное положение о конфиденциальности будет применяться с 25 мая 2018 года, но будет отложено на несколько месяцев. [141] eIDAS Регулирование также является частью стратегии.

При первоначальной оценке Европейский совет заявил, что GDPR следует рассматривать «как необходимое условие для разработки будущих инициатив в области цифровой политики». [142]

См. Также [ править ]

  • Закон о защите конфиденциальности детей в Интернете (COPPA)
  • Конвенция Совета Европы о киберпреступности
  • Переносимость данных
  • Не отслеживать законодательство
  • Защита конфиденциальности ЕС – США
  • Регламент электронной конфиденциальности (Европейский Союз)
  • Директива о конфиденциальности и электронных коммуникациях 2002 г.
  • Оценка воздействия на конфиденциальность

Примечания [ править ]

  1. ^ См. Статью 4 (18)GDPR: «предприятие» означает физическое или юридическое лицо, занимающееся экономической деятельностью, независимо от ее юридической формы, включая товарищества или ассоциации, регулярно занимающиеся экономической деятельностью. [7]

Цитаты [ править ]

  1. ^ «Председательство в Совете:» Компромиссный текст. Несколько частичных общих подходов сыграли важную роль в сближении мнений в Совете по предложению в отношении Общего регламента защиты данных в целом. Текст Регламента, который Президиум представляет на утверждение в качестве общего подхода, содержится в приложении «1000000000000 страниц, 11 июня 2015 г., PDF» . Архивировано 25 декабря 2015 года . Проверено 30 декабря 2015 года .
  2. ^ Франческа Лукарини, «Различия между Законом о конфиденциальности потребителей Калифорнии и GDPR» , Advisera
  3. ^ "Eckerson Group" . www.eckerson.com . Дата обращения 6 декабря 2020 .
  4. ^ Статья 3 (2) : Настоящий Регламент применяется к обработке персональных данных субъектов данных, которые находятся в Союзе, контроллером или процессором, не зарегистрированным в Союзе, если деятельность по обработке связана с: (а) предложением товаров или услуги, независимо от того, требуется ли оплата субъекта данных, таким субъектам данных в Союзе; или (b) мониторинг их поведения, поскольку их поведение происходит в пределах Союза.
  5. ^ https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data /
  6. ^ a b "EUR-Lex - 32016R0679 - EN - EUR-Lex" . eur-lex.europa.eu . Архивировано 17 марта 2018 года . Проверено 21 марта 2018 года .
  7. ^ a b c d e f g h i j k l m «ПОСТАНОВЛЕНИЕ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА ( статья 30 . Архивировано 28 июня 2017 года . Дата обращения 7 июня 2017 . Текст был скопирован из этого источника, который доступен по международной лицензии Creative Commons Attribution 4.0 .
  8. ^ "Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предотвращения, расследования, обнаружения или судебного преследования об уголовных преступлениях или исполнении уголовных наказаний, а также о свободном перемещении таких данных и об отмене Рамочного решения Совета 2008/977 / JHA " . 4 мая 2016.
  9. ^ Предлагаемый Общий регламент ЕС по защите данных. Руководство для штатных юристов, Hunton & Williams LLP, июнь 2015 г., стр. 14
  10. ^ a b «Защита данных» (PDF) . Европейская комиссия - Европейская комиссия . Архивировано 3 декабря 2012 года (PDF) . Проверено 3 января 2013 года .
  11. ^ "EUR-Lex - 32016R0679 - EN - EUR-Lex" . eur-lex.europa.eu . Архивировано 6 ноября 2017 года . Проверено 7 ноября 2017 года ..
  12. ^ Общие_Данные_Защита_Регуляция
  13. ^ новости
  14. ^ «Возраст согласия в GDPR: обновленное отображение» . iapp.org . Архивировано 27 мая 2018 года . Проверено 26 мая 2018 .
  15. ^ «Как предлагаемые правила защиты данных ЕС создают волновой эффект во всем мире» . Джуди Шмитт, Флориан Шталь. 11 October 2012. Проверено 3 января 2013 года.
  16. ^ a b Херн, Алекс (21 мая 2018 г.). «Большинство электронных писем GDPR не нужны, а некоторые - незаконны, - говорят эксперты» . Хранитель . Архивировано 28 мая 2018 года . Проверено 28 мая 2018 .
  17. ^ Камлейтнер, Бернадетт; Митчелл, Винс (1 октября 2019 г.). «Ваши данные - это мои данные: основа для устранения взаимозависимых нарушений конфиденциальности» . Журнал государственной политики и маркетинга . 38 (4): 433–450. DOI : 10.1177 / 0743915619858924 . ISSN 0743-9156 . S2CID 201343307 .  
  18. ^ a b c «Официальный журнал L 119/2016» . eur-lex.europa.eu . Архивировано 22 ноября 2018 года . Проверено 26 мая 2018 .
  19. ^ Статья 29 Рабочая группа (2017). Рекомендации по праву на переносимость данных . Европейская комиссия. Архивировано 29 июня 2017 года . Проверено 15 июля 2017 года .
  20. ^ Вел, Майкл; Биннс, Рувим; Ослоос, Джеф (2018). «Когда защита данных по дизайну и права субъектов данных противоречат друг другу» . Международный закон о конфиденциальности данных . 8 (2): 105–123. DOI : 10.1093 / idpl / ipy002 .
  21. ^ Zuiderveen Borgesius, Фредерик Дж (апрель 2016). «Выделение людей без знания их имен - поведенческий таргетинг, псевдонимные данные и новый Регламент защиты данных». Компьютерное право и обзор безопасности . 32 (2): 256–271. DOI : 10.1016 / j.clsr.2015.12.013 . ISSN 0267-3649 . 
  22. ^ Предложение к Общему регламенту ЕС по защите данных, архивировано 3 декабря 2012 г. на Wayback Machine . Европейская комиссия. 25 января 2012. Проверено 3 января 2013.
  23. ^ Болдри, Тони ; Хаймс, Оливер. «Право на забвение» . 1 Эссекс-Корт. Архивировано 19 октября 2017 года . Проверено 1 июня 2014 .
  24. ^ "Законодательная резолюция Европейского парламента от 12 марта 2014 г. по предложению о постановлении Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (Общий регламент защиты данных ) " . Европейский парламент . Архивировано 5 июня 2014 года . Проверено 1 июня 2014 .
  25. ^ a b «Право на возражение» . ico.org.uk . 30 августа 2019 . Дата обращения 14 ноября 2019 .
  26. ^ «Уведомления о конфиденциальности в соответствии с Общим регламентом ЕС о защите данных» . ico.org.uk . 19 января 2018. Архивировано 23 мая 2018 года . Проверено 22 мая 2018 .
  27. ^ "Какая информация должна быть предоставлена ​​лицам, чьи данные собираются?" . Европа (веб-портал). Архивировано 23 мая 2018 года . Проверено 23 мая 2018 .
  28. ^ «Конфиденциальность и защита данных по дизайну - ENISA» . Европа (веб-портал). Архивировано 5 апреля 2017 года . Проверено 4 апреля 2017 года .
  29. ^ Наука о данных в соответствии с GDPR с псевдонимизацией в конвейере данных. Архивировано 18 апреля 2018 г. в Wayback Machine. Опубликовано Dativa, 17 апреля 2018 г.
  30. ^ «Хотите соблюдать GDPR? Вот учебник по анонимизации и псевдонимизации» . iapp.org . Архивировано 19 февраля 2018 года . Проверено 19 февраля 2018 .
  31. ^ "EUR-Lex - Статья 37" . eur-lex.europa.eu . Архивировано 22 января 2017 года . Проверено 23 января 2017 года .
  32. ^ «Объяснение запросов субъектов данных GDPR» . TrueVault . Проверено 19 февраля 2019 .
  33. ^ «Руководство по сотрудникам по защите данных» . Архивировано 29 июня 2017 года . Проверено 27 августа 2017 года .
  34. ^ Янковский, Пайпер-Мередит. «Глобальный охват GDPR: что поставлено на карту?» . Лексология . Архивировано 26 мая 2018 года . Проверено 25 мая 2018 .
  35. ^ a b "L_2016119RU.01000101.xml" . eur-lex.europa.eu . Архивировано 10 ноября 2017 года . Проверено 28 августа 2016 .
  36. ^ «Исключения» . ico.org.uk . 20 июля 2020 . Дата обращения 11 ноября 2020 .
  37. ^ «Освобождение домохозяйств» в GDPR » . Фенек Фарруджа Fiott Legal | Ведущая юридическая фирма на Мальте . 22 мая 2020 . Дата обращения 11 ноября 2020 .
  38. ^ «Закон о защите данных 2018, часть 3» .
  39. ^ «Закон о защите данных 2018, часть 2, глава 3» .
  40. ^ Wehlander, Кэролайн (2016). «Глава 2« Экономическая деятельность »: критерии и актуальность в области права внутреннего рынка ЕС, законодательства о конкуренции и законодательства о закупках» (PDF) . В Wehlander, Кэролайн (ред.). Услуги общеэкономического значения как конституционная концепция права ЕС . Гаага, Нидерланды: TMC Asser Press. С. 35–65. DOI : 10.1007 / 978-94-6265-117-3_2 . ISBN  978-94-6265-116-6. Архивировано 26 мая 2018 года (PDF) . Проверено 23 мая 2018 .
  41. ^ «(Экстра) территориальная сфера действия GDPR: право на забвение» . Fasken.com . Проверено 21 февраля 2020 года .
  42. ^ «Экстерриториальный охват GDPR: должны ли предприятия за пределами ЕС подчиняться?» . Американская ассоциация адвокатов . Проверено 21 февраля 2020 года .
  43. ^ Искусство. 27 (4) Общего регламента по защите данных .
  44. ^ Искусство. 27 (1) GDPR .
  45. ^ Искусство. 83 (1), (2) и (4a) GDPR .
  46. ^ Искусство. 27 (2) Общего регламента по защите данных .
  47. ^ a b c d «Великобритания: Понимание полного воздействия Brexit на Великобританию: потоки данных ЕС» . Вопросы конфиденциальности . DLA Piper . 23 сентября 2019 . Проверено 20 февраля 2020 года .
  48. ^ a b c Палмер, Дэнни. «Что касается защиты данных, Великобритания заявляет, что пойдет в одиночку. Скорее всего, не пойдет» . ZDNet . Проверено 20 февраля 2020 года .
  49. Доннелли, Конор (18 января 2018 г.). «Как передать данные в« третью страну »согласно GDPR» . Блог по управлению ИТ En . Проверено 21 февраля 2020 года .
  50. ^ «Новый закон о защите данных завершен в Великобритании» . Out-Law.com . Архивировано 25 мая 2018 года . Проверено 25 мая 2018 .
  51. ^ «Новый закон Великобритании о защите данных приветствуется не всеми» . Computer Weekly . Архивировано 24 мая 2018 года . Проверено 25 мая 2018 .
  52. Портер, Джон (20 февраля 2020 г.). «Google передает власть над данными пользователей из Великобритании в США после выхода Великобритании из ЕС» . Грань . Проверено 20 февраля 2020 года .
  53. ^ «Моложе 18 лет сталкиваются с ограничениями« лайков »и« полос » . BBC News . 15 апреля 2019 . Проверено 15 апреля 2019 .
  54. Гринфилд, Патрик (15 апреля 2019 г.). «Facebook призвал отключить функцию« Нравится »для детей» . Хранитель . ISSN 0261-3077 . Проверено 15 апреля 2019 . 
  55. ^ Комитет юстиции Палаты общин (ноябрь 2012 г.). Заключение Комитета по предложениям ЕС о структуре защиты данных . Палата общин, Великобритания стр. 32. ISBN 9780215049759. Проверено 3 октября 2017 года . Еще один вопрос, который был предметом большого количества комментариев ... - это требование назначить DPO.
  56. ^ Wessing, Taylor (1 сентября 2016). «Обязанность соблюдения требований GDPR - сотрудники по защите данных» . taylorwessing.com . Тейлор Вессинг . Проверено 3 октября 2017 года . Одним из наиболее спорных с политической точки зрения нововведений Общего регламента по защите данных (GDPR) является обязанность назначать сотрудника по защите данных (DPO) в определенных случаях.
  57. ^ «Обзор поправок» . LobbyPlag. Архивировано 17 июля 2013 года . Проверено 23 июля 2013 года .
  58. ^ Гуч, Питер (2018). «Новая эра конфиденциальности - GDPR через шесть месяцев» (PDF) . Делойт, Великобритания . Проверено 26 ноября 2020 года .
  59. ^ «Как умные предприятия могут избежать штрафов GDPR при записи звонков» . xewave.io . Архивировано из оригинального 14 апреля 2018 года . Проверено 13 апреля 2018 года .
  60. Бабель, Крис (11 июля 2017 г.). «Высокая стоимость соблюдения GDPR» . Информационная неделя . UBM Technology Group. Архивировано 5 октября 2017 года . Проверено 4 октября 2017 года .
  61. ^ «Подготовка к новым режимам конфиденциальности: мнения специалистов по конфиденциальности в отношении Общего регламента защиты данных и Privacy Shield» (PDF) . bakermckenzie.com . Бейкер и Маккензи. 4 мая 2016 года архивации (PDF) с оригинала на 31 августа 2018 года . Проверено 4 октября 2017 года .
  62. ^ Георгиев, Георгий. «Калькулятор затрат на соблюдение GDPR» . GIGAcalculator.com . Архивировано 16 мая 2018 года . Проверено 16 мая 2018 .
  63. Солон, Оливия (19 апреля 2018 г.). «Как европейский« революционный »закон о конфиденциальности повлиял на Facebook и Google» . Хранитель . Архивировано 26 мая 2018 года . Проверено 25 мая 2018 .
  64. ^ «Новые европейские правила конфиденциальности - не серебряная пуля» . Politico.eu . 22 апреля 2018. архивации с оригинала на 26 мая 2018 года . Проверено 25 мая 2018 .
  65. ^ «Отсутствие знаний о GDPR - это опасность и возможность» . MicroscopeUK . Архивировано 26 мая 2018 года . Проверено 25 мая 2018 .
  66. ^ «Никто не готов к GDPR» . Грань . Архивировано 28 мая 2018 года . Проверено 1 июня 2018 .
  67. ^ «Новые правила защиты данных создают проблемы для фирм» . The Irish Times . Архивировано 26 мая 2018 года . Проверено 25 мая 2018 .
  68. ^ Уэс, Мэтт (25 апреля 2017 г.). «Хотите соблюдать GDPR? Вот учебник по анонимизации и псевдонимизации» . IAPP. Архивировано 19 февраля 2018 года . Проверено 19 февраля 2018 .
  69. ^ Chassang, G. (2017). Влияние общих правил защиты данных ЕС на научные исследования. раковая медицина, 11.
  70. ^ Tarhonen, Лаура (2017). «Псевдонимизация личных данных в соответствии с Общим регламентом защиты данных» . Архивировано 19 февраля 2018 года . Проверено 19 февраля 2018 .
  71. ^ «В недавнем отчете, выпущенном Ассоциацией блокчейнов Ирландии, было обнаружено, что относительно GDPR существует гораздо больше вопросов, чем ответов» . Siliconrepublic.com . Архивировано 5 марта 2018 года . Проверено 5 марта 2018 .
  72. ^ Образец, Ян (27 января 2017 г.). «Сторожевой таймер AI необходим для регулирования автоматизированного принятия решений, - говорят эксперты» . Хранитель . ISSN 0261-3077 . Архивировано 18 июня 2017 года . Проверено 15 июля 2017 года . 
  73. ^ «Право ЕС на объяснение: вредное ограничение на искусственный интеллект» . techzone360.com . Архивировано 4 августа 2017 года . Проверено 15 июля 2017 года .
  74. ^ Вахтер, Сандра; Миттельштадт, Брент; Флориди, Лучано (28 декабря 2016 г.). «Почему право на объяснение автоматизированного принятия решений не существует в Общем регламенте защиты данных». SSRN 2903469 .  Цитировать журнал требует |journal=( помощь )
  75. ^ Эдвардс, Лилиан; Вил, Майкл (2017). «Подчинение алгоритму? Почему« право на объяснение », вероятно, не то средство, которое вы ищете» . Duke Law and Technology Review . DOI : 10.2139 / ssrn.2972855 . SSRN 2972855 . 
  76. ^ Frimin, Майкл (29 марта 2018). «Пять преимуществ соблюдения GDPR для вашего бизнеса» . Forbes . Архивировано 12 сентября 2018 года . Проверено 11 сентября 2018 года .
  77. Баттерворт, Тревор (23 мая 2018 г.). «Новый жесткий европейский закон о цифровой конфиденциальности должен стать образцом для политиков США» . Vox. Архивировано 12 сентября 2018 года . Проверено 11 сентября 2018 года .
  78. ^ Джефф, Джастин; Хаутала, Лаура (25 мая 2018 г.). «Что GDPR означает для Facebook, ЕС и вас» . CNET . Архивировано 12 сентября 2018 года . Проверено 11 сентября 2018 года .
  79. ^ «Призыв генерального директора Facebook Цукерберга к законам о конфиденциальности GDPR вызывает вопросы» . www.cnbc.com .
  80. ^ Тик, Nitasha (19 марта 2018). «Новый европейский закон о конфиденциальности изменит Интернет и многое другое» . Проводной . Архивировано 15 октября 2018 года . Проверено 11 сентября 2018 года .
  81. ^ Калянпур, Нихил; Ньюман, Авраам (25 мая 2018 г.). «Сегодня новый закон ЕС меняет права на неприкосновенность частной жизни для всех. Без Эдварда Сноудена этого никогда бы не произошло» . Вашингтон Пост . Архивировано 11 октября 2018 года . Проверено 11 сентября 2018 года .
  82. Рианна Столмен, Ричард (3 апреля 2018 г.). «Радикальное предложение сохранить ваши личные данные в безопасности» . Хранитель . Архивировано 12 сентября 2018 года . Проверено 11 сентября 2018 года .
  83. ^ Hoofnagle, Крис; ван дер Слоот, Барт; Боргезиус, Фредерик Зейдервен (10 февраля 2019 г.). «Общие правила защиты данных Европейского Союза: что это такое и что это значит» . Закон об информационных и коммуникационных технологиях . 28 : 65–98. DOI : 10.1080 / 13600834.2019.1573501 .
  84. ^ Afifi-Сабе, Keumars (3 мая 2018). «Мошенники используют оповещения по электронной почте GDPR для проведения фишинговых атак» . ЭТО ПРО . Архивировано 26 мая 2018 года . Проверено 25 мая 2018 .
  85. ^ «Правительство ЕС и сайты общественного здравоохранения не содержат рекламы, как показывает исследование» . TechCrunch . Проверено 18 марта 2019 .
  86. ^ «Граждане ЕС отслеживаются на секретных правительственных сайтах» . Financial Times . Проверено 18 марта 2019 .
  87. ^ «Засыпайте за секунды, слушая успокаивающий голос, прочитайте новое законодательство ЕС о GDPR» . Грань . Архивировано 17 июня 2018 года . Проверено 16 июня 2018 .
  88. ^ «Как европейские правила GDPR стали мемом» . Проводной . Архивировано 18 июня 2018 года . Проверено 17 июня 2018 .
  89. ^ «Интернет создал мем, вдохновленный GDPR, используя политику конфиденциальности» . Adweek . Архивировано 17 июня 2018 года . Проверено 17 июня 2018 .
  90. ^ Берджесс, Мэтт. «Помогите, мои лампочки погибли! Как GDPR стал больше, чем Бейонсе» . Wired.co.uk . Архивировано 19 июня 2018 года . Проверено 17 июня 2018 .
  91. ^ «Вот некоторые из худших попыток соблюдения GDPR» . Материнская плата . 25 мая 2018. Архивировано 18 июня 2018 года . Проверено 17 июня 2018 .
  92. ^ «Какой процент уязвимостей вашего программного обеспечения влияет на GDPR?» (PDF) . HackerOne. 16 января 2018. архивации (PDF) с оригинала на 6 июля 2018 года . Проверено 6 июля 2018 года .
  93. ^ «Сотрудник по защите данных (DPO): все, что вам нужно знать» . Череп и HackerOne. 20 марта 2018. Архивировано 31 августа 2018 года . Проверено 6 июля 2018 года .
  94. ^ "Как могут выглядеть программы вознаграждения за ошибки в соответствии с GDPR?" . Международная ассоциация профессионалов в области конфиденциальности (IAPP). 27 марта 2018. Архивировано 6 июля 2018 года . Проверено 6 июля 2018 .
  95. ^ Momen, N .; Hatamian, M .; Фрич, Л. (ноябрь 2019 г.). «Улучшилась ли конфиденциальность приложений после GDPR?» . IEEE Security Privacy . 17 (6): 10–20. DOI : 10.1109 / MSEC.2019.2938445 . ISSN 1558-4046 . S2CID 203699369 .  
  96. ^ Хатамян, Маджид; Момен, Нурул; Фрич, Лотар; Ранненберг, Кай (2019), Нальди, Маурицио; Italiano, Джузеппе Ф .; Ранненберг, Кай; Медина, Манель (ред.), «Многосторонний метод анализа воздействия на конфиденциальность для приложений Android» , Технологии и политика конфиденциальности , Springer International Publishing, 11498 , стр. 87–106, doi : 10.1007 / 978-3-030-21752-5_7 , ISBN 978-3-030-21751-8
  97. ^ Моэн, Гро Метте, Айло Крог Равна и Финн Мирстад: Обманутые дизайном - Как технологические компании используют темные шаблоны, чтобы отговорить нас от реализации наших прав на конфиденциальность. 2018. Отчет Совета потребителей Норвегии / Forbrukerrådet. https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf
  98. ^ «Instapaper временно закрывает доступ для европейских пользователей из-за GDPR» . Грань . Архивировано 24 мая 2018 года . Проверено 24 мая 2018 .
  99. ^ «Unroll.me, чтобы закрыть пользователей ЕС, заявляющих, что он не может соответствовать GDPR» . TechCrunch . Архивировано 30 мая 2018 года . Проверено 29 мая 2018 .
  100. ^ Херн, Алекс; Уотерсон, Джим (24 мая 2018 г.). «Сайты блокируют пользователей, закрывают деятельность и переполняют почтовые ящики, поскольку правила GDPR вырисовываются» . Хранитель . Архивировано 24 мая 2018 года . Проверено 25 мая 2018 .
  101. ^ «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы» . Bloomberg LP 25 мая 2018 года. Архивировано 25 мая 2018 года . Проверено 26 мая 2018 .
  102. ^ «Новостные агентства США блокируют европейских читателей из-за новых правил конфиденциальности» . Нью-Йорк Таймс . 25 мая 2018 г. ISSN 0362-4331 . Архивировано 26 мая 2018 года . Проверено 26 мая 2018 . 
  103. ^ "Смотрите: вот что видят граждане ЕС теперь, когда GDPR приземлился" . Рекламный век . Архивировано 25 мая 2018 года . Проверено 26 мая 2018 .
  104. ^ Тик, Nitasha (24 мая 2018). «Почему ваш почтовый ящик забит политиками конфиденциальности» . Проводной . Архивировано 24 мая 2018 года . Проверено 25 мая 2018 .
  105. Chen, Brian X. (23 мая 2018 г.). «Получаете поток обновлений политики конфиденциальности, связанных с GDPR? Прочтите их» . Нью-Йорк Таймс . ISSN 0362-4331 . Архивировано 24 мая 2018 года . Проверено 25 мая 2018 . 
  106. ^ Lanxon, Nate (25 мая 2018). «Заблокировать 500 миллионов пользователей проще, чем соблюдать новые правила Европы» . Блумберг . Архивировано 25 мая 2018 года . Проверено 25 мая 2018 .
  107. ^ «Беспредел GDPR: в Европе резко упали покупки программной рекламы» . Digiday . 25 мая 2018. Архивировано 25 мая 2018 года . Проверено 26 мая 2018 .
  108. ^ a b "Уголок пресса" . Европейская комиссия - Европейская комиссия . Дата обращения 18 сентября 2020 .
  109. ^ «Ваши права имеют значение: защита данных и конфиденциальность - обзор основных прав» . Агентство Европейского Союза по основным правам . 12 июня 2020 . Дата обращения 18 сентября 2020 .
  110. ^ «GDPR: noyb.eu подал четыре жалобы на« принудительное согласие »против Google, Instagram, WhatsApp и Facebook» (PDF) . NOYB.eu. 25 мая 2018 . Проверено 26 мая 2018 .
  111. ^ "Facebook и Google получили судебные иски на сумму 8,8 миллиарда долларов в первый день принятия GDPR" . Грань . Архивировано 25 мая 2018 года . Проверено 26 мая 2018 .
  112. ^ «Макс Шремс подает первые иски в соответствии с GDPR против Facebook и Google» . The Irish Times . Архивировано 25 мая 2018 года . Проверено 26 мая 2018 .
  113. ^ «Facebook и Google столкнулись с первыми жалобами на GDPR из-за« принудительного согласия » » . TechCrunch . Архивировано 26 мая 2018 года . Проверено 26 мая 2018 .
  114. ^ Мейер, Дэвид. «На Google и Facebook поступили серьезные жалобы на GDPR: скоро появятся и другие» . ZDNet . Архивировано 28 мая 2018 года . Проверено 26 мая 2018 .
  115. ^ Фокс, Крис (21 января 2019). «Google наложил штраф в размере 44 млн фунтов стерлингов» . BBC News . Проверено 14 июня 2019 .
  116. Портер, Джон (21 января 2019 г.). «Google оштрафовал на 50 миллионов евро за нарушение GDPR во Франции» . Грань . Проверено 14 июня 2019 .
  117. ^ Мэсник, Майк (19 ноября 2018). «Еще одна катастрофа с GDPR: журналистов приказали передать секретные источники в соответствии с законом о защите данных» . Архивировано 20 ноября 2018 года . Проверено 20 ноября 2018 года .
  118. ^ Bălăiţi, Джордж (9 ноября 2018). «Английский перевод письма румынского органа по защите данных в проект RISE» . Проект по освещению организованной преступности и коррупции . Архивировано 9 ноября 2018 года . Проверено 20 ноября 2018 года .
  119. ^ « « Намерение оштрафовать British Airways на 183,39 млн фунтов стерлингов в соответствии с GDPR за нарушение данных » » . ICO . 8 июля 2019 . Проверено 22 декабря 2020 .
  120. Whittaker, Zack (11 сентября 2018 г.). «Взлом British Airways вызван вредоносным ПО для скиминга кредитных карт, - говорят исследователи» . TechCrunch . Архивировано 10 декабря 2018 года . Проверено 9 декабря 2018 .
  121. ^ «Босс British Airways приносит извинения за« злонамеренную »утечку данных» . BBC News . 7 сентября 2018. Архивировано 15 октября 2018 года . Проверено 7 сентября 2018 года .
  122. ^ Sweney, Марк (8 июля 2019). «BA грозит штраф в размере 183 миллиона фунтов стерлингов за нарушение данных о пассажирах» . Хранитель . ISSN 0261-3077 . Дата обращения 8 июля 2019 . 
  123. ^ «British Airways грозит рекордный штраф в 183 миллиона фунтов стерлингов за нарушение данных» . BBC News . 8 июля 2019 . Дата обращения 8 июля 2019 .
  124. ^ « « ICO оштрафовало British Airways на 20 миллионов фунтов стерлингов за утечку данных, затронувшую более 400 000 клиентов » » . ICO . 16 октября 2020 . Проверено 22 декабря 2020 .
  125. ^ Винокур, Николай (27 декабря 2019). « « У нас огромная проблема »: европейский регулятор отчаялся из-за отсутствия правоприменения» . Политико . Дата обращения 6 мая 2020 .
  126. ^ Ализаде, Фатемех; Якоби, Тимо; Болдт, Йенс; Стивенс, Гуннар (2019). «GDPR-проверка реальности на право доступа к данным». Материалы Mensch und Computer 2019 на - MuC'19 . Нью-Йорк, Нью-Йорк, США: ACM Press: 811–814. DOI : 10.1145 / 3340764.3344913 . ISBN 978-1-4503-7198-8. S2CID  202159324 .
  127. ^ а б Ализаде, Фатемех; Якоби, Тимо; Боден, Александр; Стивенс, Гуннар; Болдт, Йенс (2020). «Проверка реальности GDPR - получение и исследование данных, позволяющих установить личность, от компаний» (PDF) . EuroUSEC .
  128. ^ a b Человек, Soheil; Чех, Флориан (2021). Циммерманн, Альфред; Хоулетт, Роберт Дж .; Джайн, Лахми К. (ред.). «Человекоцентричный взгляд на цифровое согласие: случай GAFAM» (PDF) . Интеллектуальные системы, ориентированные на человека . Умные инновации, системы и технологии. Сингапур: Спрингер. 189 : 139–159. DOI : 10.1007 / 978-981-15-5784-2_12 . ISBN  978-981-15-5784-2.
  129. Робертс, Джефф Джон (25 мая 2018 г.). «GDPR действует: стоит ли бояться компаниям США?» . Архивировано 28 мая 2018 года . Проверено 28 мая 2018 .
  130. ^ «Комментарий: Новый закон Калифорнии о конфиденциальности данных может вызвать нормативную катастрофу» . Удача . Проверено 10 апреля 2019 .
  131. ^ «Калифорния единогласно принимает исторический закон о конфиденциальности» . Проводной . Архивировано 29 июня 2018 года . Проверено 29 июня 2018 .
  132. ^ «Маркетологи и технологические компании противостоят калифорнийской версии GDPR» . Архивировано 29 июня 2018 года . Проверено 29 июня 2018 .
  133. ^ "KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | История" . www.kvkk.gov.tr . Проверено 19 декабря 2020 .
  134. ^ «Реформа защиты данных: Совет принимает позицию при первом чтении - Consilium» . Европа (веб-портал).
  135. Принятие позиции Совета в первом чтении. Архивировано 25 ноября 2017 г. в Wayback Machine , Votewatch.eu
  136. Письменная процедура. Архивировано 1 декабря 2017 г. в Wayback Machine , 8 апреля 2016 г., Совет Европейского Союза.
  137. ^ «Реформа защиты данных - Парламент утверждает новые правила, соответствующие эпохе цифровых технологий - Новости - Европейский парламент» . Архивировано 17 апреля 2016 года . Проверено 14 апреля 2016 года .
  138. ^ «Общие правила защиты данных (GDPR) вступили в силу в ЕЭЗ» . ЕАСТ . 20 июля 2018. Архивировано 1 октября 2018 года . Проверено 30 сентября 2018 года .
  139. ^ Kolsrud, Кьетил (10 июля 2018). "GDPR - 20. июль эр датоэн!" . Rett24 . Архивировано 13 июля 2018 года . Проверено 13 июля 2018 .
  140. ^ «Единый цифровой рынок» . Единый цифровой рынок . Архивировано 8 октября 2017 года . Проверено 5 октября 2017 года .
  141. ^ «Что означает Регламент электронной конфиденциальности для онлайн-индустрии? - Электронная конфиденциальность» . www.eprivacy.eu . Архивировано 22 мая 2018 года . Проверено 26 мая 2018 .
  142. ^ «Позиция Совета и выводы по применению Общего регламента защиты данных (GDPR), 19 декабря 2019 г.» . Консилиум . Проверено 23 декабря 2019 .

Внешние ссылки [ править ]

  • Официальный текст Общего регламента по защите данных на 24 языках
  • Текст Общего регламента защиты данных
  • Защита данных , Европейская комиссия
  • Процедура 2012/0011 / COD , EUR-Lex
  • Справочник по европейскому законодательству о защите данных , Агентство Европейского Союза по основным правам
  • GDPRhub - бесплатная и открытая вики, которая позволяет любому найти и поделиться информацией о GDPR по всей Европе.