General Data Protection Regulation (общий регламент по защите данных) — набор правил по обработке и хранению персональной информации, который принят Евросоюзом в 2018 году. Он заменяет предыдущий регламент  — Директиву о защите персональных данных от 1995 года.

Зона действия

GDPR распространяет свое действие на все юридические лица, обрабатывающие персональную информацию граждан и резидентов стран Евросоюза.

В случае несоблюдения правил регламента на компанию-нарушителя накладываются штрафные санкции. Ее штрафуют на сумму в размере 10-20 миллионов евро либо 2-4% от годового оборота. Согласно регламенту, суд выбирает наибольшее значение.

Требования регламента

Соблюдение GDPR накладывает следующие требования на юридические лица:

  1. Организация обязана соблюдать полную прозрачность в отношении данных пользователей, которые она собирает, обрабатывает и хранит. Также она обязана предоставлять по запросу клиенту подробные сведения о том, в каких целях будут использованы или обработаны  персональные данные.
  2. Физическое лицо имеет право потребовать организацию переслать персональные данные третьей стороне в электронном варианте. Услуга полностью бесплатна.
  3. В случае обнаружения нарушений организация обязана сообщить регуляторам об этом в течение 72 часов с момента обнаружения события.
  4. По требованию клиентов юридическое лицо обязано удалить все персональные данные из систем, которые занимаются обработкой и хранением. Требование составляется в письменном виде.
  5. Физические лица имеют право направлять возражения против использования информации в маркетинговых или других целях.
  6. Персональная информация о детях находится под особой защитой. Согласие на хранение и обработку выдается только с разрешения родителей для детей до 16 лет.
  7. Организации, которые обрабатывают персональные данные в больших количествах или на регулярной основе, например, медзаписи пациентов, обязаны выбрать ответственное лицо по обеспечению защиты персональных данных.