GDPR
General Data Protection Regulation (Регламент ЕС 2016/679)
Регламент ЕС о защите персональных данных, действующий с 25 мая 2018 года — определяет права субъектов данных и обязанности операторов.
Что такое GDPR?
GDPR (General Data Protection Regulation), официально Регламент Европейского парламента и Совета (ЕС) 2016/679, — юридически обязательный регламент о защите физических лиц при обработке персональных данных, действующий во всех государствах-членах ЕС с 25 мая 2018 года. Надзор за его соблюдением в Словакии осуществляет Управление по защите персональных данных СР (ÚOOÚ).
В России аналогичным нормативным актом является Федеральный закон № 152-ФЗ «О персональных данных». Принципы схожи: операторы обязаны иметь правовое основание для обработки данных, информировать субъектов, обеспечивать их права и принимать технические меры защиты.
GDPR определяет ключевые права субъектов данных:
- Право на доступ (ст. 15) — что компания хранит обо мне
- Право на исправление (ст. 16)
- Право на удаление / право быть забытым (ст. 17)
- Право на ограничение обработки (ст. 18)
- Право на перенос данных (ст. 20)
- Право на возражение (ст. 21)
Для оператора (каждой компании, обрабатывающей персональные данные) возникают обязанности: ведение записей об операциях обработки, оценка воздействия на защиту данных (DPIA) при высоком риске, назначение DPO (Data Protection Officer) при определённых масштабах обработки и уведомление о нарушениях безопасности в течение 72 часов.
Штрафы по GDPR могут достигать до 20 000 000 € или 4 % глобального годового оборота, в зависимости от того, какая сумма больше.
Когда применяется
GDPR касается каждой компании, обрабатывающей персональные данные граждан ЕС — сотрудников, клиентов, поставщиков (физических лиц), посетителей сайта. В ERP-системе это означает особое обращение с данными HR и CRM.
Связанные термины
- AI Act — дополнительный регламент для систем ИИ. См. /ru/glossariy/ai-act.
- ISO 27001 — сертификация помогает с соответствием GDPR. См. /ru/glossariy/iso-27001.
- RBAC — техническая реализация ограничения доступа к персональным данным. См. /ru/glossariy/rbac.
В Modulario
Modulario полностью соответствует требованиям GDPR. Модули Учёт и Файлы поддерживают политики хранения и автоматическое удаление по истечении срока.
Modulario предоставляет клиентам DPA (Data Processing Agreement) непосредственно в процессе регистрации, список субпроцессоров с хостингом в ЕС и автоматизированные инструменты для выполнения прав субъектов данных. При расторжении договора об обслуживании по истечении срока хранения данные безвозвратно удаляются.
Связанные термины
AI Act
Первый комплексный регламент ЕС, регулирующий разработку, внедрение и использование искусственного интеллекта — риск-ориентированный подход с четырьмя уровнями.
ISO/IEC 27001
Международный стандарт для системы управления информационной безопасностью (ISMS) — сертификация, демонстрирующая зрелость компании в области ИТ-безопасности.
RBAC
Модель авторизации, при которой разрешения назначаются через роли, а не отдельным пользователям — упрощённое управление и аудитируемость.
SSO
Механизм аутентификации, позволяющий пользователю войти один раз и получить доступ к нескольким приложениям без повторного ввода пароля.
ReBAC
Модель авторизации, основанная на связях между объектами — доступ определяется тем, в каких командах и проектах состоит пользователь.
Внедряете GDPR в своей компании?
Modulario покрывает большинство B2B-процессов модульно — внедряйте только то, что нужно сейчас, и постепенно расширяйтесь. Запишитесь на бесплатную консультацию.
Заказать консультацию