Загальний регламент про захист даних
Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) — регламент в межах законодавства Європейського Союзу щодо захисту персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони. Він також стосується експорту персональних даних за межі ЄС і ЄЕЗ. GDPR покликаний насамперед надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.Регламент замінює Директиву про захист даних і містить положення і вимоги щодо опрацювання особової інформації суб'єктів даних всередині Європейського Союзу. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням», що означає, що персональні дані необхідно зберігати з використанням псевдонімів чи повної анонімізації та використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли бути використані для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.
Контролер персональних даних має чітко заявити, які дані збирає і як, чому їх опрацьовує, як довго зберігає і чи ділиться ними з будь-якими третіми сторонами. Користувачі мають право запросити мобільну копію даних, зібраних оператором, у загальноприйнятому форматі, і право на вилучення їхніх даних за певних обставин. Державні органи, а також підприємства, чия основна діяльність стосується регулярного чи систематичного опрацювання персональних даних, зобов'язані мати посаду співробітника з питань захисту даних (англ. data protection officer, DPO), який стежить за дотриманням GDPR. Підприємства повинні повідомляти про будь-яке порушення захисту даних, яке має негативний вплив на конфіденційність користувачів, упродовж 72 годин.
Регламент було прийнято 14 квітня 2016 року, набрав чинності 24 травня 2016 року (на 20-й день після офіційного опублікування в «Офіційному віснику Європейського Союзу») і після дворічного перехідного періоду почав застосовуватися 25 травня 2018. Оскільки GDPR — це регламент, а не директива, він не вимагає від національних урядів прийняття законів, які уможливлюють його дію, і є безпосередньо зобов'язальним і застосовним.
