Загальний регламент про захист даних

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) — регламент в межах законодавства Європейського Союзу щодо захисту персональних даних усіх осіб в межах Європейського Союзу та Європейської економічної зони. Вона також стосується експорту персональних даних за межі ЄС і ЄЕЗ. GDPR покликаний насамперед надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.[1]

Регламент замінює Директиву про захист даних і містить положення і вимоги щодо опрацювання особової інформації суб'єктів даних всередині Європейського Союзу. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням», що означає, що персональні дані повинні зберігатися з використанням псевдонімів або повної анонімізації і використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли використовуватися для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.

Оператор персональних даних має чітко заявити, які дані збираються і як, чому вони опрацьовуються, як довго вони зберігаються, і чи він ділиться ними з будь-якими третіми сторонами. Користувачі мають право запросити мобільну копію даних, зібраних оператором, у загальноприйнятому форматі, і право на вилучення їхніх даних за певних обставин. Державні органи, а також підприємства, чия основна діяльність стосується регулярної або систематичного опрацювання персональних даних, зобов'язані мати посаду співробітника з питань захисту даних (англ. data protection officer, DPO), який стежить за дотриманням GDPR. Підприємства повинні повідомляти про будь-яке порушення захисту даних, який чинить негативний вплив на конфіденційність користувачів, упродовж 72 годин.

Він був прийнятий 14 квітня 2016 року[2], набрав чинності 24 травня 2016 року (на 20-й день після офіційного опублікування в «Офіційному віснику Європейського Союзу») і після дворічного перехідного періоду почав застосовуватися 25 травня 2018.[3][4] Оскільки GDPR — це регламент, а не директива, він не вимагає від національних урядів прийняття законів, які уможливлюють його дію, і є безпосередньо зобов'язальним і застосовним.[5]

Зміст[ред. | ред. код]

Регламент містить такі основні вимоги:[6][7]

Сфера застосування[ред. | ред. код]

Регламент застосовується, якщо контролер даних (організація, яка збирає дані від резидентів ЄС) або оператор (організація, яка опрацьовує дані від імені контролера даних, як-то постачальники хмарних послуг), або суб'єкт даних (особа) базуються в ЄС. За певних обставин[8], дія цього регламенту також поширюється на організації, що базуються за межами ЄС, якщо вони збирають чи опрацьовують особисті дані фізичних осіб, розташованих в межах ЄС.

Згідно з визначенням Європейської комісії, «персональні дані — це будь-яка інформація щодо фізичної особи, не залежно від того, чи вона стосується його/її особистого, професійного чи суспільного життя. Це може бути що завгодно, зокрема: ім'я, домашня адреса, фотографія, адреса електронної пошти, банківські реквізити, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп'ютера».[9]

Регламент не претендує на те, щоб застосуватися до опрацювання персональних даних для національної безпеки та правоохоронної діяльності ЄС; однак певні групи, стурбовані потенційним конфліктом правових норм, висловили сумнів, чи не може стаття 48 GDPR[10] бути використаною, щоб запобігти передачі персональних даних резидентів ЄС від контролера даних, який підлягає юрисдикції третьої країни, до правоохоронних, судових органів чи органів національної безпеки цієї країни на їхню офіційну вимогу, незалежно від того, чи знаходяться дані в ЄС чи за його межами. Стаття 48 зазначає, що „будь-яке рішення суду або трибуналу та будь-яке рішення адміністративного органу в третій країні, що вимагає від контролера або оператора передати чи розкрити персональні дані, може бути визнане чи виконане у будь-який спосіб, якщо воно базується на міжнародній угоді, такій як договір про взаємну правову допомогу, яка є чинною для третьої країни, що подає запит, і Союзом або державою-членом, без обмеження інших підстав для передавання відповідно до цієї глави“. Пакет реформи захисту даних також включає окрему Директиву про захист даних для поліції та кримінального правосуддя,[11] яка містить правила обміну персональними даними на національному, європейському і міжнародному рівнях.

Єдиний звід правил буде поширюватися на всі держави-члени ЄС. Кожна держава-учасниця має створити незалежний наглядовий орган, що заслуховуватиме і розглядатиме скарги, здійснюватиме стягнення за адміністративні правопорушення та ін. Наглядовий орган у кожній державі-члені буде співпрацювати з іншими наглядовими органами, надаючи взаємну допомогу й організовуючи спільні операції. Якщо підприємство має кілька осідків в ЄС, єдиний наглядовий орган буде для нього „керівним органом“, за місцем знаходження його „головного осідку“, де відбувається основне опрацювання. Провідний орган буде діяти в якості „єдиного вікна“, щоб контролювати всі операції цього підприємства з опрацювання даних на всій території ЄС[12] (статті 46-55 з GDPR). Європейська рада захисту даних (EDPB) буде координувати наглядові органи. EDPB замінить Робочу групу захисту даних, що діє згідно зі статтею 29. Є винятки для даних, що опрацьовуються у контексті трудових відносин або національної безпеки, які все ще можуть бути предметом регуляції окремих країн (статті 2(2)(А) і 88 GDPR).

Законні підстави для опрацювання[ред. | ред. код]

Опрацювання є законним, лише за умови виконання принаймні однієї з наведених нижче умов:[10]

  • суб'єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
  • опрацювання є необхідним для виконання контракту, стороною якого є суб'єкт даних, або для вжиття дій на запит суб'єкта даних до укладення договору;
  • опрацювання є необхідним для дотримання встановленого законом зобов'язання, яке поширюється на контролера;
  • опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб'єкта даних або іншої фізичної особи;
  • опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
  • опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина.

Якщо в якості законної підстави для опрацювання даних використовується згода, вона повинна бути явна для зібраних даних і цілей, у яких використовуються дані (стаття 7; визначені у статті 4). Згоду за дітей[13] повинні надати один з батьків або опікун дитини; вона має бути перевірною (стаття 8). Контролери даних повинні бути в змозі довести «згода», і згода може бути відкликано.[14]

Сфера згоди GDPR має ряд наслідків для бізнесу, що здійснює запис викликів у ході своєї діяльності. Типового попередження «дзвінки записуються для навчання і з міркувань безпеки» більше не буде достатньо для отримання передбачуваної згоди на запис дзвінків. Крім того, коли запис почалася, у випадку якщо абонент відкликав свою згоду, агент, який приймає виклик, повинен бути в змозі зупинити початий раніше запис і забезпечити те, що запис не зберігається.[15]

Відповідальність і підзвітність[ред. | ред. код]

Щоб мати змогу підтвердити дотримання GDPR, контролер даних мусить реалізовувати заходи, які відповідають принципам захисту даних за призначенням і за замовчуванням. Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб заходи щодо захисту даних були включені в розробку бізнес-процесів, продуктів і послуг. Такі заходи включають використання псевдонімів персональних даних контролером, як можна швидше (пункт 78). Здійснювати ефективні заходи і бути в змозі продемонструвати відповідність опрацювання є відповідальністю і зобов'язанням контролера даних, навіть якщо опрацювання здійснюється оператором даних від імені контролера (пункт 74).

Коли дані зібрані, користувачі повинні бути чітко поінформовані про масштаби збору даних, правові підстави для опрацювання персональних даних, тривалість збереження даних, факт передачі даних третім особам та/або за межі ЄС, і розкриття будь-якого автоматизованого прийняття рішень, що відбувається на виключно алгоритмічній основі. Користувачам повинні бути надані контактні дані контролера даних і їхнього співробітника з питань захисту даних, де це застосовно. Користувачі повинні також бути поінформовані про їхні права відповідно до GDPR, включаючи їхнє право відкликати свою згоду на опрацювання даних у будь-який час, їхнє право на перегляд своїх особистих даних та доступ до огляду про те, як вони опрацьовуються, право отримати копію збережених даних, на стирання даних за певних обставин, право оскаржити будь-яке автоматизоване прийняття рішень, зроблена виключно на алгоритмічній основі, і право подати скаргу до Органу захисту даних.[16][17]

Багато ЗМІ прокоментували введення «права на пояснення» алгоритмічних рішень,[18][19] але правознавці стверджують, що існування такого права є досить неясним без судового випробування і є щонайменше обмеженим.[20][21]

Оцінка впливу захисту даних (стаття 35) має відбутися, якщо виникають конкретні ризики для прав і свобод суб'єктів даних. Оцінка ризиків і пом'якшення наслідків є обов'язковими, а для високих ризиків необхідне попереднього схвалення національних органів захисту даних (DPA).

Захист даних за призначенням і за замовчуванням[ред. | ред. код]

Захист даних за призначенням і за замовчуванням (ст. 25) вимагає, щоб захист даних був частиною розробки бізнес-процесів, продуктів і послуг. Налаштування конфіденційності, таким чином, повинні бути встановлені на високому рівні за замовчуванням, і контролер має здійснити технічні та процедурні заходи, щоб забезпечити дотримання регламенту упродовж усього життєвого циклу опрацювання даних. Контролери повинні також упровадити механізми, які гарантують, що персональні дані не опрацьовуються, якщо не є необхідні для кожної конкретної мети.

У доповіді[22] Агентства Європейського Союзу з питань мережевої та інформаційної безпеки йдуться про те, що необхідно зробити для досягнення конфіденційності та захисту даних за замовчуванням. Зокрема вказано, що операції шифрування і дешифрування повинні проводитися локально, а не за допомогою дистанційного обслуговування, тому що і ключі, і дані повинні залишатися під впливом власника даних, якщо йдеться про забезпечення якоїсь конфіденційності. У доповіді уточнюється, що аутсорсинг зберігання даних на віддалених хмарах є практичним і відносно безпечним, лише якщо ключі дешифрування має власних даних, а не хмарний сервіс.

Використання псевдонімів[ред. | ред. код]

У GDPR термін використання псевдонімів вживається на позначення процесу, необхідного для зберігання даних (як альтернатива іншому варіанту повної анонімізації даних),[23] що передбачає перетворення персональних даних таким чином, що на основі отриманих даних не можна розпізнати конкретний суб'єкт даних без використання додаткової інформації. Прикладом є шифрування, яке робить вихідні дані незрозумілими, а цей процес не може бути скасований без доступу до правильного ключа дешифрування. GDPR вимагає, що додаткова інформація (наприклад, ключ дешифрування) повинна зберігатися окремо від псевдонімізованих даних.

Інший приклад використання псевдонімів є токенізація[en], яка є не-математичним підходом до захисту даних-у-спокої[en], який замінює конфіденційні дані на нечутливі замінники, що називаються токенами. Токени не мають зовнішнього чи використовного сенсу або значення. Токенізація не змінює тип чи довжину даних, що означає, що їх можуть опрацьовувати застарілі системи, таких як бази даних, чутливі до довжини і типу даних.

Це вимагає набагато менше обчислювальних ресурсів для опрацювання та зберігання в базах даних, ніж традиційно зашифровані дані. Це досягається за рахунок того, що певні дані є повністю або частково видимі для опрацювання та аналізу, а важлива інформація прихована.

Використання псевдонімів рекомендується для зменшення ризиків для відповідних суб'єктів даних, а також що допомогти контролерам і операторам виконувати свої зобов'язання щодо захисту даних (пункт 28).

GDPR рекомендує використовувати псевдоніми, щоб «знизити ризики для суб'єктів даних» (пункт 28).[24]

Право на доступ[ред. | ред. код]

Право на доступ (ст. 15) є правом суб'єкта даних. Це дає громадянам право на доступ до своїх персональних даних та інформації про те, як ці персональні дані опрацьовуються. Контролер даних повинен надавати, за запитом, огляд категорій даних, які опрацьовуються (стаття 15(1)(b)), а також копію фактичних даних (стаття 15(3)). Крім того, контролер даних повинен повідомити суб'єкта даних про подробиці проведення опрацювання, такі як мета опрацювання (стаття 15(1)(a)), кому дані передаються (стаття 15(1)(c)), і яким чином дані було зібрано (стаття 15(1)(g)).

Суб'єкт даних повинен мати можливість передачі особистих даних з однієї електронної системи опрацювання до іншої, без перешкод з боку контролера. Дані, які були в достатній мірі анонімізовані, виключаються, але дані, які були тільки де-ідентифіковано, але які все ще можна пов'язати з даною особою, наприклад, шляхом надання відповідного ідентифікатора, ні.[25] Включаються і дані, «надані» суб'єктом даних, і дані, «зібрані спостереженням», наприклад, про поведінку. Крім того, відомості повинні бути надані контролером у структурованому загальноприйнятому електронному форматі. Право перенесення даних надається згідно зі статтею 20 GDPR. Юридичні експерти бачать в остаточній версії цієї міри створене «нове право», що «виходить за рамки перенесення даних між двома контролерами, як це передбачено в [стаття 20]».[26]

Право на стирання[ред. | ред. код]

Право на забуття замінене більш обмеженим правом на стирання у версії GDPR, яка була прийнята Європейським парламентом у березні 2014 року.[27][28] Стаття 17 передбачає, що суб'єкт даних має право вимагати вилучення персональних даних, пов'язаних з ним, на основі будь-якої з ряду причин, включаючи невідповідність статті 6(1) (законність), включно з випадком (f), якщо законні інтереси контролера перекриваються інтересами або фундаментальними правами та свободами суб'єкта даних, які вимагають захисту персональних даних (див. також справу Google Spain v AEPD and Mario Costeja González[en]).

Записи опрацювання даних[ред. | ред. код]

Кожний контролер повинен вести запис опрацювання даних, що має містити інформацію про цілі опрацювання, залучені категорії та передбачені терміни. Записи повинні бути надані наглядовому органу за запитом (стаття 30).[10]

Співробітник з питань захисту даних[ред. | ред. код]

Якщо опрацювання здійснюється органами державної влади, за винятком судів або незалежної судової влади в межах їхньої судової спроможності, або якщо, в приватному секторі, опрацювання здійснюється за контролером, чия основна діяльність складається з операцій опрацювання, які вимагають регулярного і систематичного моніторингу суб'єктів даних, або при обробці великих масштабів спеціальних категорій даних відповідно до статті 9 і персональних даних, що стосуються судимості та правопорушень, зазначених в статті 10,[10] контролеру або оператору має асистувати особа з експертними знаннями в галузі законодавства і практики щодо захисту даних.

Співробітник з питань захисту даних (англ. data protection officer) подібний до відповідального працівника і також має бути досвідченим у сфері управління ІТ-процесами, безпеки даних[en] (включаючи заходи щодо кібератак) та інших критично важливих питань безперервності бізнесу[en] щодо зберігання та опрацювання особистих і конфіденційних даних. Необхідні навички простягаються за межі розуміння нормативно-правової відповідності законам і правилам щодо захисту даних.

Більш детальна інформація про функції і роль співробітника з питань захисту даних подана у настановах від 13 грудня 2016 року (документ переглянуто 5 квітня 2017 року).[29]

Порушення захисту даних[ред. | ред. код]

Згідно з GDPR, контролер даних юридично зобов'язаний без зволікань повідомити наглядовий орган про порушення захисту даних, за винятком ситуацій, імовірність яких призвести до ризику для прав і свобод фізичних осіб низька. Повідомити про порушення захисту даних необхідно щонайбільше за 72 години після того, як про нього стало відомо (стаття 33). Фізичні особи повинні бути повідомлені, якщо передбачається несприятливий вплив (ст. 34). Крім того, оператор даних має одразу повідомити контролера після того, як стало відомо про порушення захисту персональних даних (стаття 33).

Однак, повідомляти суб'єктів персональних даних не вимагається, якщо контролер даних вжив відповідних технічних та організаційних заходів захисту, які роблять особисті дані недоступними для будь-якої людини, яка не має права доступу до неї, — таких як шифрування (стаття 34).[10]

Санкції[ред. | ред. код]

Такі санкції можуть бути накладені:

  • попередження в письмовій формі у випадках першого і ненавмисного недотримання
  • регулярні періодичні перевірки захисту даних
  • штраф до €10 млн або до 2 % щорічного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, абзац 5—6[10])
    • обов'язки контролера й оператора згідно зі статтями 8, 11, 25—39, 42 та 43
    • обов'язки органу з сертифікації у відповідності зі статтями 42 та 43
    • обов'язки наглядового органу відповідно до статті 41(4)
  • штраф у розмірі до €20 млн, або 4 % від річного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень: (стаття 83, пункт 4)
    • основні принципи опрацювання, в тому числі умови згоди, відповідно до статей 5, 6, 7 та 9
    • права суб'єктів даних у відповідності зі статтями 12—22
    • передача персональних даних одержувачу, що знаходиться в третій країні або міжнародній організації у відповідності зі статтями 44—49
    • будь-які зобов'язання згідно з національним законодавством членів, прийнятим у відповідності до розділу IX
    • недотримання вимоги або тимчасове чи остаточне обмеження на опрацювання або зупинення потоків даних наглядовим органом відповідно до статті 58(2) або відмова у наданні доступу, яка порушує статтю 58(1)

B2B маркетинг[ред. | ред. код]

GDPR розрізняє B2C (англ. business to consumer, бізнес—споживачеві) і В2В (англ. business to business, бізнес—бізнесу) маркетинг. Згідно з GDPR є шість підстав для опрацювання персональних даних, які є однаковою мірою чинними. Дві з них мають відношення до прямого маркетингу В2В, а саме згода або законний інтерес. У пункті 47 GDPR говориться, що «опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу».[30]

Використання законного інтересу як основи для B2B маркетингу включає забезпечення ключових умов:

  • «Опрацювання повинне стосуватися законних інтересів вашого бізнесу або зазначеної третьої сторони, за умови, що інтереси або фундаментальні права суб'єкта даних не перекривають законний інтерес бізнесу».
  • «Опрацювання повинне бути необхідним для досягнення законних інтересів організації».[31]

Крім того, у статті 6.1(f) GDPR стверджується, що опрацювання є законним, якщо воно: «є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб'єкта даних, що вимагають охорони персональних даних, особливо, якщо суб'єктом даних є дитина».

Європейська комісія зазначила, що «уніфіковані закони про конфіденційність даних дозволять створити надзвичайні можливості та мотивують інноваційний бізнес не тільки в Європі, але і організації, які готові вести бізнес з європейськими державами». Комісія передбачає, що компанії будуть підтримувати зв'язок і будувати взаємини щодо підтримки регулювання одна з одною, щоб забезпечити найкращі практики через legitimate balance checks.[32]

Обмеження[ред. | ред. код]

Такі випадки не підпадають під дію регламенту:

  • Законне перехоплення, національна безпека, військова техніка, поліція, юстиція
  • Статистичний та науковий аналіз
  • Померлі особи є суб'єктами національного законодавства
  • Існує спеціальний закон про трудові відносини
  • опрацювання персональних даних фізичною особою в ході суто особистої або побутової діяльності

Дискусії та проблеми[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex, « 201 pages, 11 June 2015, PDF, http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf
  2. GDPR Portal: Site Overview. General Data Protection Regulation (GDPR) (en-US). Процитовано 2018-05-03. 
  3. Art. 99 GDPR – Entry into force and application | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR) (en-US). Процитовано 2018-05-03. 
  4. EUR-Lex - 31995L0046 - EN - EUR-Lex. eur-lex.europa.eu. 
  5. Blackmer, W.S. (5 May 2016). GDPR: Getting Ready for the New EU General Data Protection Regulation. Information Law Group. InfoLawGroup LLP. Процитовано 22 June 2016. 
  6. „Inofficial consolidated version GDPR“. Rapporteur Jan Philipp Albrecht. Retrieved 9 December 2013.
  7. Proposal for the EU General Data Protection Regulation. European Commission. 25 January 2012. Retrieved 3 January 2013.
  8. Стаття 3(2): Цей Регламент застосовують до опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов'язано з: (a) постачанням товарів чи наданням послуг таким суб'єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб'єктів даних; або (b) моніторингом поведінки суб'єктів даних, якщо така поведінка має місце у межах Союзу.
  9. European Commission's press release announcing the proposed comprehensive reform of data protection rules. 25 January 2012. Retrieved 3 January 2013.
  10. а б в г д е РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням п ерсональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). kmu.gov.ua (uk). 
  11. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA. 4 May 2016. 
  12. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
  13. У разі застосування пункту (а) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини. Держави-члени можуть передбачити в законі нижчий вік для таких цілей за умови, що такий вік не є нижчим 13 років.»
  14. «How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide». Judy Schmitt, Florian Stahl. 11 October 2012. Retrieved 3 January 2013.
  15. How Smart Businesses Can Avoid GDPR Penalties When Recording Calls. www.xewave.io (en-GB). Процитовано 2018-04-13. 
  16. Privacy notices under the EU General Data Protection Regulation. ico.org.uk (en). 2018-01-19. Процитовано 2018-05-22. 
  17. What information must be given to individuals whose data is collected?. European Commission - European Commission (en). Процитовано 2018-05-23. 
  18. editor, Ian Sample Science (2017-01-27). AI watchdog needed to regulate automated decision-making, say experts. The Guardian (en-GB). ISSN 0261-3077. Процитовано 2017-07-15. 
  19. EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence. www.techzone360.com (en). Процитовано 2017-07-15. 
  20. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (2016-12-28). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation — через SSRN. 
  21. Edwards, Lilian; Veale, Michael (2017). Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for. Duke Law and Technology Review. SSRN 2972855. doi:10.2139/ssrn.2972855. 
  22. Privacy and Data Protection by Design — ENISA. www.enisa.europa.eu (en-gb). Процитовано 2017-04-04. 
  23. Data science under GDPR with pseudonymization in the data pipeline Published by Dativa, 17 April, 2018
  24. Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization. iapp.org. 
  25. Article 29 Working Party (2017). Guidelines on the right to data portability. European Commission. 
  26. The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4. Bloomberg BNA. 12 February 2016. (Note that the Article 18 in the draft GDPR became Article 20 in the final version.)
  27. Baldry, Tony; Hyams, Oliver. The Right to Be Forgotten. 1 Essex Court. 
  28. European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). European Parliament. 
  29. Guidelines on Data Protection Officers. Процитовано 27 August 2017. 
  30. What’s new under the GDPR?. ico.org.uk. 22 March 2018. 
  31. https://dma.org.uk/uploads/misc/5aabd9a90feff-gdpr-essentials-for-marketers----an-introduction-to-the-gdpr_5aabd9a90fe17.pdf
  32. How do we apply legitimate interests in practice?. ico.org.uk. 22 March 2018. 

Посилання[ред. | ред. код]