Після дворічного перехідного періоду починаючи із 25 травня 2018 року застосовується Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) - регламент в межах законодавства ЄС щодо захисту персональних даних усіх осіб в межах ЄС та Європейської економічної зони.

Регламент застосовується, якщо контролер даних (організація, яка збирає дані від резидентів ЄС) або оператор (організація, яка опрацьовує дані від імені контролера даних, як-то постачальники хмарних послуг), або суб'єкт даних (особа) базуються в ЄС. За певних обставин, дія цього регламенту також поширюється на організації, що базуються за межами ЄС, якщо вони збирають чи опрацьовують особисті дані фізичних осіб, розташованих в межах ЄС.

Регламент замінює Директиву про захист даних і містить положення і вимоги щодо опрацювання особової інформації суб'єктів даних всередині ЄС. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням», що означає, що персональні дані повинні зберігатися з використанням псевдонімів або повної анонімізації і використовувати налаштування найвищого рівня приватності за замовчуванням, так щоб дані не були доступні публічно без очевидної згоди та не могли використовуватися для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.

Державні органи, а також підприємства, чия основна діяльність стосується регулярної або систематичного опрацювання персональних даних, зобов'язані мати посаду співробітника з питань захисту даних (англ. data protection officer, DPO), який стежить за дотриманням GDPR.

Підприємства повинні повідомляти про будь-яке порушення захисту даних, яке чинить негативний вплив на конфіденційність користувачів, упродовж 72 годин.

Оскільки GDPR — це регламент, а не директива, він не вимагає від національних урядів прийняття законів, які уможливлюють його дію, і є безпосередньо зобов'язальним і застосовним.

Санкції, які можуть бути накладені, за порушення GDPR:

попередження в письмовій формі у випадках першого і ненавмисного недотримання;

регулярні періодичні перевірки захисту даних;

штраф до €10 млн або до 2 % щорічного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень:

обов'язки контролера й оператора;

обов'язки органу з сертифікації;

обов'язки наглядового органу;

штраф у розмірі до €20 млн, або 4 % від річного світового обороту за попередній фінансовий рік для підприємств, залежно від того, що більше, якщо сталося порушення таких положень:

основні принципи опрацювання, в тому числі умови згоди;

права суб'єктів даних;

передача персональних даних одержувачу, що знаходиться в третій країні або міжнародній організації;

будь-які зобов'язання згідно з національним законодавством членів;

недотримання вимоги або тимчасове чи остаточне обмеження на опрацювання або зупинення потоків даних наглядовим органом.

Відповідний огляд GDPR наведено у матеріалах Вікіпедії.

Офіційний переклад регламенту GDPR українською мовою викладено на сайті Уряду за посиланням.

Наразі можна констатувати, що українські компанії, які працюють на ринку ЄС, почали розсилати повідомленням усім своїм клієнтам, навіть громадянам України, щодо необхідності отримання згоди на обробку персональних даних згідно нового регламенту.

Наприклад:

«Шановний Клієнте!

Ми вдячні Вам за те, що Ви користуєтесь послугами .....

Починаючи з 25 травня 2018 року, набуває чинності Генеральний регламент ЄС із захисту персональних даних (GDPR). З цього дня ми матимемо можливість інформувати Вас про наші продукти, програми лояльності та партнерів, лише отримавши Вашу персональну згоду ... ».
Бухгалтерський сервіс «Iнтерактивна бухгалтерія»