GDPR гэж юу вэ?

​

GDPR (General Data Protection Regulation) нь Европын Холбооны хувийн мэдээлэл хамгаалах тухай ерөнхий журам бөгөөд хувь хүний мэдээллийг хэрхэн цуглуулах, хадгалах, боловсруулах, хамгаалах ёстойг тодорхойлдог олон улсын түвшний хамгийн хүчтэй зохицуулалт юм. 2018 онд хүчин төгөлдөр болсон бөгөөд дэлхий даяарх байгууллагууд Европын холбоо (EU)-ны иргэдийн мэдээлэлтэй ажиллаж байгаа тохиолдолд заавал дагаж мөрдөнө.

​

Яагаад GDPR‑ийг хэрэгжүүлэх шаардлагатай вэ?

​

✅ Хувийн мэдээллийг хамгаалах

GDPR нь байгууллагуудыг мэдээллийг мэдээллийн эзний зөвшөөрөлтэй цуглуулах, зөвхөн шаардлагатай хэмжээнд ашиглах, аюулгүй хадгалах, зөрчлийг мэдээлэх зэрэг олон давхар хамгаалалттай болгохыг шаарддаг. Ингэснээр мэдээлэл алдагдах, буруу ашиглах эрсдэл буурна.

✅ Хууль эрх зүйн шаардлага

GDPR‑ийг зөрчвөл жилийн дэлхийн борлуулалтын 4% хүртэл, эсвэл 20 сая еврог хүртэл торгууль ногдуулж болдог.  
Иймээс олон улсын бизнес эрхэлдэг байгууллагуудад зайлшгүй шаардлага болдог.

✅ Харилцагчийн итгэлийг нэмэгдүүлнэ. 

GDPR‑ийг хэрэгжүүлсэн байгууллага хувийн мэдээллийн хувьд аюулгүй байдал, хариуцлагатай, ил тод гэсэн мессежийг хэрэглэгчдэд өгдөг. Энэ нь брэндийн нэр хүндийг хамгаалж, итгэлийг нэмэгдүүлдэг.

✅ Мэдээллийн удирдлагын тогтолцоог сайжруулна

GDPR нь Хувийн мэдээллийн амьдралын мөчлөг, өгөгдлийн ангилал, хандалтын хяналт, мэдээлэл устгал, өгөгдлийн хамгаалалт зэрэг байгууллагын мэдээллийн удирдлагын суурь тогтолцоог боловсронгуй болгодог.

​

GDPR‑ийн ач холбогдол

​

✅ Хувийн мэдээллийн хамгаалалт сайжирна. Иргэдийн мэдээлэл илүү аюулгүй, хяналттай болно.

✅ Эрсдэлийн удирдлага боловсронгуй болно. Мэдээлэл алдагдлын эрсдэл, хууль эрх зүйн эрсдэл буурна.

✅ Ил тод байдал нэмэгдэнэ. Байгууллага мэдээллийг хэрхэн ашиглаж байгаагаа хэрэглэгчдэд ойлгомжтой тайлбарлах шаардлагатай.

✅ Бизнесийн боломж нэмэгдэнэ. GDPR‑тэй нийцсэн байгууллага олон улсын түншлэл, Европын холбооны зах зээлд ажиллах боломжтой.

✅ Байгууллагын соёл, хариуцлага бэхжинэ. Мэдээллийн хамгаалалт нь байгууллагын өдөр тутмын соёлын нэг хэсэг болдог.

​

Хэн GDPR‑ийг хэрэгжүүлэх ёстой вэ?

​

✅ Европын холбооны иргэдийн хувийн мэдээлэлтэй ажилладаг бүх байгууллага. Байршил хамаарахгүй, Монголд байсан ч EU иргэдийн өгөгдөлтэй ажиллавал GDPR үйлчилнэ.

✅ Онлайн үйлчилгээ үзүүлэгчид. Вэбсайт, Апп, Онлайн худалдаа, SaaS үйлчилгээ нь Европын холбооны хэрэглэгчдэд нээлттэй бол GDPR хамаарна.

✅ Хувийн мэдээлэл цуглуулдаг бүх байгууллага. Нэр, имэйл, утас, байршил, IP хаяг, cookie, эрүүл мэндийн мэдээлэл, санхүүгийн мэдээлэл гэх мэт бүх төрлийн хувийн мэдээлэл.

​

GDPR‑ийн үндсэн бүтэц

​

✅ Хувийн мэдээллийн зарчим (7 Principles). Хууль ёсны, шударга, ил тод байх, зорилго тодорхой байх, өгөгдөл хязгаарлах, нарийвчлал, хадгалалтын хугацааг хязгаарлах, бүрэн бүтэн байдал ба нууцлал, хариуцлага (Accountability)

✅ Өгөгдөл эзэмшигчийн эрхүүд (Data Subject Rights). Хандах эрх, засварлуулах эрх, устгуулах эрх (“Right to be forgotten”), хязгаарлуулах эрх, зөөвөрлөх эрх, зөрчил гарсан тохиолдолд мэдэгдэх эрх  

✅ Өгөгдөл боловсруулах хууль ёсны үндэслэл (Legal Basis). Зөвшөөрөл, гэрээ, хууль эрх зүйн шаардлага, чухал ашиг сонирхол, нийтийн ашиг сонирхол, хуулийн дагуу эрх бүхий ашиг сонирхол

✅ Өгөгдөл хамгаалалтын зохион байгуулалт. Data Protection Officer (DPO), Data Protection Impact Assessment (DPIA), мэдээллийн урсгалын зураглал, бодлого, журам, техник, зохион байгуулалтын хамгаалалт (TOMs)

✅ Зөрчлийн мэдэгдэл (Breach Notification). 72 цагийн дотор зохицуулагч байгууллагад мэдэгдэх шаардлагатай.

​

GDPR‑ийн үндсэн чиглэл

​

✅ Хувийн мэдээллийн хамгаалалт. Техник болон зохион байгуулалтын хамгаалалт.

✅ Ил тод байдал ба зөвшөөрөл. Хэрэглэгчдэд мэдээллийг хэрхэн ашиглаж байгааг ойлгомжтой тайлбарлах.

✅ Өгөгдөл эзэмшигчийн эрхийг хангах. Хүсэлт, гомдлыг зохих хугацаанд шийдвэрлэх.

✅ Мэдээллийн удирдлагын тогтолцоо. Өгөгдлийн амьдралын мөчлөгийг удирдах.

✅ Эрсдэлийн үнэлгээ ба нөлөөллийн үнэлгээ (DPIA). Өндөр эрсдэлтэй боловсруулалтыг урьдчилан үнэлэх.

✅ Зөрчлийн удирдлага. Мэдээлэл алдагдлын илрүүлэлт, мэдээлэлт, засварлалт.

✅ Хариуцлага ба баримтжуулалт. Байгууллага өөрийн нийцлийг нотлох үүрэгтэй.