Artikkel 25 📖 GDPR. Lõimitud andmekaitse ja vaikimisi andmekaitse

Artikkel 25 GDPR. Lõimitud andmekaitse ja vaikimisi andmekaitse

1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

ISO 27701 Ühendused

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.

…

Logi sisse
terviktekstile juurdepääsuks

Ühendused

Artikkel 5 GDPR. Isikuandmete töötlemise põhimõtted

Artikkel 5

Isikuandmete töötlemise põhimõtted

1. Isikuandmete töötlemisel tagatakse, et

a) töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c) isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d) isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f) isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

2. Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

ISO 27701 Suunised & Case Law Ühendused

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.

…

Logi sisse
terviktekstile juurdepääsuks

Suunised & Case Law

(EN)

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Ühendused

3. Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

ISO 27701 Ühendused

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

…

Logi sisse
terviktekstile juurdepääsuks

Ühendused

Artikkel 42 GDPR. Sertifitseerimine

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3. Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4. Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6. Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7. Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8. Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Isikuandmete kaitse üldmäärus

Ekspertide kommentaar Põhjendustes Suunised & Case Law Jäta kommentaar

Ekspertide kommentaar

(RU) Несмотря что данное обязательство накладывается на контролеров данных, эта статья также затрагивает процессоров (вендоров), которые зачастую разрабатывают программное обеспечение, предлагаемое контролерам данных.

Первые шаги проектирования приватности:

Определить цели обработки и потребность бизнеса в данных.
Анонимизировать или псевдномизировать данные с помощью соответствующих техник, так как это позволяет снижать риски для индивидов.

Примеры техник:

Псевдонимизация
Добавление шума (Noise addition)
Подмена (Substitution)
K-анонимность (агрегация)
L-разнообразие (L-diversity)
T-близость (T-closeness)
Дифференциальная приватность (Differential privacy)

Põhjendustes

(78) Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine. Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid. Selliste rakenduste, teenuste ja toodete väljatöötamisel, kavandamisel, valimisel ja kasutamisel, mis põhinevad isikuandmete töötlemisel või mille käigus töödeldakse isikuandmeid nende ülesannete täitmiseks, tuleks nende toodete, teenuste ja rakenduste tootjaid innustada võtma selliste toodete, teenuste ja rakenduste väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele ning tagama asjakohaselt teaduse ja tehnoloogia viimast arengut arvestades, et vastutavad töötlejad ja volitatud töötlejad saaksid täita oma andmekaitsealaseid kohustusi. Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

Suunised & Case Law

(EN)

Documents

WP29, Opinion 05/2014 on Anonymisation Techniques (2014).

WP29, Opinion on data processing at work (2017).

Spanish Data Protection Agency (AEPD), A Guide to Privacy by Design (2019).

EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (2020):

Data protection by design must be implemented both at the time of determining the means of processing and at the time of processing itself. It is at the time of determining the means of processing that controllers shall implement measures and safeguards designed to effectively implement the data protection principles. To ensure effective data protection at the time of processing, the controller must regularly review the effectiveness of the chosen measures and safeguards. The EDPB encourages early consideration of data protection by design when planning a new processing operation.

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Spanish Data Protection Agency (AEPD), Guidelines for DataProtection by Default (2020).

Information Commissioner’s Office, Right of Access (2020).

EDPB, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).