Принимая во внимание статью 70 (1e) Регламента 2016/679 / ЕС Европейского парламента и Европейского Совета от 27 апреля 2016 года по защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, и отменяя Директиву 95/46 / EC], (далее- «GDPR»),
Принимая во внимание Соглашение ЕЭЗ и, в частности, Приложение XI и Протокол к нему с поправками, внесенными Решением Объединенного комитета ЕЭЗ № 154/2018 от 6 июля 2018 года,
Принимая во внимание статью 12 и статью 22 Процедурных норм от 25 мая 2018 года с последними поправками, внесенными 12 ноября 2019 года.
Во время развития цифровых технологий соблюдение требований DPbDD играет решающую роль в обеспечении конфиденциальности и защиты данных в обществе. Поэтому крайне важно, чтобы контролеры серьезно относились к этой ответственности и имплементировали обязательства по GDPR при проектировании операций обработки.
В настоящем Руководстве даны общие указания по обязательству спроектированной защиты персональных данных и по умолчанию (далее «DPbDD»), изложенных в ст. 25 GDPR. DPbDD является обязательством для всех контролеров, независимо от размеров и сложности обработки. Чтобы реализовать требования DPbDD, очень важно, чтобы контроллер понимал принципы защиты данных и права и свободы субъекта данных.
Основным обязательством является принятие соответствующих мер и необходимых гарантий, обеспечивающих эффективную реализацию принципов защиты данных и, как следствие, прав и свобод субъектов данных, спроектированных и по умолчанию. Статья 25 определяет элементы, которые должны быть приняты во внимание как при спроектированной защите персональных данных, так и при защите данных по умолчанию. Эти элементы будут более подробно рассмотрены в настоящем Руководстве.
Статья 25(1) предусматривает, что контролеры должны принимать во внимание DPbDD еще на начальных этапах, когда они планируют новую операцию по обработке данных. Контролеры должны внедрять DPbDD до обработки, а также постоянно во время обработки, регулярно проверяя эффективность выбранных мер и гарантий. DPbDD применяется также к существующим системам, которые обрабатывают персональные данные.
Руководство также содержит разъяснения о том, как эффективно внедрять принципы защиты персональных данных, изложенные в Статье 5, перечисляя ключевые элементы проектируемой приватности и параметров по умолчанию, а также практические примеры для наглядности. Контролер должен рассмотреть целесообразность предлагаемых мер в контексте каждой конкретной обработки.
EDPB предоставляет рекомендации о том, как контроллеры, процессоры и производители могут сотрудничать для достижения DPbDD. EDPB предлагает контроллерам в сфере производства, процессорам и производителям использовать DPbDD как средство достижения конкурентного преимущества при маркетинге своих продуктов по отношению к контроллерам и субъектам данных. EDPB также призывает всех контроллеров использовать сертификации и кодексы поведения.