Статья 5 GDPR. Принципы, касающиеся обработки персональных данных

Статья 5

Принципы, касающиеся обработки персональных данных

1. Персональные данные должны:

(a) обрабатываться законно, справедливо и прозрачно для субъекта данных ( “законность, справедливость и прозрачность”);

(b) собираться для конкретных, отчетливых и законных целей и не обрабатываться в последующем несовместимым с этими целями образом; дальнейшая обработка для архивных целей в публичном интересе, в целях исторических или научных исследований или для статистических целей, в соответствии со статьей 89(1), не считается несовместимой с начальными целями (“ограничение целью“);

(c) быть адекватны и релевантны тому, что необходимо касательно целей, для достижения которых они обрабатываются, а также ограничены этим (“минимизации данных”);

(d) быть точными и при необходимости поддерживаться в актуальном состоянии; необходимо принять все разумные меры, чтобы персональные данные, которые являются неточными в свете целей, для которых они обрабатываются, были немедленно удалены или уточнены ( “точность”);

(e) храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются; персональные данные могут храниться в течение более длительного периода, до тех пор, пока они будут обрабатываться исключительно для архивных целей в публичном интересе, в целях исторических или научных исследований, или статистических целях в соответствии со статьей. 89(1), при условии, что будут реализованы соответствующие технические и организационные меры, предусмотренные настоящим Регламентом в целях защиты прав и свобод субъекта данных (“ограничение хранения”);

(f) обрабатываться способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер (“целостность и конфиденциальность“).

2. Контролёр несет ответственность за соблюдение параграфа 1 и должен быть в состоянии продемонстрировать его соблюдение (“Подотчетность”).

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

8. Термин “технические и организационные меры и необходимые меры защиты” понимается в широком смысле как любые методы и средства, которые контролер может использовать в обработке. Эти меры должны быть соответствующими, что означает, что эти меры, а также меры защиты должны подходить достижению намеченной цели, то есть они должны эффективно внедрять принципы защиты персональных данных.[3] Таким образом требование “соответствия” тесно связано с требованием “эффективности”.

_{[3] «Эффективность» рассматривается ниже в подразделе 2.1.2.}

9. Технической или организационной мерой, а также необходимой мерой защиты может быть что угодно, начиная от использования передовых технических решений и заканчивая базовым обучением персонала. Примеры, которые могут быть подходящими, в зависимости от контекста и рисков, связанных с рассматриваемой обработкой, включают псевдонимизацию персональных данных;[4] хранение доступных персональных данных в структурированном, обычно машиночитаемом формате; предоставление возможности субъектам данных вмешиваться в обработку; предоставление информации о хранении персональных данных; наличие систем обнаружения вредоносных программ; обучение сотрудников основам «кибергигиены»; создание систем управления приватностью и информационной безопасностью, обязательство процессоров по контракту применять определенные методы минимизации данных и т. д.

_{[4] Определяется в статье 4(5) GDPR}

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Эффективность решения

13. Эффективность лежит в основе концепции спроектированной защиты персональных данных. Требование к реализации Принципов в эффективной форме означает, что контролеры должны обеспечить меры и гарантии, необходимые меры для защиты этих принципов для обеспечения прав и свобод субъектов данных. Каждая реализованная мера должна давать запланированные результаты для обработки, предусмотренной контролером. Это замечание имеет два следствия.

15. Во-первых, это означает, что статья 25 не требует осуществления каких-либо конкретных технических и организационных мер, а скорее указывает, что избранные меры и гарантии должны быть конкретно направлены на внедрение принципов защиты данных в конкретную обработку. При этом меры и гарантии должны быть разработаны таким образом, чтобы они были надежными, а контролер должен иметь возможность осуществлять дальнейшие меры в целях масштабирования с учетом любого увеличения риска.[6] Поэтому эффективность мер будет зависеть от контекста обработки и оценки определенных элементов, которые должны учитываться при определении средств обработки. Вышеупомянутые элементы будут рассмотрены ниже в подразделе 2.1.3.

_{[6] «Основные принципы, применимые к контролерам (то есть легитимность, минимизация данных, ограничение целей, прозрачность, целостность данных, точность данных) должны оставаться неизменными, независимо от обработки и рисков для субъекты данных. Однако должное внимание к характеру и объему такой обработки всегда было часть применения этих принципов, так что они по своей природе масштабируемы». Статья 29 Рабочая группа. «Заявление о роли подхода, основанного на оценке риска, в правовых рамках защиты данных». РГ 218, 30 мая 2014 года, p3.}

15. Во-вторых, контролеры должны быть в состоянии продемонстрировать, что принципы были соблюдены.

16. Реализуемые меры и гарантии должны достигать ожидаемого результата с точки зрения защиты данных, а контроллер должен иметь документацию о реализованных технических и организационных мерах.[7] Для этого контролер может определить соответствующие ключевые показатели эффективности (KPI) для демонстрации результативности. KPI – это измеряемая величина, выбранная контроллером, которая демонстрирует, насколько эффективно контроллер достигает поставленной цели защиты персональных данных. KPI могут быть количественными, такими как процент ложноположительных или ложноотрицательных результатов, сокращение количества жалоб, сокращение времени реагирования при осуществлении субъектами данных своих прав; или качественными, такими как оценка эффективности, использование шкал оценок или экспертные оценки. В качестве альтернативы контролеры могут представить обоснование своей оценки эффективности выбранных мер и гарантий.

_{[7] См. Преамбулы 74 и 78.}.

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

2.1.3.1 текущий уровень научно-технического прогресса

18. Понятие “уровень научно-технического прогресса” присутствует в различных актах ЕС, например, в области охраны окружающей среды и безопасности продукции. В GDPR ссылка на “уровень научно-технического прогресса” [8] содержится не только в статье 32, касающейся мер безопасности, [9][10] но и в статье 25, что позволяет распространить этот критерий на все технические и организационные меры, встроенные в обработку.

_{[8] См. Решение Федерального конституционного суда Германии «Калкар» в 1978 году. Оно может послужить основой для методологией для определение понятия. Исходя из этого «уровень научно-технического прогресса » будет определяться между технологическим уровнем «существующих научных знаний и исследований» и более устоявшихся «общепринятых правил». «Уровень научно-технического прогресса », следовательно, может быть идентифицирован как технологический уровень услуги и технологии или продукта, который существует на рынке и является наиболее эффективным для достижения поставленных целей.}

_{[9] https://www.enisa.europa.eu/news/enisa-news/what-is-state-of-the-art-in-it-security}

_{[10] www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/}

19. В контексте статьи 25 ссылка на «уровень научно-технического прогресса» обязывает контролеров, при определении соответствующих технических и организационных мер принять во внимание текущий прогресса в технологиях, доступных на рынке. Требование заключается в том, что контролеры должны знать о технологических достижениях, о том, как технологии могут представлять опасность или создавать возможности в области защиты персональных данных при обработке, а также о том, как реализовать меры и гарантии, которые обеспечивают эффективную реализацию принципов и прав субъектов данных с учетом развивающейся технологической среды.

20. «Уровень научно-технического прогресса» – это динамическая концепция, которая не может быть статически определена в определенный момент времени, но должна оцениваться постоянно в контексте технического прогресса. Перед лицом технологических достижений, контролер может обнаружить, что мера, которая ранее обеспечивала адекватный уровень защиты, больше этого не делает. Поэтому пренебрежение технологическими изменениями может впоследствии привести к несоблюдению статьи 25.

21. Критерий “уровень научно-технического прогресса” применим не только к технологическим мерам, но и к организационным. Отсутствие соответствующих организационных мер может снизить или даже полностью подорвать эффективность выбранной технологии. Примерами организационных мер могут быть принятие внутренних политик; современное обучение в области технологий, безопасности и защиты персональных данных; а также политики управления и менеджмента информационной безопасностью.

22. Существующие и признанные стандарты, сертификации, кодексы поведения и т.д. в различных областях могут сыграть роль в определении текущего «уровня научно-технического прогресс» в рамках данной области. Там, где такие стандарты существуют и обеспечивают высокий уровень защиты субъекта данных в соответствии с правовыми требованиями или превосходят их, контролеры должны учитывать их при разработке и реализации мер по защите данных.

2.1.3.2 “затраты на внедрение”

23. Контролер может учитывать затраты на внедрение при выборе и применении соответствующих технических и организационных мер и необходимых гарантий, которые эффективно реализуют принципы защиты прав субъектов данных. К затратам в этом контексте относятся ресурсы в целом, включая время и человеческие ресурсы.

2.1.3.3 “характер, масштаб, контекст и цели обработки”

27. Иными словами, характер можно понимать как неотъемлемую[11] характеристику обработки. “Сфера действия” относится к размеру и направлению обработки. “Контекст” относится к обстоятельствам обработки, которые могут влиять на ожидания субъекта данных, в то время как “цель“ относится к целям обработки.

_{[11] Примерами являются специальные категории персональных данных, автоматизированное принятие решений, дисбаланс властных отношений, непредсказуемая обработка, трудности для субъекта данных в осуществлении прав и т.д.}

2.1.3.4 “вероятность и серьезность риска для прав и свобод субъекта данных, вызванная обработкой“

32. Подход, основанный на оценке риска, не исключает использования исходных условий, передовой практики и стандартов. Они могут предоставить контроллерам полезный инструментарий для решения аналогичных рисков в аналогичных ситуациях (характер, объем, контекст и цель обработки). Тем не менее, обязательство в статье 25 (а также в статьях 24, 32 и 35(7)(c)) учитывать “риски различной вероятности и серьезности для прав и свобод физических лиц, связанные с обработкой“, остается неизменным. Таким образом, контролеры, хотя и поддерживаемые такими инструментами, должны всегда проводить оценку рисков в области защиты данных в каждом отдельном случае в отношении рассматриваемой деятельности по обработке и проверять эффективность предлагаемых соответствующих мер и гарантий. В этом случае может потребоваться проведение дополнительной оценки воздействия на защиту персональных данных или обновление существующей оценки воздействия на защиту персональных данных (DPIA).

2.1.4.1 Во время определения средства для обработки

34. «Средства обработки» варьируются от абстрактных до конкретных проектируемых элементов обработки, таких, как архитектура, процедуры, протоколы, макет и внешний вид.

35. «Время определения средств обработки» – это период времени, на протяжении которого контроллер определяет, каким образом будет происходить обработка, а также механизмы, которые будут использоваться для проведения такой обработки. Именно в процессе принятия таких решений контроллер должен оценивать соответствующие меры и гарантии для эффективной реализации принципов и прав субъектов данных на обработку и принимать во внимание такие элементы, как «Текущий уровень научно-технического прогресса», затраты на внедрение, характер, объем, контекст и цель обработки, а также риски. Сюда также относятся время приобретения и внедрения программного обеспечения, аппаратных средств и услуг по обработке данных.

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

По умолчанию

2.2.1

40. «По умолчанию», как это обычно определяется в информатике, относится к ранее существовавшему или предварительно выбранному значению настраиваемого параметра, предназначенного для программного приложения, компьютерной программы или устройства. такие параметры также называются «пресетами» или «заводскими настройками, особенно это актуально для электронных устройств.

41. Следовательно, «защита персональных данных по умолчанию» при обработке персональных данных относится к выбору значений конфигурации или вариантов обработки, установленных или предписанных в системе обработки, таких как программное приложение, услуга или устройство, или ручная процедура обработки, которые влияют на объем собранных персональных данных, степень их обработки, срок их хранения и доступность.

2.2.2.2 “степень их обработки“

51. Операции обработки,[17] выполняемые над персональными данными должны быть ограничены лишь тем, что необходимо. Многие операции обработки способствуют достижению целей обработки. Тем не менее, тот факт, что персональные данные необходимы для выполнения определенной цели, не означает, что все виды обработок, а также любая частота обработки данных допустимы. Контроллеры также должны быть осторожны, чтобы не пересечь границы “совместимых целей” (ст. 6 (4)), и иметь в виду, что обработка будет осуществляться в пределах разумного ожидания субъектов данных.

_{[17] Cогласно статье 4 (2) GDPR, это включает сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение.}

Статья 42 GDPR. Сертификация

1. Государства-члены, надзорные органы, Европейский совет защиты персональных данных и Европейская Комиссия поощряют, в частности на уровне Союза, учреждение механизмов сертификации защиты данных, а также печатей и маркировочных знаков защиты данных, предназначенных для демонстрации соблюдения настоящего Регламента при осуществлении операций по обработке данных контролёрами и процессорами. Принимаются во внимание особые потребности микро-, малых и средних предприятий.

2. В дополнение к соблюдению контролёрами и процессорами, подпадающими под действие настоящего Регламента, могут быть установлены механизмы сертификации защиты данных, печати и маркировочные знаки, установленные параграфом 5 настоящей Статьи, с целью продемонстрировать наличие соответствующих гарантий, предоставляемых контролёрами или процессорами, которые не подпадают под действие настоящего Регламента согласно статье 3, в рамках передачи персональных данных третьим странам или международным организациям на основании пункта f статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

3. Сертификация должна быть добровольной и доступной посредством прозрачной процедуры.

4. Сертификация согласно настоящей Статье не уменьшает ответственность контролёра или процессора за соответствие настоящему Регламенту и не отменяет задачи и полномочия надзорных органов, которые компетентны в соответствии со статьей 55 и 56.

5. Сертификация согласно настоящей Статье должна осуществляться органами по сертификации, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных этим компетентным надзорным органом согласно Статье 58(3) или Европейским советом по защите персональных данных согласно Статье 63. Если критерии утверждаются Европейским советом по защите персональных данных, это может привести к всеобщей сертификации, то есть к Европейскому знаку защиты персональных данных.

6. Контролёр или процессор, которые представляют осуществляемую им обработку механизму сертификации, предоставляют органу по сертификации, указанному в Статье 43, или в соответствующих случаях компетентному надзорному органу всю информацию и доступ к деятельности по обработке, что необходимо для проведения процедуры сертификации.

7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.

8. Европейский совет по защите персональных данных должен внести все механизмы сертификации, печати и маркировочные знаки о защите данных в реестр и опубликовать их соответствующим способом.