Article 25 📖 GDPR. Data protection by design and by default

第 25 條 GDPR. 設計及預設之資料保護

1. 考量到現有技術、執行成本以及處理之性質、範圍、內容及目的以及處理對當事人之權利及自由所生諸多可能且嚴重之風險，不問係在決定處理方式時或係在處理中，控管者均應實施適當之科技化且有組織的措施，例如假名化，且該等措施旨在實現資料保護原則，如資料最少蒐集原則，並採取有效方式且將必要保護措施納入處理程序，以符合本規則之要求並保護資料主體之權利。

ISO 27701 Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.

[…]

第 5 條 GDPR. 個人資料處理原則

第 5 條

個人資料處理原則

1. 個人資料應：

(a) 為資料主體為合法、公正及透明之處理（「合法性、公正性及透明度」）；

(b)蒐集目的須特定、明確及合法，且不得為該等目的以外之進階處理；依照第 89 條第 1 項規定，為達成公共利益之目的、科學或歷史研究目的或統計目的所為之進階處理，不應視為不符合原始目的（「目的限制」）；

(c) 適當、相關且限於處理目的所必要者（「資料最少蒐集原則」）；

(d) 正確且必要時應隨時更新；考慮個人資料處理之目的，應採取一切合理措施，確保不正確之個人資料立即被刪除或更正（「正確性」）；

(e) 資料主體之識別資料保存於一定形式，不長於處理目的所必要之期間；個人資料處理係單獨為達成公共利益之目的、科學或歷史研究目的或統計目的，且符合第 89 條第 1 項規定，實施適當之技術上及組織上之措施以確保資料主體權利及自由之要求者，該個人資料得被儲存較長時間（「儲存限制」）；

(f) 處理應以確保個人資料適當安全性之方式為之，包括使用適當之技術上或組織上之措施，以防止未經授權或非法處理，並防止意外遺失、破壞或損壞（「完整性和保密性」）。

2. 控管者應遵守並就其符合第 1 項規定負舉證責任（「責任」）。

2. 控管者應實施適當之科技化且有組織的措施，以確保在預設情況下，僅處理一特定目的且必要限度範圍內之個人資料。該義務適用於所蒐集之個人資料之數量、處理之程度、儲存之期間及其可接近使用性。尤其是，該等措施於預設情況下，應確保個人資料不能經由人為干預而遭不特定人之接近使用。

ISO 27701 Guidelines & Case Law Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.

[…]

Guidelines & Case Law

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

3. 第 42 條所定經核准之認證機制得用以證明符合本條第 1 項及第 2 項所定之要求。

ISO 27701 Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]

第 42 條 GDPR. 認證

1. 會員國、監管機關、委員會及執委會應鼓勵，尤其係歐盟層級，建立資料保護認證機制與資料保護標章及標誌，以證明控管者及處理者之處理活動遵守本規則。微型及中小型企業之具體需求應予考慮。

2. 本條第 5 項所定經核准之資料保護認證機制與資料保護標章及標誌，除適用於受本規則拘束之控管者或處理者外，亦得為第 3 條所定不受本規則拘束之控管者或處理者依第 46 條第 2 項第 f 點規定將個人資料移轉至第三國或國際組織時，用以證明適當保護措施之存在。該等控管者或處理者應透過契約或其他具有法律拘束力之文書，做成具有拘束力且可得執行之承諾，以適用該等適當之保護措施，包括關於資料主體之權利。

3. 認證應係志願性的，並透過透明程序取得。

4. 本條所定認證不減損控管者或處理者遵守本規則之責任，且不損及第 55 條或第 56 條所定主管監管機關之任務及權力。

5. 本條所定之認證應由認證機構依第 43條規定或主管監管機關依據第 58 條第 3 項所核准之標準或由委員會依第 63 條規定為之。委員會核准之標準得為通用性認證，即歐盟資料保護標章。

6. 將處理提交至認證機制之控管者或處理者應向第 43條所定之認證機構或主管監管機關（如適用）提供認證程序所需關於其處理活動之所有資訊及接近使用之方式。

7. 對控管者或處理者所為之認證，最長期限應為三年，且在相同要件下並持續符合相關要求者，得更新之。第 43 條所定之認證機構或主管監管機關（如適用）於欠缺認證要件或不再符合認證要件之情況下，應撤回認證。

8. 委員會應將所有資料保護認證機制與資料保護標章及標誌整理登錄，並應以適當方式公開之。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

Expert commentary Recitals Guidelines & Case Law Leave a comment

Expert commentary

(RU) Несмотря что данное обязательство накладывается на контролеров данных, эта статья также затрагивает процессоров (вендоров), которые зачастую разрабатывают программное обеспечение, предлагаемое контролерам данных.

Первые шаги проектирования приватности:

Определить цели обработки и потребность бизнеса в данных.
Анонимизировать или псевдномизировать данные с помощью соответствующих техник, так как это позволяет снижать риски для индивидов.

Примеры техник:

Псевдонимизация
Добавление шума (Noise addition)
Подмена (Substitution)
K-анонимность (агрегация)
L-разнообразие (L-diversity)
T-близость (T-closeness)
Дифференциальная приватность (Differential privacy)

Recitals

(78) 關於個人資料處理之權利及自由保護必須採取適當之科技化且有組織的措施，以確保符合本規則之要求。為了得以證明符合本規則，控管者應採取符合特別是設計與預設資料保護原則之內部規則與執行措施。該等措施得包括但不限於個人資料處理之最小化、盡可能將個人資料予以假名化、個人資料之處理與作用予以透明化、使資料主體得以監控該資料處理、使控管者得以創造與提升安全功能。在開發、設計及選用處理個人資料或透過處理個人資料完成其任務之應用程式、服務與產品時，產品、服務與應用程式之製造者應被鼓勵在開發與設計此類產品、應用程式時將資料保護權納入考量，並在考慮適當之技術狀態下，確保控管者和處理者得以完成其資料保護之義務。在公開招標之過程中，設計與預設資料保護原則亦應納入考量。

Guidelines & Case Law

Documents

WP29, Opinion 05/2014 on Anonymisation Techniques (2014).

WP29, Opinion on data processing at work (2017).

Spanish Data Protection Agency (AEPD), A Guide to Privacy by Design (2019).

EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (2020):

Data protection by design must be implemented both at the time of determining the means of processing and at the time of processing itself. It is at the time of determining the means of processing that controllers shall implement measures and safeguards designed to effectively implement the data protection principles. To ensure effective data protection at the time of processing, the controller must regularly review the effectiveness of the chosen measures and safeguards. The EDPB encourages early consideration of data protection by design when planning a new processing operation.

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Spanish Data Protection Agency (AEPD), Guidelines for DataProtection by Default (2020).

Information Commissioner’s Office, Right of Access (2020).

EDPB, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).