Navigation
GDPR > Artikolu 5. Prinċipji relatati mal-ipproċessar ta' data personali
Download PDF

Artikolu 5 RĠPD (GDPR). Prinċipji relatati mal-ipproċessar ta' data personali

1. Id-data personali għandha:

(a) tkun ipproċessata legalment, ġustament u b’mod trasparenti fir-rigward tas-suġġett tad-data (“legalità, ġustizzja u trasparenza”);

Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 5(1)(a) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]


to read the full text

Guidelines & Case Law Recitals

(39) Kwalunkwe pproċessar ta' data personali għandu jkun legali u ġust. Għandu jkun trasparenti għall-persuni fiżiċi li fir-rigward tagħhom qiegħda tinġabar, tintuża, tiġi kkonsultata jew b'xi mod ieħor ipproċessata data personali u l-punt sa fejn id-data personali qiegħda tiġi pproċessata jew ser tiġi pproċessata. Il-prinċipju tat-trasparenza jeħtieġ li kwalunkwe informazzjoni u komunikazzjoni marbuta mal-ipproċessar ta' dik id-data personali tkun aċċessibbli faċilment u li tinftiehem faċilment, u li jintuża lingwaġġ ċar u sempliċi. Dak il-prinċipju jikkonċerna, b'mod partikolari, l-informazzjoni tas-suġġetti tad-data dwar l-identità tal-kontrollur u l-finijiet tal-ipproċessar u informazzjoni ulterjuri biex jiġi żgurat ipproċessar ġust u trasparenti fir-rigward tal-persuni fiżiċi kkonċernati u d-dritt tagħhom li jiksbu konferma u komunikazzjoni tad-data personali li tikkonċernahom u li tkun qiegħda tiġi pproċessata. Għandha tinġibed l-attenzjoni tal-persuni fiżiċi fir-rigward tar-riskji, ir-regoli, is-salvagwardji u d-drittijiet b'rabta mal-ipproċessar ta' data personali u kif għandhom jeżerċitaw id-drittijiet tagħhom b'rabta ma' tali pproċessar. B'mod partikolari, il-finijiet speċifiċi li għalihom tiġi pproċessata data personali għandhom ikunu espliċiti u leġittimi u stabbiliti fil-mument meta tinġabar id-data personali. Id-data personali għandha tkun adegwata, rilevanti u limitata għal dak li huwa neċessarju għall-finijiet li għalihom hija tkun qiegħda tiġi pproċessata. Dan jeħtieġ, b'mod partikolari, li jiġi żgurat li l-perijodu li matulu tinħażen id-data personali jkun limitat strettament għall-inqas possibbli. Id-data personali għandha tkun ipproċessata biss jekk il-fini tal-ipproċessar ma jkunx jista' jintlaħaq mod ieħor b'mod raġonevoli. Sabiex ikun żgurat li d-data personali ma tinżammx għal aktar żmien minn kemm meħtieġ, il-kontrollur għandu jistabbilixxi limiti ta' żmien għat-tħassir jew għal eżami perjodiku. Għandu jittieħed kull pass raġonevoli sabiex ikun żgurat li data personali li ma tkunx preċiża tiġi rettifikata jew titħassar. Id-data personali għandha tiġi pproċessata b'mod li jiżgura sigurtà u kunfidenzjalità adatti tad-data personali, inkluż għall-prevenzjoni ta' aċċess mhux awtorizzat għad-data personali u t-tagħmir użat għall-ipproċessar jew l-użu tagħhom.

Related

(b) tinġabar għal finijiet speċifikati, espliċiti u leġittimi u ma għandhiex tiġi pproċessata ulterjorment b’mod inkompatibbli ma’ dawk il-finijiet; f’konformità mal-Artikolu 89(1), l-ipproċessar ulterjuri għal finijiet ta’ arkivjar fl-interess pubbliku, għal finijiet ta’ riċerka xjentifika jew storika jew għal finijiet ta’ statistika ma għandux jitqies bħala inkompatibbli mal-finijiet inizjali (“limitazzjoni tal-fini”);

Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(b) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

[…]


to read the full text

Guidelines & Case Law Related

(c) tkun adegwata, rilevanti, u limitata għal dak li hu meħtieġ b’rabta mal-finijiet li għalihom tkun qed tiġi pproċessata (“minimizzazzjoni tad-data”);

Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(c) GDPR:

7.4.1 Limit collection

Control

The organization should limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes.

Implementation guidance

The organization should limit the collection of PII to what is adequate, relevant and necessary in relation to the identified purposes. This includes limiting the amount of PII that the organization collects indirectly (e.g. through web logs, system logs, etc.).

Privacy by default implies that, where any optionality in the collection and processing of PII exists, each option should be disabled by default and only enabled by explicit choice of the PII principal.

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

[…]


to read the full text

Guidelines & Case Law Related

(d) tkun preċiża u, fejn meħtieġ, tinżamm aġġornata; għandu jsir dak kollu raġonevoli biex ikun żgurat li d-data personali li ma tkunx eżatta, b’kont meħud tal-għanijiet li għalihom tiġi pproċessata, titħassar jew tissewwa mingħajr dewmien (“preċiżjoni”);

Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(d) GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

[…]


to read the full text

Related

(e) tinżamm f’forma li tippermetti l-identifikazzjoni tas-suġġetti tad-data għal mhux aktar żmien milli jkun meħtieġ għall-finijiet li għalihom id-data personali tkun qed tiġi pproċessata; id-data personali tista’ tinħażen għal perijodi itwal sakemm id-data personali tiġi pproċessata biss għall-finijiet ta’ arkivjar fl-interess pubbliku, għall-finijiet ta’ riċerka xjentifika jew storika jew għall-finijiet ta’ statistika f’konformità mal-Artikolu 89(1) soġġett għall-implimentazzjoni tal-miżuri tekniċi u organizzattivi adatti meħtieġa minn dan ir-Regolament sabiex jiġu protetti d-drittijiet u l-libertajiet tas-suġġett tad-data (“limitazzjoni tal-ħażna”);

Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(e) GDPR:

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

Implementation guidance

Organizations should identify how the specific PII and amount of PII collected and processed is limited relative to the identified purposes.

[…]


to read the full text

Guidelines & Case Law Related

(f) tiġi pproċessata b’mod li jiżgura sigurtà xierqa tad-data personali, inkluża l-protezzjoni mill-ipproċessar mhux awtorizzat jew illegali u kontra t-telf, il-qerda jew il-ħsara aċċidentali, bl-użu ta’ miżuri tekniċi jew organizzattivi xierqa (“integrità u kunfidenzjalità”).

Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.2.1.

Here is the relevant paragraphs to article 5(1)(f) GDPR:

6.3.2.1 Mobile device policy

Implementation guidance

The organization should ensure that the use of mobile devices does not lead to a compromise of PII.

[…]


to read the full text

Guidelines & Case Law Related

2. Il-kontrollur għandu jkun responsabbli għall-konformità mal-paragrafu 1 u jkun kapaċi juriha (“responsabbiltà”).

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.1.3.

Here is the relevant paragraphs to article 5(2) GDPR:

6.15.1.3 Protection of records

Implementation guidance

Review of current and historical policies and procedures can be required (e.g. in the cases of customer dispute resolution and investigation by a supervisory authority).

[…]


to read the full text

Guidelines & Case Law Recitals

(82) Sabiex tintwera l-konformità ma' dan ir-Regolament, il-kontrollur jew il-proċessur għandu jżomm reġistrazzjonijiet tal-attivitajiet ta' pproċessar taħt ir-responsabbiltà tiegħu. Kull kontrollur u proċessur għandu jkun obbligat li jikkoopera mal-awtorità superviżorja u jagħmel dawk ir-reġistrazzjonijiet disponibbli, fuq talba, sabiex ikunu jistgħu iservu għas-sorveljanza ta' dawk l-attivitajiet ta' pproċessar.

Related
Recitals Guidelines & Case Law Leave a comment
Recitals

(39) Kwalunkwe pproċessar ta' data personali għandu jkun legali u ġust. Għandu jkun trasparenti għall-persuni fiżiċi li fir-rigward tagħhom qiegħda tinġabar, tintuża, tiġi kkonsultata jew b'xi mod ieħor ipproċessata data personali u l-punt sa fejn id-data personali qiegħda tiġi pproċessata jew ser tiġi pproċessata. Il-prinċipju tat-trasparenza jeħtieġ li kwalunkwe informazzjoni u komunikazzjoni marbuta mal-ipproċessar ta' dik id-data personali tkun aċċessibbli faċilment u li tinftiehem faċilment, u li jintuża lingwaġġ ċar u sempliċi. Dak il-prinċipju jikkonċerna, b'mod partikolari, l-informazzjoni tas-suġġetti tad-data dwar l-identità tal-kontrollur u l-finijiet tal-ipproċessar u informazzjoni ulterjuri biex jiġi żgurat ipproċessar ġust u trasparenti fir-rigward tal-persuni fiżiċi kkonċernati u d-dritt tagħhom li jiksbu konferma u komunikazzjoni tad-data personali li tikkonċernahom u li tkun qiegħda tiġi pproċessata. Għandha tinġibed l-attenzjoni tal-persuni fiżiċi fir-rigward tar-riskji, ir-regoli, is-salvagwardji u d-drittijiet b'rabta mal-ipproċessar ta' data personali u kif għandhom jeżerċitaw id-drittijiet tagħhom b'rabta ma' tali pproċessar. B'mod partikolari, il-finijiet speċifiċi li għalihom tiġi pproċessata data personali għandhom ikunu espliċiti u leġittimi u stabbiliti fil-mument meta tinġabar id-data personali. Id-data personali għandha tkun adegwata, rilevanti u limitata għal dak li huwa neċessarju għall-finijiet li għalihom hija tkun qiegħda tiġi pproċessata. Dan jeħtieġ, b'mod partikolari, li jiġi żgurat li l-perijodu li matulu tinħażen id-data personali jkun limitat strettament għall-inqas possibbli. Id-data personali għandha tkun ipproċessata biss jekk il-fini tal-ipproċessar ma jkunx jista' jintlaħaq mod ieħor b'mod raġonevoli. Sabiex ikun żgurat li d-data personali ma tinżammx għal aktar żmien minn kemm meħtieġ, il-kontrollur għandu jistabbilixxi limiti ta' żmien għat-tħassir jew għal eżami perjodiku. Għandu jittieħed kull pass raġonevoli sabiex ikun żgurat li data personali li ma tkunx preċiża tiġi rettifikata jew titħassar. Id-data personali għandha tiġi pproċessata b'mod li jiżgura sigurtà u kunfidenzjalità adatti tad-data personali, inkluż għall-prevenzjoni ta' aċċess mhux awtorizzat għad-data personali u t-tagħmir użat għall-ipproċessar jew l-użu tagħhom.

Guidelines & Case Law Leave a comment
[js-disqus]