Article 5 📖 GDPR. Principles relating to processing of personal data

Статья 5 GDPR. Принципы, касающиеся обработки персональных данных

1. Персональные данные должны:

(a) обрабатываться законно, справедливо и прозрачно для субъекта данных ( “законность, справедливость и прозрачность”);

Expert commentary ISO 27701 Guidelines & Case Law Recitals Related

Expert commentary

Example of lawful processing:

Example A bank plans to offer a service to improve efficiency in the management of loan applications. The idea behind the service is that the bank, by requesting permission from the customer, can be able to retrieve data from public authorities about the customer. This may be, for example, tax data from the tax administration.

Initially, this personal data is necessary in order to take steps at the request of the data subject prior to entering into a contract. However, this specific way of processing the personal data is not necessary for entering into a contract, because a loan may be granted without obtaining data directly from public authorities. The customer is able to enter into a contract by providing the information from the tax administration herself.

When implementing the principle of lawfulness, the controller realizes that they cannot use the “necessary for contract-”basis for the part of the processing that involves gathering personal data directly from the tax authorities. The fact that this specific processing presents a risk of the data subject becoming less involved in the processing of their data is also a relevant factor in assessing the lawfulness of the processing itself. The bank concludes that this part of the processing must rely on consent.

The bank therefore presents information about the processing on the online application platform in such a manner that makes it easy for data subjects to understand what processing is mandatory and what is optional. The processing options, by default, do not allow retrieval of data directly from other sources than the data subject herself, and the option for direct information retrieval is presented in a manner that does not deter the data subject from abstaining. Any consent given to collect data directly from other controllers is a temporary right of access to a specific set of information.

Any given consent is processed electronically in a documentable manner, and data subjects are presented with an easy way of controlling what they have consented to and to withdraw their consent.

The controller has assessed these Data protection by design and default (DPbDD) requirements beforehand and includes all of these criteria in their requirements specification for the tender to procure the platform. The controller is aware that if they do not include the DPbDD requirements in the tender, it may either be too late or a very costly process to implement data protection afterwards.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

Example of transparency measures:

A controller is designing a privacy policy in order to comply with the requirements of transparency. The privacy policy cannot contain a lengthy bulk of information that is difficult for the average data subject to penetrate and understand, it must be written in clear and concise language and make it easy for the user of the website to understand how their personal data is processed. The controller therefore provides information in a multi-layered manner, where the most important points are highlighted. Drop-down menus and links to other pages are provided to further explain the concepts in the policy. The controller also makes sure that the information is provided in a multi-channel manner, providing video clips to explain the most important points of the information.

The privacy policy cannot be difficult for data subjects to access. The privacy policy is thus made available and visible on all internal web-pages of the site in question, so that the data subject is always only one click away from accessing the information. The information provided is also designed in accordance with the best practices and standards of universal design to make it accessible to all.

Moreover, necessary information must also be provided in the right context, at the appropriate time. This means, that generally a privacy policy on the website alone is not sufficient for the controller to meet the requirements of transparency. The controller therefore designs an information flow, presenting the data subject with relevant information within the appropriate contexts using e.g. informational snippets or pop-ups. For example, when asking the data subject to enter personal data, the controller informs the data subject of how the personal data will be processed and why that personal data is necessary for the processing.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

Examples of fairness considerations:

Example 1

A controller operates a search engine that processes mostly user-generated personal data. The controller benefits from having large amounts of personal data and being able to use that personal data for targeted advertisements. The controller therefore wishes to influence data subjects to allow extensive collection and use of their personal data.

When implementing the fairness principle, taking into account the nature, scope, context and purpose of the processing, the controller realizes that they cannot present the options in a way that nudges the data subject in the direction of allowing the controller to collect more personal data than if the options were presented in an equal and neutral way. This means that they cannot present the processing options in such a manner that makes it difficult for data subjects to abstain from sharing their data, or make it difficult for the data subjects to adjust their privacy settings and limit the processing. The default options for the processing must be the least invasive, and the choice for further processing must be presented in a manner that does not deter the data subject from abstaining.

Example 2

Another controller processes personal data for the provision of a streaming service where users may choose between a regular subscription of standard quality and a premium subscription with higher quality. As part of the premium subscription, subscribers get prioritized customer service. With regard to the fairness principle, the prioritized customer service granted to premium subscribers cannot discriminate other data subjects’ rights according to the GDPR Article 12. This means that although the premium subscribers get prioritized service, such prioritization cannot result in a lack of appropriate measures to respond to request from regular subscribers without undue delay and in any event within one month of receipt of the requests.

Prioritized customers may pay to get better service, but all data subjects shall have equal and indiscriminate access to enforce their rights and freedoms according to the GDPR.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 5(1)(a) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]

Guidelines & Case Law

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Recitals

(39) Любая обработка персональных данных должна быть законной и справедливой. До физических лиц должно быть прозрачно донесено то, что их персональные данные собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любые сведения или сообщения в отношении обработки указанных персональных данных были легкодоступны, понятны и представлены на ясном и простом языке. Этот принцип, в частности, предусматривает необходимость извещения субъектов данных о том, кто является контролёром, о целях обработки данных, а также дополнительное информирование для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сведений об имеющих к ним отношение персональных данных, которые обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, средствах защиты и правах в отношении обработки персональных данных и о том, как реализовать свои права в связи с такой обработкой. В частности, конкретные цели обработки персональных данных, должны быть ясными и законными и должны определяться в момент сбора персональных данных. Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, с которыми они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть в разумных пределах достигнута иными средствами. Чтобы гарантировать, что персональные данные не будут храниться дольше, чем это необходимо, контролёр должен установить сроки, по истечении которых персональные удаляются или пересматриваются. Необходимо принять все рационально обусловленные меры для того, чтобы обеспечить исправление или удаление неточных персональных данных. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность этих персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным или несанкционированного использования персональных данных и оборудования, используемого для обработки.

Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда – и в той степени, в которой – выполнено по меньшей мере одно из следующих условий:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

(b) обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации по поручению субъекта данных шагов, предшествующих заключению договора;

(c) обработка необходима для выполнения правового обязательства, возложенного на контролёра;

(d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;

(e) обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

[…]

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 “Руководящие принципы прозрачности согласно Регламенту 2016/679”. WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 – одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность – это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая – Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

3.2 Законность

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

68. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом законности:

• Релевантность – к обработке должно быть применено верное правовое основание

• Дифференциация [26] – контролер должен разграничивать правовое основания, используемые для каждого отдельного вида обработки.

_{[26] EDPB. «Руководство 2/2019 по обработке персональных данных в соответствии со статьей 6 (1) (b) GDPR в контексте предоставление онлайн-услуг субъектам данных ». Версия 2.0, 8 октября 2019 г.}

• Конкретная цель – соответствующее правовое основание должно быть четко связано с определенной целью обработки. [27]

_{[27] Смотрите раздел об ограничении целей ниже}

• Необходимость – обработка должна быть необходимой и безусловной для того, чтобы она была законной.

• Автономность – субъекту данных должна быть предоставлена наиболее возможная автономия в отношении контроля над личными данными в рамках правового основания.

• Получение согласия – согласие должно даваться свободно, конкретно, осознанно и недвусмысленно [28]. Особое внимание следует уделять способности детей и подростков давать информированное согласие.

_{[28] См. руководящие принципы 05/2020 о согласии на основании Регламента 2016/679. https://edpb.europa.eu/our-worktools/our- documents/guidelines/guidelines-052020 consent-under-regulation-2016679_en}

• Отзыв согласия – в тех случаях, когда согласие является правовым основанием, обработка должна предоставлять субъекту возможность отзывать согласие. Отзыв согласия должен быть таким же простым, как и само согласие. В противном случае механизм согласия контролера не соответствует GDPR [29].

_{[29] См. Руководящие принципы 05/2020 об изъявлении согласия на основании Регламента 2016/679, стр. 24. https://edpb.europa.eu/our- worktools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en}

• Сочетание интересов. В тех случаях, когда легитимнеык интересы являются правовым основанием, контролер должен оценивать сочетание интересов, уделяя особое внимание дисбалансу сил, в частности, детям в возрасте до 18 лет и другим уязвимым группам. Должны быть приняты меры и гарантии для уменьшения негативного воздействия на субъекта данных.

• Предопределение – правовое основание должно быть установлена до начала обработки.

• Прекращение – если правовое основание больше не применяется, обработка должна быть прекращена.

•Корректировка – при изменении правовых оснований обработка должна быть скорректирована в соответствии с новыми правилами.

_{[30] Если первоначальным правовым основанием является согласие, см. руководящие принципы 05/2020 о согласии в соответствии с Регламентом 2016/679. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent- underregulation-2016679_ru}

• Распределение ответственности. Когда предполагается совместное контролерство, стороны должны четко и прозрачно распределить свои обязанности по отношению к субъекту данных и разработать меры по обработке данных в соответствии с этим распределением.

3.3 Справедливость

69. Справедливость является всеобъемлющим принципом, который требует, чтобы персональные данные обрабатывались таким образом, чтобы это не было неоправданно пагубным, незаконно дискриминационным, непредвиденным или вводящим в заблуждение субъекта данных. Меры и гарантии, реализующие принцип справедливости, также поддерживают права и свободы субъектов данных, в частности право на информацию (прозрачность), право на вмешательство (доступ к данным, их стирание, переносимость, исправление) и право на ограничение обработки (право не подвергаться автоматизированному принятию решений в индивидуальных случаях и недискриминации субъектов данных в таких процессах).

70. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом справедливости:

• Автономия – Субъектам данных должна быть предоставлена максимально возможная степень автономии для определения того, как используются их персональные данные, а также в отношении объема и условий их использования или обработки.

• Взаимодействие – субъекты данных должны иметь возможность связываться с контролером и осуществлять свои права в отношении персональных данных, обрабатываемых контролером.

• Ожидание – обработка должна соответствовать разумным ожиданиям субъектов данных.

• Недискриминация – контролер не должен несправедливо дискриминировать субъектов данных.

• Неиспользование – контролер не должен использовать в своих целях потребности или уязвимости субъектов данных.

• Выбор потребителя – контролер не должен «блокировать» своих пользователей. Всякий раз, когда услуги или товары являются персонифицированными или закрытыми, это может создать привязку к услуге или товару. Если в таком случае нужно заменить контролеров для данных, это может быть несправедливо.

• Баланс полномочий – Баланс полномочий должен быть ключевой задачей в отношениях контроллер-субъект данных. Следует избегать дисбаланса полномочий . Когда это невозможно, такие ситуации следует распознавать и учитывать с помощью соответствующих контрмер.

• Запрет передачи риска – Контроллеры не должны переносить риски предприятия на субъектов данных.

• Отсутствие обмана – Информация и варианты обработки данных должны предоставляться объективным и нейтральным образом, избегая любых обманных или манипулятивных формулировок или намерений.

• Уважение прав – Контролер должен уважать основные права субъектов данных и применять соответствующие меры и гарантии, а также и не посягать на эти права, если это прямо не обосновано законом.

• Этичность – контролер должен внимательно рассматривать влияние обработки на права человека и его достоинство.

• Правдивость – контролер должен предоставить информацию о том, как обрабатываются персональные данные, действовать в соответствии с тем, что им заявлено и не вводить субъектов данных в заблуждение.

• Человеческое вмешательство – контролер должен внедрять в систему квалифицированного человека, способного выявить искажения, которые могут быть созданы системой в связи с правом не подвергаться автоматизированному принятию решений в индивидуальных случаях в статье 22 GDPR.[32]

_{[32] Руководство по автоматизированному индивидуальному принятию решений и профилированию для целей Регламента 2016/679. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826}

• Справедливые алгоритмы – Регулярно оценивать, функционируют ли алгоритмы в соответствии с поставленными целями, и корректировать алгоритмы для смягчения выявленных предубеждений и обеспечения справедливости при обработке. Субъекты данных должны быть проинформированы о функционировании обработки персональных данных на основе алгоритмов, которые анализируют или делают прогнозы о них, такие как производительность труда, экономическое положение, здоровье, личные предпочтения, надежность или поведение, местоположение или перемещения. [33]

(b) собираться для конкретных, отчетливых и законных целей и не обрабатываться в последующем несовместимым с этими целями образом; дальнейшая обработка для архивных целей в публичном интересе, в целях исторических или научных исследований или для статистических целей, в соответствии со статьей 89(1), не считается несовместимой с начальными целями (“ограничение целью“);

Expert commentary ISO 27701 Guidelines & Case Law Related

Expert commentary

Examples of purpose limitation

Example

The controller processes personal data about its customers. The purpose of the processing is to fulfil a contract, i.e. to be able to deliver goods to the correct address and obtain payment. The personal data stored is the purchase history, name, address, e-mail address and telephone number.

The controller is considering buying a Customer Relationship Management (CRM) product that gathers all the customer data such as sales, marketing and customer service in one place. The product gives the opportunity of storing all phone calls, activities, documents, emails and marketing campaigns to get a 360-degree view of the customer. Ultimately the CRM automatically analyses the customers’ purchasing power by using public information. The purpose of the analysis is to target the advertising better but is not a part of the original lawful purpose of the processing.

To be in line with the principle of purpose limitation, the controller requires the provider of the product to map the different processing activities using personal data with the purposes relevant for the controller. Another requirement is that the product shall be able to flag which kind of processing activities using personal data that is not in line with the legitimate purposes of the controller.

After receiving the results of the mapping, the controller assesses whether the new marketing purpose and the targeted advertisement purpose are within the contractual purposes or if they need another legal ground for this processing. Alternatively the controller could choose to not make use of this functionality in the product.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(b) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

[…]

Guidelines & Case Law

WP29, Opinion 03/2013 on purpose limitation (2013).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

[…]

3.4 Ограничение целью [34]

_{[34] Рабочая группа по Статье 29 даёт руководство для понимания принципа ограничения целью в соответствии с Директивой 95/46 / ЕС. Несмотря на то, что это мнение не принято EDBP, оно все еще может быть актуальным, поскольку формулировка этого принципа остается такой же, как и в GDPR. Article 29 Working Party. “Opinion 03/2013 on purpose limitation”. WP 203, 2 April 2013.}

71. Контролер должен собирать данные для конкретных, отчетливых легитимных целей, а не для их дальнейшей обработки способом, несовместимым с изначальными целями, для которых эти данные были собраны. Поэтому план обработки формируется исходя из того, что является необходимым для достижения цели. Если требуется какая-либо дальнейшая обработка, контролер должен сначала убедиться в том, что эта обработка имеет цели, совместимые с исходными, и спроектировать такую обработку соответствующим образом. Совместима ли новая цель с исходной или нет, нужно оценивать по критериям статьи 6(4) GDPR.

_{[35] Статья 5.1.b GDPR}

(c) быть адекватны и релевантны тому, что необходимо касательно целей, для достижения которых они обрабатываются, а также ограничены этим (“минимизации данных”);

Expert commentary ISO 27701 Guidelines & Case Law Related

Expert commentary

Examples of data minimisation

Example 1

A bookshop wants to add to their revenue by selling their books online. The bookshop owner wants to set up a standardised form for the ordering process. To prevent that customers don’t fill out all the necessary information the bookshop owner makes all of the fields in the form a required field (if you don’t fill out all the fields the customer can’t place the order) using a standard contact form. The webshop owner initially uses a standard contact form, which asks the customer’s date of birth, phone number and home address. However, not all the fields in the form are strictly necessary for the purpose of buying and delivering the books. The data subject’s date of birth and phone number are not necessary for the purchase of the product. This means that these cannot be required fields in the web form to order the product. Moreover, there are situations where an address will not be necessary. For example, when ordering an eBook the customer can download the product and his or her address does not need to be processed by the webshop.

The webshop owner therefore decides to make two web forms: one for ordering books, with a field for the customer’s address and one web form for ordering eBooks without a field for the customer’s address.

Example 2

A public transportation company wishes to gather statistical information based on travellers’ routes. This is useful for the purposes of making proper choices on changes in public transport schedules and proper routings of the trains. The passengers must pass their ticket through a reader every time they enter or exit a means of transport. Having carried out a risk assessment related to the rights and freedoms of passengers’ regarding the collection of passengers’ travel routes, the controller establishes that it is possible to identify the passengers based on the ticket identifier. Therefore, since it is not necessary for the purpose of optimizing the public transport schedules and routings of the trains, the controller does not store the ticket identifier. Once the trip is over, the controller only stores the individual travel routes so as to not be able to identify trips connected to a single ticket, but only retains information about separate travel routes.

In cases where there can be a risk of identifying a person solely by their travel route (this might be the case in remote areas) the controller implements measures to aggregate the travel route, such as cutting the beginning and the end of the route.

Example 3

A courier aims at assessing the effectiveness of its deliveries in terms of delivery times, workload scheduling and fuel consumption. In order to reach this goal, the courier has to process a number of personal data relating to both employees (drivers) and customers (addresses, items to be delivered, etc.). This processing operation entails risks of both monitoring employees, which requires specific legal safeguards, and tracking customers’ habits through the knowledge of the delivered items over time. These risks can be significantly reduced with appropriate pseudonymization of employees and customers. In particular if pseudonymization keys are frequently rotated and macro areas are considered instead of detailed addresses, an effective data minimization is pursued, and the controller can solely focus on the delivery process and on the purpose of resource optimization, without crossing the threshold of monitoring individuals’ (customers’ or employees’) behaviours.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(c) GDPR:

7.4.1 Limit collection

Control

The organization should limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes.

Implementation guidance

The organization should limit the collection of PII to what is adequate, relevant and necessary in relation to the identified purposes. This includes limiting the amount of PII that the organization collects indirectly (e.g. through web logs, system logs, etc.).

Privacy by default implies that, where any optionality in the collection and processing of PII exists, each option should be disabled by default and only enabled by explicit choice of the PII principal.

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

[…]

Guidelines & Case Law

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).

3.5 Минимизация данных

73. Должны быть обработаны только те персональные данные, которые являются адекватными, релевантными и ограниченными необходимой целью обработки.[36] В результате контролер должен заранее определить, какие основные свойства, параметры систем обработки и их вспомогательные функции допустимы. Минимизация данных обосновывает и осуществляет принцип необходимости. При дальнейшей обработке контролер должен периодически анализировать, являются ли обработанные персональные данные по-прежнему адекватными, релевантными необходимыми, или данные должны быть удалены или анонимизированы.

_{[36] Статья 5(1)(с) GDPR}

74. Контролеры должны в первую очередь определить, нужно ли им вообще обрабатывать персональные данные для соответствующих целей. Контроллер должен проверить, могут ли соответствующие цели быть достигнуты путем обработки меньшего количества персональных данных, или путем менее детальной или агрегированной обработки персональных данных, или вообще без необходимости обработки персональных данных [37]. Такая проверка должна проводиться до начала любой обработки, но также может быть осуществлена в любой момент в течение жизненного цикла обработки. Это также отвечает требованиям Статьи 11.

_{[39] В Преамбуле 39 GDPR указано: “…Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть обоснованно выполнена другими способами”}

75. Минимизация также может иметь отношение к степени идентификации. Если цель обработки не требует, чтобы окончательный набор данных ссылался на идентифицированного или лица, поддающегося идентификации (например, в статистике), но первоначальная обработка требует (например, перед агрегированием данных), то контроллер должен удалять или анонимизировать персональные данные как можно скорее, так как идентификация больше не является необходимой. Или, если дальнейшая идентификация необходима для других операций обработки, персональных данные должны быть псевдонимизированы, чтобы уменьшить риски для прав субъектов данных.

76. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом минимизации:

• Избегание данных – избегайте обработки персональных данных в целом, если это возможно для указанной цели.

• Ограничение – Ограничить объем собираемых персональных данных тем, что необходимо для этой цели.

• Ограничение доступа – Формирование процесса обработки данных таким образом, чтобы минимальное количество людей нуждалось в доступе к персональным данным для выполнения своих обязанностей, и соответствующее ограничение доступа.

• Релевантность – персональных данные должны иметь отношение к рассматриваемой обработке, и контролер должен иметь возможность продемонстрировать эту связь.

• Необходимость – каждая категория персональных данных необходим для указанных целей и должен обрабатываться только в том случае, если невозможно достичь цели другими способами.

• Агрегирование – используйте агрегированные данные, когда это возможно.

• Псевдонимизация – псевдонимизируйте персональные данные, как только больше нет необходимости иметь персональных данные, позволяющие установить личность, и хранить идентификационные ключи отдельно.

• Анонимизация и удаление – если персональные данные не необходимы или больше не требуются для данной цели, они должны быть анонимизированы или удалены.

• Поток данных – поток данных должен быть достаточно целесообразным, чтобы не создавать больше копий или точек входа для сбора данных, чем это необходимо.

• «Уровень техники» – контролер должен применять современные и подходящие технологии для предотвращения и минимизации данных.

(d) быть точными и при необходимости поддерживаться в актуальном состоянии; необходимо принять все разумные меры, чтобы персональные данные, которые являются неточными в свете целей, для которых они обрабатываются, были немедленно удалены или уточнены ( “точность”);

Expert commentary ISO 27701 Related

Expert commentary

Examples of the measures ensuring data accuracy

Example 1

A bank wishes to use artificial intelligence (AI) to profile customers applying for bank loans as a basis for their decision making. When determining how their AI solutions should be developed, they are determining the means of processing and must consider data protection by design when choosing an AI from a vendor and when deciding on how to train the AI.

When determining how to train the AI, the controller must have accurate data to achieve precise results. Therefore, the controller must ensure that the data used to train the AI is accurate.

Granted they have the legal basis to train the AI using personal data from a large pool of their existing customers, the controller chooses a pool of customers that is representative of the population to also avoid bias.

Customer data is gathered from their own systems, gathering data about the existing loan customers’ payment history, bank transactions, credit card debt, they conduct new credit checks, and they gather data from public registries that they have legal access to use.

To ensure that the data used for AI training is as accurate as possible, the controller only collects data from data sources with correct and up-to date information.

Finally, the bank tests whether the AI is reliable and provides non-discriminatory results. When the AI is fully trained and operative, the bank uses the results as a part of the loan assessments, and will never rely solely on the AI to decide whether to grant loans.

The bank will also review the reliability of the results from the AI at regular intervals.

Example 2

The controller is a health institution looking to find methods to ensure the integrity and accuracy of personal data in their client registers.

In situations where two persons arrive at the institution at the same time and receive the same treatment, there is a risk of mistaking them if the only parameter to separate them is by name. To ensure accuracy, the controller needs a unique identifier for each person, and therefore more information than just the name of the client.

The institution uses several systems containing personal information of clients, and need to ensure that the information related to the client is correct, accurate and consistent in all the systems at any point in time. The institution has identified several risks that may arise if information is changed in one system but not another.

The controller decides to mitigate the risk by using a hashing technique that can be used to ensure integrity of data in the treatment journal. Immutable hash signatures are created for treatment journal records and the employee associated with them so that any changes can be recognized, correlated and traced if required.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(d) GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

[…]

Статья 16 GDPR. Право на уточнение данных

Субъект данных имеет право потребовать от контролёра без неоправданной задержки исправить свои неточные персональные данные. Принимая во внимание цели обработки субъект персональных данных имеет право на внесение дополнений в неполное персональные данных, в том числе путем представления дополнительного заявления.

3.6 Точность

77. Персональные данные должны быть точными и постоянно обновляться, и необходимо принимать все разумные меры для обеспечения того, чтобы персональные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, могли быть стерты или исправлены без задержек.

_{[38]Статья 5(1)(d) GDPR}

78. Требования должны рассматриваться в отношении рисков и последствий конкретного использования данных. Неточные персональные данные могут представлять риск для прав и свобод субъектов данных, например, когда они приводят к неверному диагнозу или неправильному обращению с протоколом о состоянии здоровья. Неправильное изображение человека может привести к тому, что решения будут приняты на неправильной основе, либо вручную, либо с помощью автоматического принятия решений, либо с помощью искусственного интеллекта.

79. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом точности:

• Источники персональных данных должны быть надежными с точки зрения точности данных.

• Степень точности. Каждый элемент персональных данных должен быть настолько точным, насколько это необходимо для указанных целей.

•Достоверная точность – Уменьшите количество ложных срабатываний / негативов, например, предвзятость в автоматизированных решениях и искусственном интеллекте.

• Проверка – в зависимости от характера данных, в зависимости от того, как часто они могут изменяться, контролер должен проверять правильность персональных данных с субъектом данных до и на разных этапах обработки (например, к возрастным требованиям).

• Стирание / исправление – контроллер должен без промедления стирать или исправлять неточные данные. Контролер должен, в частности, содействовать этому в тех случаях, когда субъекты данных являются или были детьми и впоследствии хотят удалить такие персональные данные [39].

_{[39] См. Преамбулу 65}

• Предотвращение распространения ошибок – Контроллеры должны смягчать влияние накопленной ошибки в цепочке обработки.

• Доступ – субъектам данных должна быть предоставлена информации и быстрый доступ к персональным данным в соответствии со ст. 12 и 15 GDPR в целях того, чтобы контролировать точность данных и исправлять ошибки при необходимости.

• Постоянная точность – персональные данные должны быть точными на всех этапах обработки, тесты на точность должны проводиться на критических этапах.

• В актуальном состоянии – персональные данные должны быть обновлены, если это необходимо для этой цели.

• Проектирование данных – использование технологических и организационных особенностей проектирования для уменьшения погрешности, например, вместо свободных текстовых полей представьте краткие предопределенные варианты.

(e) храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются; персональные данные могут храниться в течение более длительного периода, до тех пор, пока они будут обрабатываться исключительно для архивных целей в публичном интересе, в целях исторических или научных исследований, или статистических целях в соответствии со статьей. 89(1), при условии, что будут реализованы соответствующие технические и организационные меры, предусмотренные настоящим Регламентом в целях защиты прав и свобод субъекта данных (“ограничение хранения”);

Expert commentary ISO 27701 Guidelines & Case Law Related

Expert commentary

Example of storage limitation

The controller collects personal data where the purpose of the processing is to administer a membership with the data subject, the personal data shall be deleted when the membership is terminated.

The controller makes an internal procedure for data retention and deletion. According to this, employees must manually delete personal data after the retention period ends. The employee follows the procedure to regularly delete and correct data from any devices, from backups, logs, e-mails and other relevant storage media.

To make deletion more effective, the controller instead implements an automatic system to delete data automatically and more regularly. The system is configured to follow the given procedure for data deletion which then occurs at a predefined regular interval to remove personal data from all of the company’s storage media. The controller reviews and tests the retention policy regularly.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(e) GDPR:

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

Implementation guidance

Organizations should identify how the specific PII and amount of PII collected and processed is limited relative to the identified purposes.

[…]

Guidelines & Case Law

Article 29 Working Party, Opinion 1/2008 on data protection issues related to search engines (2008).

In view of the initial explanations given by search engine providers on the possible purposes for collecting personal data, the Working Party does not see a basis for a retention period beyond 6 months.

In case search engine providers retain personal data longer than 6 months, they will have to demonstrate comprehensively that it is strictly necessary for the service.

European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).

3.7 Ограничение хранения

80. Контролер должен гарантировать, что персональные данные хранятся в форме, позволяющей идентифицировать субъекты данных не более, чем это необходимо для целей, для которых обрабатываются персональные данные. [27] Очень важно, чтобы диспетчер точно знал, какие персональные данные обрабатывает компания и почему. Целью обработки является определение критериев продолжительности хранения персональных данных.

_{[40] Статья 5(1)(c) GDPR}

81. Меры и гарантии, с помощью которых реализуется принцип ограничения хранения, должны дополнять права и свободы субъектов данных, в частности, право на удаление и право на возражение.

82. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом ограничения хранения:

• Удаление и анонимизация – контролер должен иметь ясные внутренние процедуры и функциональные возможности для удаления данных и/или анонимизации.

• Эффективность анонимизации / удаления – Контролер должен убедиться, что невозможно повторно идентифицировать анонимные данные или восстановить удаленные данные, и должен проверить, возможно ли это.

• Автоматизация – Удаление определенных персональных данных должно быть автоматизировано.

• Критерии хранения – Контролер должен определить, какие данные и какая продолжительность хранения необходимы для этой цели.

• Обоснование – Контролер должен быть в состоянии обосновать, почему период хранения необходим для данной цели и персональных данных, а также иметь возможность раскрыть обоснование и правовые основания для периода хранения.

• Внедрение политики хранения – Контролер должен внедрять политику внутреннего хранения и проводить проверку того, реализует ли организация свою политику.

• Резервные копии / журналы – контролеры должны определить, какие персональные данные и объем хранилища необходимы для резервного копирования и журналов.

•Поток данных – Контролеры должны быть осторожны с потоком персональных данных, а также с хранением любых их копий, и стремиться ограничить их “временное” хранение.

Руководство по согласию в соответствии с Регламентом 2016/679

Научное исследование

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”

(f) обрабатываться способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер (“целостность и конфиденциальность“).

Expert commentary ISO 27701 Guidelines & Case Law Related

Expert commentary

Example of integrity and confidentiality measures

A controller wants to extract personal data from a medical database to a server in the company. The company has assessed the risk for routing the extracts to a server that is accessible to all of the company’s employees as likely to be high for data subjects’ rights and freedoms. There is only one department in the company who needs to process these patient data. The extracts will also have a high value to the company.

To regulate access and mitigate possible damage from malware, the company decides to segregate the network, and establish access controls to the server and the directory. In addition, they put up security monitoring and an intrusion detection and prevention system. The controller activates access control on the server and isolates it from routine use. An automated auditing system is put in place to monitor access and changes. Reporting and automated alerts are generated from this when certain events related to usage are configured. This security measure will ensure that all users have access on a need to know basis and with the appropriate access level. Inappropriate use can be quickly and easily recognised.

Some of the extracts have to be compared with new extracts, and must therefore be stored for three months. The controller decides to put them into separate directories and encrypt the stored extracts.

Handling the incident makes the system more robust, and reliable, both for the controller and the data subjects. The data controller understands that preventative and effective measures and safeguards should be built into all personal data processing undertakes now and in the future, and that doing so may help prevent future such data breach incidents.

The controller establishes these security measures both to ensure accuracy, integrity and confidentiality, but also to prevent malware spread by cyber-attacks to make the solution robust.

Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.2.1.

Here is the relevant paragraphs to article 5(1)(f) GDPR:

6.3.2.1 Mobile device policy

Implementation guidance

The organization should ensure that the use of mobile devices does not lead to a compromise of PII.

[…]

Guidelines & Case Law

European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).

3.8 Целостность и конфиденциальность

83. Принцип целостности и конфиденциальности включает в себя защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер. Безопасность персональных данных требует принятия соответствующих мер, направленных на предотвращение и управление инцидентами утечек персональных данных; обеспечение надлежащего выполнения задач по обработке данных и соблюдения других принципов; а также содействие эффективному осуществлению прав физических лиц.

2. Контролёр несет ответственность за соблюдение параграфа 1 и должен быть в состоянии продемонстрировать его соблюдение (“Подотчетность”).

ISO 27701 Guidelines & Case Law Recitals Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.1.3.

Here is the relevant paragraphs to article 5(2) GDPR:

6.15.1.3 Protection of records

Implementation guidance

Review of current and historical policies and procedures can be required (e.g. in the cases of customer dispute resolution and investigation by a supervisory authority).

[…]

Guidelines & Case Law

WP29, Opinion 3/2010 on the principle of accountability (2010).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

Recitals

(82) Для демонстрации соответствия Регламенту контролёр или процессор должен вести учет деятельности по обработке, за которую он отвечает. Каждый контролёр и процессор обязан сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение указанные учетные сведения в целях мониторинга процесса обработки.

Статья 30 GDPR. Учет деятельности по обработке

1. Каждый контролёр и, если применимо, его представитель ведут реестр деятельности по обработке, за которую ответственны. Такой реестр содержит всю следующую информацию:

[…]

Статья 7 GDPR. Условия согласия

1. Если обработка производится на основании согласия, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных.

[…]

Статья 28 GDPR. Процессор

1. Если обработка должна осуществляться от имени контролёра, он использует услуги только таких процессоров, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.

[…]

Статья 82 GDPR. Ответственность и право на компенсацию

[…]

2. Любой контролёр, участвующий в обработке, несет ответственность за ущерб, причиненный в результате обработки, нарушающей настоящий Регламент. Процессор несет ответственность за ущерб, причиненный в результате обработки только если он не выполнил требования настоящего Регламента, специально установленные для процессоров, или если он действовал за рамками или в нарушение законных распоряжений контролёра.

[…]

Статья 83 GDPR. Общие условия для наложения административных штрафов

3.9 Подотчетность [41]

_{[41] См. Преамбулу 74, в соответствии с которой контроллеры обязываются продемонстрировать эффективность своих мер.}

86. Принцип подотчетности гласит, что контролер должен нести ответственность и быть в состоянии продемонстрировать соблюдение всех вышеперечисленных принципов.

87. Контроллер должен быть в состоянии продемонстрировать соблюдение принципов. При этом контролер может продемонстрировать последствия мер, принятых для защиты прав субъектов данных, и почему эти меры считаются уместными и эффективными. Например, продемонстрировать, почему та или иная мера считается уместной и эффективной для обеспечения соблюдения принципа ограничения хранения.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

Recitals Guidelines & Case Law Leave a comment

Recitals

Guidelines & Case Law