Принимая во внимание статью 70 (1e) Регламента 2016/679 / ЕС Европейского парламента и Европейского Совета от 27 апреля 2016 года по защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, и отменяя Директиву 95/46 / EC], (далее- «GDPR»),
Having regard to Article 70 (1e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC], (hereinafter «GDPR»),
Принимая во внимание Соглашение ЕЭЗ и, в частности, Приложение XI и Протокол к нему с поправками, внесенными Решением Объединенного комитета ЕЭЗ № 154/2018 от 6 июля 2018 года,
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018
Принимая во внимание статью 12 и статью 22 Процедурных норм от 25 мая 2018 года с последними поправками, внесенными 12 ноября 2019 года.
Having regard to Article 12 and Article 22 of its Rules of Procedure,
Во время развития цифровых технологий соблюдение требований DPbDD играет решающую роль в обеспечении конфиденциальности и защиты данных в обществе. Поэтому крайне важно, чтобы контролеры серьезно относились к этой ответственности и имплементировали обязательства по GDPR при проектировании операций обработки.
In an increasingly digital world, adherence to Data Protection by Design and by Default requirements plays a crucial part in promoting privacy and data protection in society. It is therefore essential that controllers take this responsibility seriously and implement the GDPR obligations when designing processing operations.
В настоящем Руководстве даны общие указания по обязательству спроектированной защиты персональных данных и по умолчанию (далее «DPbDD»), изложенных в ст. 25 GDPR. DPbDD является обязательством для всех контролеров, независимо от размеров и сложности обработки. Чтобы реализовать требования DPbDD, очень важно, чтобы контроллер понимал принципы защиты данных и права и свободы субъекта данных.
These Guidelines give general guidance on the obligation of Data Protection by Design and by Default (henceforth «DPbDD») set forth in Article 25 in the GDPR. DPbDD is an obligation for all controllers, irrespective of size and varying complexity of processing. To be able to implement the requirements of DPbDD, it is crucial that the controller understands the data protection principles and the data subject’s rights and freedoms.
Основным обязательством является принятие соответствующих мер и необходимых гарантий, обеспечивающих эффективную реализацию принципов защиты данных и, как следствие, прав и свобод субъектов данных, спроектированных и по умолчанию. Статья 25 определяет элементы, которые должны быть приняты во внимание как при спроектированной защите персональных данных, так и при защите данных по умолчанию. Эти элементы будут более подробно рассмотрены в настоящем Руководстве.
The core obligation is the implementation of appropriate measures and necessary safeguards that provide effective implementation of the data protection principles and, consequentially, data subjects’ rights and freedoms by design and by default. Article 25 prescribes both design and default elements that should be taken into account. Those elements, will be further elaborated in these Guidelines.
Статья 25(1) предусматривает, что контролеры должны принимать во внимание DPbDD еще на начальных этапах, когда они планируют новую операцию по обработке данных. Контролеры должны внедрять DPbDD до обработки, а также постоянно во время обработки, регулярно проверяя эффективность выбранных мер и гарантий. DPbDD применяется также к существующим системам, которые обрабатывают персональные данные.
Article 25(1) stipulates that controllers should consider DPbDD early on when they plan a new processing operation. Controllers shall implement DPbDD before processing, and also continually at the time of processing, by regularly reviewing the effectiveness of the chosen measures and safeguards. DPbDD also applies to existing systems that are processing personal data.
Furthermore, Article 25 requires data protection by default, meaning that by default, only personal data which are necessary for each specific purpose of the processing is processed. Thus, the default settings must be designed with data protection in mind. Default settings include both parameters that can be set by controllers and data subjects.
Руководство также содержит разъяснения о том, как эффективно внедрять принципы защиты персональных данных, изложенные в Статье 5, перечисляя ключевые элементы проектируемой приватности и параметров по умолчанию, а также практические примеры для наглядности. Контролер должен рассмотреть целесообразность предлагаемых мер в контексте каждой конкретной обработки.
The Guidelines also contain guidance on how to effectively implement the data protection principles in Article 5, listing key design and default elements as well as practical cases for illustration. The controller should consider the appropriateness of the suggested measures in the context of the particular processing in question.
EDPB предоставляет рекомендации о том, как контроллеры, процессоры и производители могут сотрудничать для достижения DPbDD. EDPB предлагает контроллерам в сфере производства, процессорам и производителям использовать DPbDD как средство достижения конкурентного преимущества при маркетинге своих продуктов по отношению к контроллерам и субъектам данных. EDPB также призывает всех контроллеров использовать сертификации и кодексы поведения.
The EDPB provides recommendations on how controllers, processors and producers can cooperate to achieve DPbDD. It encourages the controllers in industry, processors, and producers to use DPbDD as a means to achieve a competitive advantage when marketing their products towards controllers and data subjects. It also encourages all controllers to make use of certifications and codes of conduct.