Статья 25 📖 GDPR. Защита персональных данных: проектируемая и по умолчанию

Статья 25 GDPR. Защита персональных данных: проектируемая и по умолчанию

Article 25 GDPR. Data protection by design and by default

1. Принимая во внимание текущий уровень научно-технического прогресса, затраты на внедрение, характер, масштаб, контекст и цель обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, вызванные обработкой, контролёр, как во время определения средств обработки, так и во время самой обработки, внедряет надлежащие технические и организационные меры, например, псевдонимизацию, предназначенные для эффективного внедрения принципов защиты персональных данных, таких как минимизация данных, а также для интеграции необходимых гарантий в обработку с целью соблюдения требований настоящего Регламента и защиты прав субъектов данных.

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

ISO 27701 Связи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 25(1) GDPR:

6.11.2.1 Политика безопасности при разработке

Средство управления

Политики, которые способствуют обеспечению конфиденциальности по своему замыслу и конфиденциальности по умолчанию, должны учитывать следующие аспекты:

…

Войти
для доступа к полному тексту

Связи

Статья 5 GDPR. Принципы, касающиеся обработки персональных данных

Article 5 GDPR. Principles relating to processing of personal data

Статья 5

Article 5

Принципы, касающиеся обработки персональных данных

Principles relating to processing of personal data

1. Персональные данные должны:

1. Personal data shall be:

(a) обрабатываться законно, справедливо и прозрачно для субъекта данных ( «законность, справедливость и прозрачность»);

(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

(b) собираться для конкретных, отчетливых и законных целей и не обрабатываться в последующем несовместимым с этими целями образом; дальнейшая обработка для архивных целей в публичном интересе, в целях исторических или научных исследований или для статистических целей, в соответствии со статьей 89(1), не считается несовместимой с начальными целями («ограничение целью»);

(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);

(c) быть адекватны и релевантны тому, что необходимо касательно целей, для достижения которых они обрабатываются, а также ограничены этим («минимизации данных»);

(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

(d) быть точными и при необходимости поддерживаться в актуальном состоянии; необходимо принять все разумные меры, чтобы персональные данные, которые являются неточными в свете целей, для которых они обрабатываются, были немедленно удалены или уточнены ( «точность»);

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);

(e) храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются; персональные данные могут храниться в течение более длительного периода, до тех пор, пока они будут обрабатываться исключительно для архивных целей в публичном интересе, в целях исторических или научных исследований, или статистических целях в соответствии со статьей. 89(1), при условии, что будут реализованы соответствующие технические и организационные меры, предусмотренные настоящим Регламентом в целях защиты прав и свобод субъекта данных («ограничение хранения»);

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);

(f) обрабатываться способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер («целостность и конфиденциальность»).

(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

2. Контролёр несет ответственность за соблюдение параграфа 1 и должен быть в состоянии продемонстрировать его соблюдение («Подотчетность»).

2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

8. Термин «технические и организационные меры и необходимые меры защиты» понимается в широком смысле как любые методы и средства, которые контролер может использовать в обработке. Эти меры должны быть соответствующими, что означает, что эти меры, а также меры защиты должны подходить достижению намеченной цели, то есть они должны эффективно внедрять принципы защиты персональных данных.[3] Таким образом требование «соответствия» тесно связано с требованием «эффективности».

8. Technical and organizational measures and necessary safeguards can be understood in a broad sense as any method or means that a controller may employ in the processing. Being appropriate means that the measures and necessary safeguards should be suited to achieve the intended purpose, i.e. they must implement the data protection principles effectively.[3] The requirement to appropriateness is thus closely related to the requirement of effectiveness.

_{[3] «Эффективность» рассматривается ниже в подразделе 2.1.2.}

_{[3] «Effectiveness» is addressed below in subchapter 2.1.2}

9. Технической или организационной мерой, а также необходимой мерой защиты может быть что угодно, начиная от использования передовых технических решений и заканчивая базовым обучением персонала. Примеры, которые могут быть подходящими, в зависимости от контекста и рисков, связанных с рассматриваемой обработкой, включают псевдонимизацию персональных данных;[4] хранение доступных персональных данных в структурированном, обычно машиночитаемом формате; предоставление возможности субъектам данных вмешиваться в обработку; предоставление информации о хранении персональных данных; наличие систем обнаружения вредоносных программ; обучение сотрудников основам «кибергигиены»; создание систем управления приватностью и информационной безопасностью, обязательство процессоров по контракту применять определенные методы минимизации данных и т. д.

9. A technical or organisational measure and safeguard can be anything from the use of advanced technical solutions to the basic training of personnel. Examples that may be suitable, depending on the context and risks associated with the processing in question, includes pseudonymization of personal data [4]; storing personal data available in a structured, commonly machine readable format; enabling data subjects to intervene in the processing; providing information about the storage of personal data; having malware detection systems; training employees about basic «cyber hygiene»; establishing privacy and information security management systems, obligating processors contractually to implement specific data minimisation practices, etc.

_{[4] Определяется в статье 4(5) GDPR}

_{[4] Defined in Article 4(5) GDPR}

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

Эффективность решения

Addressing effectiveness

13. Эффективность лежит в основе концепции спроектированной защиты персональных данных. Требование к реализации Принципов в эффективной форме означает, что контролеры должны обеспечить меры и гарантии, необходимые меры для защиты этих принципов для обеспечения прав и свобод субъектов данных. Каждая реализованная мера должна давать запланированные результаты для обработки, предусмотренной контролером. Это замечание имеет два следствия.

13. Effectiveness is at the heart of the concept of data protection by design. The requirement to implement the principles in an effective manner means that controllers must implement the necessary measures and safeguards to protect these principles, in order to secure the rights of data subjects. Each implemented measure should produce the intended results for the processing foreseen by the controller. This observation has two consequences.

15. Во-первых, это означает, что статья 25 не требует осуществления каких-либо конкретных технических и организационных мер, а скорее указывает, что избранные меры и гарантии должны быть конкретно направлены на внедрение принципов защиты данных в конкретную обработку. При этом меры и гарантии должны быть разработаны таким образом, чтобы они были надежными, а контролер должен иметь возможность осуществлять дальнейшие меры в целях масштабирования с учетом любого увеличения риска.[6] Поэтому эффективность мер будет зависеть от контекста обработки и оценки определенных элементов, которые должны учитываться при определении средств обработки. Вышеупомянутые элементы будут рассмотрены ниже в подразделе 2.1.3.

14. First, it means that Article 25 does not require the implementation of any specific technical and organizational measures, rather that the chosen measures and safeguards should be specific to the implementation of data protection principles into the particular processing in question. In doing so, the measures and safeguards should be designed to be robust and the controller should be able to implement further measures in order to scale to any increase in risk.[6] Whether or not measures are effective will therefore depend on the context of the processing in question and an assessment of certain elements that should be taken into account when determining the means of processing. The aforementioned elements will be addressed below in subchapter 2.1.3.

_{[6] «Основные принципы, применимые к контролерам (то есть легитимность, минимизация данных, ограничение целей, прозрачность, целостность данных, точность данных) должны оставаться неизменными, независимо от обработки и рисков для субъекты данных. Однако должное внимание к характеру и объему такой обработки всегда было часть применения этих принципов, так что они по своей природе масштабируемы». Статья 29 Рабочая группа. «Заявление о роли подхода, основанного на оценке риска, в правовых рамках защиты данных». РГ 218, 30 мая 2014 года, p3.}

_{[6] «Fundamental principles applicable to the controllers (i.e. legitimacy, data minimisation, purpose limitation, transparency, data integrity, data accuracy) should remain the same, whatever the processing and the risks for the data subjects. However, due regard to the nature and scope of such processing have always been an integral part of the application of those principles, so that they are inherently scalable.» Article 29 Working Party. «Statement on the role of a risk-based approach in data protection legal frameworks». WP 218, 30 May 2014, p. 3. ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf}

15. Во-вторых, контролеры должны быть в состоянии продемонстрировать, что принципы были соблюдены.

15. Second, controllers should be able to demonstrate that the principles have been maintained.

16. Реализуемые меры и гарантии должны достигать ожидаемого результата с точки зрения защиты данных, а контроллер должен иметь документацию о реализованных технических и организационных мерах.[7] Для этого контролер может определить соответствующие ключевые показатели эффективности (KPI) для демонстрации результативности. KPI — это измеряемая величина, выбранная контроллером, которая демонстрирует, насколько эффективно контроллер достигает поставленной цели защиты персональных данных. KPI могут быть количественными, такими как процент ложноположительных или ложноотрицательных результатов, сокращение количества жалоб, сокращение времени реагирования при осуществлении субъектами данных своих прав; или качественными, такими как оценка эффективности, использование шкал оценок или экспертные оценки. В качестве альтернативы контролеры могут представить обоснование своей оценки эффективности выбранных мер и гарантий.

16. The implemented measures and safeguards should achieve the desired effect in terms of data protection, and the controller should have documentation of the implemented technical and organizational measures.[7] To do so, the controller may determine appropriate key performance indicators (KPI) to demonstrate the effectiveness. A KPI is a measurable value chosen by the controller that demonstrates how effectively the controller achieves their data protection objective. KPIs may be quantitative, such as the percentage of false positives or false negatives, reduction of complaints, reduction of response time when data subjects exercise their rights; or qualitative, such as evaluations of performance, use of grading scales, or expert assessments. Alternatively to KPIs, controllers may be able to demonstrate the effective implementation of the principles by providing the rationale behind their assessment of the effectiveness of the chosen measures and safeguards.

_{[7] См. Преамбулы 74 и 78.}.

_{[7] See Recitals 74 and 78.}

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

2.1.3.1 текущий уровень научно-технического прогресса

2.1.3.1 «state of the art»

18. Понятие «уровень научно-технического прогресса» присутствует в различных актах ЕС, например, в области охраны окружающей среды и безопасности продукции. В GDPR ссылка на «уровень научно-технического прогресса» [8] содержится не только в статье 32, касающейся мер безопасности, [9][10] но и в статье 25, что позволяет распространить этот критерий на все технические и организационные меры, встроенные в обработку.

18. The concept of «state of the art» is present in various EU acquis, e.g. environmental protection and product safety. In the GDPR, reference to the «state of the art» [8] is made not only in Article 32, for security measures,[9][10] but also in Article 25, thus extending this benchmark to all technical and organisational measures embedded in the processing.

_{[8] См. Решение Федерального конституционного суда Германии «Калкар» в 1978 году. Оно может послужить основой для методологией для определение понятия. Исходя из этого «уровень научно-технического прогресса » будет определяться между технологическим уровнем «существующих научных знаний и исследований» и более устоявшихся «общепринятых правил». «Уровень научно-технического прогресса », следовательно, может быть идентифицирован как технологический уровень услуги и технологии или продукта, который существует на рынке и является наиболее эффективным для достижения поставленных целей.}

_{[8] See German Federal Constitutional Court’s «Kalkar» decision in 1978: https://germanlawarchive.iuscomp.org/?p=67 may provide the foundation for a methodology for an objective definition of the concept. On that basis, the «state of the art» technology level would be identified between the «existing scientific knowledge and research» technology level and the more established «generally accepted rules of technology». The «state of the art» can hence be identified as the technology level of a service or technology or product that exists in the market and is most effective in achieving the objectives identified.}

_{[9] https://www.enisa.europa.eu/news/enisa-news/what-is-state-of-the-art-in-it-security}

_{[10] www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/}

19. В контексте статьи 25 ссылка на «уровень научно-технического прогресса» обязывает контролеров, при определении соответствующих технических и организационных мер принять во внимание текущий прогресса в технологиях, доступных на рынке. Требование заключается в том, что контролеры должны знать о технологических достижениях, о том, как технологии могут представлять опасность или создавать возможности в области защиты персональных данных при обработке, а также о том, как реализовать меры и гарантии, которые обеспечивают эффективную реализацию принципов и прав субъектов данных с учетом развивающейся технологической среды.

19. In the context of Article 25, the reference to «state of the art» imposes an obligation on controllers, when determining the appropriate technical and organisational measures, to take account of the current progress in technology that is available in the market. The requirement is for controllers to have knowledge of, and stay up to date on technological advances; how technology can present data protection risks or opportunities to the processing operation; and how to implement and update the measures and safeguards that secure effective implementation of the principles and rights of data subjects taking into account the evolving technological landscape.

20. «Уровень научно-технического прогресса» — это динамическая концепция, которая не может быть статически определена в определенный момент времени, но должна оцениваться постоянно в контексте технического прогресса. Перед лицом технологических достижений, контролер может обнаружить, что мера, которая ранее обеспечивала адекватный уровень защиты, больше этого не делает. Поэтому пренебрежение технологическими изменениями может впоследствии привести к несоблюдению статьи 25.

20. The «state of the art» is a dynamic concept that cannot be statically defined at a fixed point in time, but should be assessed continuously in the context of technological progress. In the face of technological advancements, a controller could find that a measure that once provided an adequate level of protection no longer does. Neglecting to keep up to date with technological changes could therefore result in a lack of compliance with Article 25.

21. Критерий «уровень научно-технического прогресса» применим не только к технологическим мерам, но и к организационным. Отсутствие соответствующих организационных мер может снизить или даже полностью подорвать эффективность выбранной технологии. Примерами организационных мер могут быть принятие внутренних политик; современное обучение в области технологий, безопасности и защиты персональных данных; а также политики управления и менеджмента информационной безопасностью.

21. The «state of the art» criterion does not only apply to technological measures, but also to organisational ones. Lack of appropriate organisational measures can lower or even completely undermine the effectiveness of a chosen technology. Examples of organisational measures can be adoption of internal policies; up-to date training on technology, security and data protection; and IT security governance and management policies.

22. Существующие и признанные стандарты, сертификации, кодексы поведения и т.д. в различных областях могут сыграть роль в определении текущего «уровня научно-технического прогресс» в рамках данной области. Там, где такие стандарты существуют и обеспечивают высокий уровень защиты субъекта данных в соответствии с правовыми требованиями или превосходят их, контролеры должны учитывать их при разработке и реализации мер по защите данных.

22. Existing and recognized frameworks, standards, certifications, codes of conduct, etc. in different fields may play a role in indicating the current «state of the art» within the given field of use. Where such standards exist and provide a high level of protection for the data subject in compliance with – or go beyond – legal requirements, controllers should take them into account in the design and implementation of data protection measures.

2.1.3.2 «затраты на внедрение»

2.1.3.2 «cost of implementation»

23. Контролер может учитывать затраты на внедрение при выборе и применении соответствующих технических и организационных мер и необходимых гарантий, которые эффективно реализуют принципы защиты прав субъектов данных. К затратам в этом контексте относятся ресурсы в целом, включая время и человеческие ресурсы.

23. The controller may take the cost of implementation into account when choosing and applying appropriate technical and organisational measures and necessary safeguards that effectively implement the principles in order to protect the rights of data subjects. The cost refers to resources in general, including time and human resources.

2.1.3.3 «характер, масштаб, контекст и цели обработки»

2.1.3.3 «nature, scope, context and purpose of processing»

27. Иными словами, характер можно понимать как неотъемлемую[11] характеристику обработки. «Сфера действия» относится к размеру и направлению обработки. «Контекст» относится к обстоятельствам обработки, которые могут влиять на ожидания субъекта данных, в то время как «цель» относится к целям обработки.

28. In short, the concept of nature can be understood as the inherent[11] characteristics of the processing. The scope refers to the size and range of the processing. The context relates to the circumstances of the processing, which may influence the expectations of the data subject, while the purpose pertains to the aims of the processing.

_{[11] Примерами являются специальные категории персональных данных, автоматизированное принятие решений, дисбаланс властных отношений, непредсказуемая обработка, трудности для субъекта данных в осуществлении прав и т.д.}

_{[11] Examples are special categories personal data, automatic decision-making, skewed power relations, unpredictable processing, difficulties for the data subject to exercise the rights, etc.}

2.1.3.4 «вероятность и серьезность риска для прав и свобод субъекта данных, вызванная обработкой»

2.1.3.4 «risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing»

32. Подход, основанный на оценке риска, не исключает использования исходных условий, передовой практики и стандартов. Они могут предоставить контроллерам полезный инструментарий для решения аналогичных рисков в аналогичных ситуациях (характер, объем, контекст и цель обработки). Тем не менее, обязательство в статье 25 (а также в статьях 24, 32 и 35(7)(c)) учитывать «риски различной вероятности и серьезности для прав и свобод физических лиц, связанные с обработкой», остается неизменным. Таким образом, контролеры, хотя и поддерживаемые такими инструментами, должны всегда проводить оценку рисков в области защиты данных в каждом отдельном случае в отношении рассматриваемой деятельности по обработке и проверять эффективность предлагаемых соответствующих мер и гарантий. В этом случае может потребоваться проведение дополнительной оценки воздействия на защиту персональных данных или обновление существующей оценки воздействия на защиту персональных данных (DPIA).

32. The risk based approach does not exclude the use of baselines, best practices and standards. These might provide a useful toolbox for controllers to tackle similar risks in similar situations (nature, scope, context and purpose of processing). Nevertheless, the obligation in Article 25 (as well as Articles 24, 32 and 35(7)(c)) to take into account «risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing» remains. Therefore, controllers, although supported by such tools, must always carry out a data protection risk assessment on a case by case basis for the processing activity at hand and verify the effectiveness of the appropriate measures and safeguards proposed. A DPIA, or an update to an existing DPIA, may then additionally be required.

2.1.4.1 Во время определения средства для обработки

2.1.4.1 At the time of the determination of the means for processing

34. «Средства обработки» варьируются от абстрактных до конкретных проектируемых элементов обработки, таких, как архитектура, процедуры, протоколы, макет и внешний вид.

34. The «means for processing» range from the general to the detailed design elements of the processing, including the architecture, procedures, protocols, layout and appearance.

35. «Время определения средств обработки» — это период времени, на протяжении которого контроллер определяет, каким образом будет происходить обработка, а также механизмы, которые будут использоваться для проведения такой обработки. Именно в процессе принятия таких решений контроллер должен оценивать соответствующие меры и гарантии для эффективной реализации принципов и прав субъектов данных на обработку и принимать во внимание такие элементы, как «Текущий уровень научно-технического прогресса», затраты на внедрение, характер, объем, контекст и цель обработки, а также риски. Сюда также относятся время приобретения и внедрения программного обеспечения, аппаратных средств и услуг по обработке данных.

35. The «time of determination of the means for processing» refers to the period of time when the controller is deciding how the processing will be conducted and the manner in which the processing will occur and the mechanisms which will be used to conduct such processing. It’s in the process of making such decisions that the controller must assess the appropriate measures and safeguards to effectively implement the principles and rights of data subjects into the processing, and take into account elements such as the state of the art, cost of implementation, nature, scope, context and purpose, and risks. This includes the time of procuring and implementing data processing software, hardware, and services.

2. Контролёр внедряет надлежащие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, обработка которых требуется для конкретной цели обработки. Это обязательство распространяется на количество собранных персональных данных, степень их обработки, срок их хранения и их доступность. В частности, такие меры должны гарантировать, что персональные данные не будут доступны без вмешательства лица для неопределенного круга физических лиц по умолчанию.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

ISO 27701 Офиц. документы и решения Связи

ISO 27701

Приводим соответствующий параграф к статье 25(2) GDPR:

7.4.2 Ограниченная обработка информации

Средство управления

Организация должна ограничить обработку ПИИ до того объема, который является адекватным, актуальным и необходимым для определенных целей.

Руководство по внедрению

Ограничение обработки ПИИ должно регулироваться с помощью политики информационной безопасности и конфиденциальности (см. 6.2) вместе с задокументированными процедурами их принятия и соблюдения.
Обработка ПИИ, в том числе:

…

Войти
для доступа к полному тексту

Офиц. документы и решения

(EN)

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Связи

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

По умолчанию

By default, only personal data which are necessary for each specific purpose of the processing are processed

2.2.1

40. «По умолчанию», как это обычно определяется в информатике, относится к ранее существовавшему или предварительно выбранному значению настраиваемого параметра, предназначенного для программного приложения, компьютерной программы или устройства. такие параметры также называются «пресетами» или «заводскими настройками, особенно это актуально для электронных устройств.

40. A «default», as commonly defined in computer science, refers to the pre-existing or preselected value of a configurable setting that is assigned to a software application, computer program or device. Such settings are also called «presets» or «factory presets», especially for electronic devices.

41. Следовательно, «защита персональных данных по умолчанию» при обработке персональных данных относится к выбору значений конфигурации или вариантов обработки, установленных или предписанных в системе обработки, таких как программное приложение, услуга или устройство, или ручная процедура обработки, которые влияют на объем собранных персональных данных, степень их обработки, срок их хранения и доступность.

41. Hence, the term «by default» when processing personal data, refers to making choices regarding configuration values or processing options that are set or prescribed in a processing system, such as a software application, service or device, or a manual processing procedure that affect the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility.

46. Руководство EDPS пооценке необходимости и соразмерности применяемых мер, ограничивающих право на защиту персональных данных, может быть полезно также для того, чтобы решить, какие персональные данные необходимо обработать для достижения определенной цели. [10], [11]

46. The EDPS guidelines to assess necessity and proportionality of measures that limit the right to data protection can be useful also to decide which data is necessary to process in order to achieve a specific purpose.[10][11]

_{[10] EDPS «Руководство по оценке необходимости и соразмерности мер, ограничивающих право на защиту персональных данных”. 25 февраля 2019 года.}

_{[10] EDPS. “Guidelines on assessing the necessity and proportionality of measures that limit the right to data protection”. 25 February 2019.}

_{[11]Дополнительную информацию о необходимости см. В статье 29 рабочей группы. “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”. WP 217, 9 April 2014.}

_{[11] For more info on necessity, see Article 29 Working Party. “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”. WP 217, 9 April 2014.}

2.2.2.2 «степень их обработки»

2.2.2.2 «the extent of their processing»

51. Операции обработки,[17] выполняемые над персональными данными должны быть ограничены лишь тем, что необходимо. Многие операции обработки способствуют достижению целей обработки. Тем не менее, тот факт, что персональные данные необходимы для выполнения определенной цели, не означает, что все виды обработок, а также любая частота обработки данных допустимы. Контроллеры также должны быть осторожны, чтобы не пересечь границы «совместимых целей» (ст. 6 (4)), и иметь в виду, что обработка будет осуществляться в пределах разумного ожидания субъектов данных.

51. Processing [17] operations performed on personal data shall be limited to what is necessary. As noted above, many processing operations may contribute to a processing purpose, but just because personal data is needed to fulfil a purpose does not mean that all types of, and frequencies of, processing operations may be carried out on the data. Controllers should also be careful not to extend the boundaries of «compatible purposes», and have in mind what processing will be within the reasonable expectations of data subjects.

_{[17] Cогласно статье 4 (2) GDPR, это включает сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение.}

_{[17] According to Art. 4(2) GDPR, this includes collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.}

3. Утвержденный механизм сертификации, упомянутый в статье 42, может служить одним элементов для демонстрации соответствия требованиям, изложенным в параграфах 1 и 2 настоящей статьи.

3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

ISO 27701 Связи

ISO 27701

Приводим соответствующий параграф к статье 25(3) GDPR:

5.2.1 Понимание организации и ее контекста

Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.

…

Войти
для доступа к полному тексту

Связи

Статья 42 GDPR. Сертификация

Article 42 GDPR. Certification

1. Государства-члены, надзорные органы, Европейский совет защиты персональных данных и Европейская Комиссия поощряют, в частности на уровне Союза, учреждение механизмов сертификации защиты данных, а также печатей и маркировочных знаков защиты данных, предназначенных для демонстрации соблюдения настоящего Регламента при осуществлении операций по обработке данных контролёрами и процессорами. Принимаются во внимание особые потребности микро-, малых и средних предприятий.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

2. В дополнение к соблюдению контролёрами и процессорами, подпадающими под действие настоящего Регламента, могут быть установлены механизмы сертификации защиты данных, печати и маркировочные знаки, установленные параграфом 5 настоящей Статьи, с целью продемонстрировать наличие соответствующих гарантий, предоставляемых контролёрами или процессорами, которые не подпадают под действие настоящего Регламента согласно статье 3, в рамках передачи персональных данных третьим странам или международным организациям на основании пункта f статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.

3. Сертификация должна быть добровольной и доступной посредством прозрачной процедуры.

3. The certification shall be voluntary and available via a process that is transparent.

4. Сертификация согласно настоящей Статье не уменьшает ответственность контролёра или процессора за соответствие настоящему Регламенту и не отменяет задачи и полномочия надзорных органов, которые компетентны в соответствии со статьей 55 и 56.

4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.

5. Сертификация согласно настоящей Статье должна осуществляться органами по сертификации, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных этим компетентным надзорным органом согласно Статье 58(3) или Европейским советом по защите персональных данных согласно Статье 63. Если критерии утверждаются Европейским советом по защите персональных данных, это может привести к всеобщей сертификации, то есть к Европейскому знаку защиты персональных данных.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

6. Контролёр или процессор, которые представляют осуществляемую им обработку механизму сертификации, предоставляют органу по сертификации, указанному в Статье 43, или в соответствующих случаях компетентному надзорному органу всю информацию и доступ к деятельности по обработке, что необходимо для проведения процедуры сертификации.

6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.

7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

8. Европейский совет по защите персональных данных должен внести все механизмы сертификации, печати и маркировочные знаки о защите данных в реестр и опубликовать их соответствующим способом.

8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта Преамбулы Офиц. документы и решения Оставьте комментарий

Комментарий эксперта

Несмотря что данное обязательство накладывается на контролеров данных, эта статья также затрагивает процессоров (вендоров), которые зачастую разрабатывают программное обеспечение, предлагаемое контролерам данных.

Первые шаги проектирования приватности:

Определить цели обработки и потребность бизнеса в данных.
Анонимизировать или псевдномизировать данные с помощью соответствующих техник, так как это позволяет снижать риски для индивидов.

Примеры техник:

Псевдонимизация
Добавление шума (Noise addition)
Подмена (Substitution)
K-анонимность (агрегация)
L-разнообразие (L-diversity)
T-близость (T-closeness)
Дифференциальная приватность (Differential privacy)

Преамбулы

(78) Защита прав и свобод физических лиц при обработке персональных данных требует принятия надлежащих технических и организационных мер для того, чтобы требования настоящего Регламента гарантированно выполнялись. Чтобы иметь возможность продемонстрировать соответствие Регламенту, контролёр должен принять правила внутреннего распорядка и внедрить меры, которые, в частности, отвечают принципам проектируемой защиты данных и защиты данных по умолчанию. Эти меры должны включать, среди прочего, минимизацию обработки персональных данных, псевдонимизацию персональных данных при первой же возможности, прозрачность применительно к функциям и обработке персональных данных, чтобы субъект данных мог отслеживать обработку данных, а контролёр мог создавать и совершенствовать средства защиты. При разработке, проектировании, выборе и использовании приложений, услуг и товаров, которые основаны на обработке персональных данных либо осуществляют обработку персональных данных для выполнения своих задач, производители таких товаров, услуг и приложений должны мотивированно учитывать право на защиту данных при разработке и проектировании таких товаров, услуг и приложений, и, с учетом текущего уровня научно-технического прогресса, делать все необходимое для того, чтобы контролёры и процессоры были в состоянии исполнять свои обязанности по защите данных. Принципы проектируемой защиты данных и защиты данных по умолчанию также должны учитываться применительно к государственным тендерам.

(78) The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders.

Офиц. документы и решения

(EN)

Documents

WP29, Opinion 05/2014 on Anonymisation Techniques (2014).

WP29, Opinion on data processing at work (2017).

Spanish Data Protection Agency (AEPD), A Guide to Privacy by Design (2019).

EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (2020):

Data protection by design must be implemented both at the time of determining the means of processing and at the time of processing itself. It is at the time of determining the means of processing that controllers shall implement measures and safeguards designed to effectively implement the data protection principles. To ensure effective data protection at the time of processing, the controller must regularly review the effectiveness of the chosen measures and safeguards. The EDPB encourages early consideration of data protection by design when planning a new processing operation.

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Spanish Data Protection Agency (AEPD), Guidelines for DataProtection by Default (2020).

Information Commissioner’s Office, Right of Access (2020).

EDPB, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).