Стаття 5 GDPR. Принципи опрацювання персональних даних
Стаття 5
Принципи опрацювання персональних даних
1. Персональні дані необхідно:
(a) опрацьовувати у законний, правомірний і прозорий спосіб щодо суб’єкта даних («законність, правомірність і прозорість»);
(b) збирати для визначених, чітких і законних цілей і в подальшому не опрацьовувати у спосіб, що є несумісним з такими цілями; подальше опрацювання для досягнення цілей суспільних інтересів, цілей чи цілей наукового чи історичного дослідження або статистичних цілей не можна вважати, згідно зі статтею 89(1), несумісним з первинними цілями («цільове обмеження»);
(c) вважати достатніми і відповідними та обмежити їх мірою необхідності в них з огляду на цілі опрацювання («мінімізація даних»);
(d) вважати точними і, за необхідності, оновлювати; необхідно вживати усіх відповідних заходів для того, щоб забезпечити, що неточні персональні дані, зважаючи на цілі їхнього опрацювання, було стерто чи виправлено без затримки («точність»);
(e) зберігати в формі, що дозволяє ідентифікацію суб’єктів даних не довше, ніж це є необхідним для цілей їхнього опрацювання; персональні дані можна зберігати протягом більш тривалих періодів, доки їх опрацьовують винятково для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей відповідно до статті 89(1) за умов вжиття відповідних технічних і організаційних заходів, передбачених цим Регламентом для гарантування прав і свобод суб’єкта даних («обмеження зберігання»);
(f) опрацьовувати в спосіб, що забезпечує належну безпеку персональних даних, у тому числі, захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди, із застосуванням відповідних технічних і організаційних інструментів («цілісність і конфіденційність»).
2. Контролер несе відповідальність за дотримання параграфа 1 і повинен бути здатним це довести («підзвітність»).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 25(1) GDPR:
6.11.2.1 Политика безопасности при разработке
Средство управления
Политики, которые способствуют обеспечению конфиденциальности по своему замыслу и конфиденциальности по умолчанию, должны учитывать следующие аспекты:
…
Войти
для доступа к полному тексту