Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда — и в той степени, в которой — выполнено по меньшей мере одно из следующих условий:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

(b) обработка необходима для исполнения договора, в котором субъект данных является стороной, или для реализации по поручению субъекта данных шагов, предшествующих заключению договора;

(c) обработка необходима для выполнения правового обязательства, возложенного на контролёра;

(d) обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;

(e) обработка необходима для выполнения задачи в публичном интересе или в рамках осуществления государственной власти, доверенной контролёру;

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

[…]

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

3.2 Законность

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

68. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом законности:

• Релевантность — к обработке должно быть применено верное правовое основание

• Дифференциация [26] — контролер должен разграничивать правовое основания, используемые для каждого отдельного вида обработки.

_{[26] EDPB. «Руководство 2/2019 по обработке персональных данных в соответствии со статьей 6 (1) (b) GDPR в контексте предоставление онлайн-услуг субъектам данных ». Версия 2.0, 8 октября 2019 г.}

• Конкретная цель — соответствующее правовое основание должно быть четко связано с определенной целью обработки. [27]

_{[27] Смотрите раздел об ограничении целей ниже}

• Необходимость — обработка должна быть необходимой и безусловной для того, чтобы она была законной.

• Автономность — субъекту данных должна быть предоставлена наиболее возможная автономия в отношении контроля над личными данными в рамках правового основания.

• Получение согласия — согласие должно даваться свободно, конкретно, осознанно и недвусмысленно [28]. Особое внимание следует уделять способности детей и подростков давать информированное согласие.

_{[28] См. руководящие принципы 05/2020 о согласии на основании Регламента 2016/679. https://edpb.europa.eu/our-worktools/our- documents/guidelines/guidelines-052020 consent-under-regulation-2016679_en}

• Отзыв согласия — в тех случаях, когда согласие является правовым основанием, обработка должна предоставлять субъекту возможность отзывать согласие. Отзыв согласия должен быть таким же простым, как и само согласие. В противном случае механизм согласия контролера не соответствует GDPR [29].

_{[29] См. Руководящие принципы 05/2020 об изъявлении согласия на основании Регламента 2016/679, стр. 24. https://edpb.europa.eu/our- worktools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en}

• Сочетание интересов. В тех случаях, когда легитимнеык интересы являются правовым основанием, контролер должен оценивать сочетание интересов, уделяя особое внимание дисбалансу сил, в частности, детям в возрасте до 18 лет и другим уязвимым группам. Должны быть приняты меры и гарантии для уменьшения негативного воздействия на субъекта данных.

• Предопределение — правовое основание должно быть установлена до начала обработки.

• Прекращение — если правовое основание больше не применяется, обработка должна быть прекращена.

•Корректировка — при изменении правовых оснований обработка должна быть скорректирована в соответствии с новыми правилами.

_{[30] Если первоначальным правовым основанием является согласие, см. руководящие принципы 05/2020 о согласии в соответствии с Регламентом 2016/679. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent- underregulation-2016679_ru}

• Распределение ответственности. Когда предполагается совместное контролерство, стороны должны четко и прозрачно распределить свои обязанности по отношению к субъекту данных и разработать меры по обработке данных в соответствии с этим распределением.

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.3 Справедливость

69. Справедливость является всеобъемлющим принципом, который требует, чтобы персональные данные обрабатывались таким образом, чтобы это не было неоправданно пагубным, незаконно дискриминационным, непредвиденным или вводящим в заблуждение субъекта данных. Меры и гарантии, реализующие принцип справедливости, также поддерживают права и свободы субъектов данных, в частности право на информацию (прозрачность), право на вмешательство (доступ к данным, их стирание, переносимость, исправление) и право на ограничение обработки (право не подвергаться автоматизированному принятию решений в индивидуальных случаях и недискриминации субъектов данных в таких процессах).

70. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом справедливости:

• Автономия — Субъектам данных должна быть предоставлена максимально возможная степень автономии для определения того, как используются их персональные данные, а также в отношении объема и условий их использования или обработки.

• Взаимодействие — субъекты данных должны иметь возможность связываться с контролером и осуществлять свои права в отношении персональных данных, обрабатываемых контролером.

• Ожидание — обработка должна соответствовать разумным ожиданиям субъектов данных.

• Недискриминация — контролер не должен несправедливо дискриминировать субъектов данных.

• Неиспользование — контролер не должен использовать в своих целях потребности или уязвимости субъектов данных.

• Выбор потребителя — контролер не должен «блокировать» своих пользователей. Всякий раз, когда услуги или товары являются персонифицированными или закрытыми, это может создать привязку к услуге или товару. Если в таком случае нужно заменить контролеров для данных, это может быть несправедливо.

• Баланс полномочий — Баланс полномочий должен быть ключевой задачей в отношениях контроллер-субъект данных. Следует избегать дисбаланса полномочий . Когда это невозможно, такие ситуации следует распознавать и учитывать с помощью соответствующих контрмер.

• Запрет передачи риска — Контроллеры не должны переносить риски предприятия на субъектов данных.

• Отсутствие обмана — Информация и варианты обработки данных должны предоставляться объективным и нейтральным образом, избегая любых обманных или манипулятивных формулировок или намерений.

• Уважение прав — Контролер должен уважать основные права субъектов данных и применять соответствующие меры и гарантии, а также и не посягать на эти права, если это прямо не обосновано законом.

• Этичность — контролер должен внимательно рассматривать влияние обработки на права человека и его достоинство.

• Правдивость — контролер должен предоставить информацию о том, как обрабатываются персональные данные, действовать в соответствии с тем, что им заявлено и не вводить субъектов данных в заблуждение.

• Человеческое вмешательство — контролер должен внедрять в систему квалифицированного человека, способного выявить искажения, которые могут быть созданы системой в связи с правом не подвергаться автоматизированному принятию решений в индивидуальных случаях в статье 22 GDPR.[32]

_{[32] Руководство по автоматизированному индивидуальному принятию решений и профилированию для целей Регламента 2016/679. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826}

• Справедливые алгоритмы — Регулярно оценивать, функционируют ли алгоритмы в соответствии с поставленными целями, и корректировать алгоритмы для смягчения выявленных предубеждений и обеспечения справедливости при обработке. Субъекты данных должны быть проинформированы о функционировании обработки персональных данных на основе алгоритмов, которые анализируют или делают прогнозы о них, такие как производительность труда, экономическое положение, здоровье, личные предпочтения, надежность или поведение, местоположение или перемещения. [33]

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

[…]

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.4 Ограничение целью [34]

_{[34] Рабочая группа по Статье 29 даёт руководство для понимания принципа ограничения целью в соответствии с Директивой 95/46 / ЕС. Несмотря на то, что это мнение не принято EDBP, оно все еще может быть актуальным, поскольку формулировка этого принципа остается такой же, как и в GDPR. Article 29 Working Party. «Opinion 03/2013 on purpose limitation». WP 203, 2 April 2013.}

71. Контролер должен собирать данные для конкретных, отчетливых легитимных целей, а не для их дальнейшей обработки способом, несовместимым с изначальными целями, для которых эти данные были собраны. Поэтому план обработки формируется исходя из того, что является необходимым для достижения цели. Если требуется какая-либо дальнейшая обработка, контролер должен сначала убедиться в том, что эта обработка имеет цели, совместимые с исходными, и спроектировать такую обработку соответствующим образом. Совместима ли новая цель с исходной или нет, нужно оценивать по критериям статьи 6(4) GDPR.

_{[35] Статья 5.1.b GDPR}

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.5 Минимизация данных

73. Должны быть обработаны только те персональные данные, которые являются адекватными, релевантными и ограниченными необходимой целью обработки.[36] В результате контролер должен заранее определить, какие основные свойства, параметры систем обработки и их вспомогательные функции допустимы. Минимизация данных обосновывает и осуществляет принцип необходимости. При дальнейшей обработке контролер должен периодически анализировать, являются ли обработанные персональные данные по-прежнему адекватными, релевантными необходимыми, или данные должны быть удалены или анонимизированы.

_{[36] Статья 5(1)(с) GDPR}

74. Контролеры должны в первую очередь определить, нужно ли им вообще обрабатывать персональные данные для соответствующих целей. Контроллер должен проверить, могут ли соответствующие цели быть достигнуты путем обработки меньшего количества персональных данных, или путем менее детальной или агрегированной обработки персональных данных, или вообще без необходимости обработки персональных данных [37]. Такая проверка должна проводиться до начала любой обработки, но также может быть осуществлена в любой момент в течение жизненного цикла обработки. Это также отвечает требованиям Статьи 11.

_{[39] В Преамбуле 39 GDPR указано: «…Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть обоснованно выполнена другими способами»}

75. Минимизация также может иметь отношение к степени идентификации. Если цель обработки не требует, чтобы окончательный набор данных ссылался на идентифицированного или лица, поддающегося идентификации (например, в статистике), но первоначальная обработка требует (например, перед агрегированием данных), то контроллер должен удалять или анонимизировать персональные данные как можно скорее, так как идентификация больше не является необходимой. Или, если дальнейшая идентификация необходима для других операций обработки, персональных данные должны быть псевдонимизированы, чтобы уменьшить риски для прав субъектов данных.

76. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом минимизации:

• Избегание данных — избегайте обработки персональных данных в целом, если это возможно для указанной цели.

• Ограничение — Ограничить объем собираемых персональных данных тем, что необходимо для этой цели.

• Ограничение доступа — Формирование процесса обработки данных таким образом, чтобы минимальное количество людей нуждалось в доступе к персональным данным для выполнения своих обязанностей, и соответствующее ограничение доступа.

• Релевантность — персональных данные должны иметь отношение к рассматриваемой обработке, и контролер должен иметь возможность продемонстрировать эту связь.

• Необходимость — каждая категория персональных данных необходим для указанных целей и должен обрабатываться только в том случае, если невозможно достичь цели другими способами.

• Агрегирование — используйте агрегированные данные, когда это возможно.

• Псевдонимизация — псевдонимизируйте персональные данные, как только больше нет необходимости иметь персональных данные, позволяющие установить личность, и хранить идентификационные ключи отдельно.

• Анонимизация и удаление — если персональные данные не необходимы или больше не требуются для данной цели, они должны быть анонимизированы или удалены.

• Поток данных — поток данных должен быть достаточно целесообразным, чтобы не создавать больше копий или точек входа для сбора данных, чем это необходимо.

• «Уровень техники» — контролер должен применять современные и подходящие технологии для предотвращения и минимизации данных.

Статья 16 GDPR. Право на уточнение данных

Субъект данных имеет право потребовать от контролёра без неоправданной задержки исправить свои неточные персональные данные. Принимая во внимание цели обработки субъект персональных данных имеет право на внесение дополнений в неполное персональные данных, в том числе путем представления дополнительного заявления.

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.6 Точность

77. Персональные данные должны быть точными и постоянно обновляться, и необходимо принимать все разумные меры для обеспечения того, чтобы персональные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, могли быть стерты или исправлены без задержек.

_{[38]Статья 5(1)(d) GDPR}

78. Требования должны рассматриваться в отношении рисков и последствий конкретного использования данных. Неточные персональные данные могут представлять риск для прав и свобод субъектов данных, например, когда они приводят к неверному диагнозу или неправильному обращению с протоколом о состоянии здоровья. Неправильное изображение человека может привести к тому, что решения будут приняты на неправильной основе, либо вручную, либо с помощью автоматического принятия решений, либо с помощью искусственного интеллекта.

79. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом точности:

• Источники персональных данных должны быть надежными с точки зрения точности данных.

• Степень точности. Каждый элемент персональных данных должен быть настолько точным, насколько это необходимо для указанных целей.

•Достоверная точность — Уменьшите количество ложных срабатываний / негативов, например, предвзятость в автоматизированных решениях и искусственном интеллекте.

• Проверка — в зависимости от характера данных, в зависимости от того, как часто они могут изменяться, контролер должен проверять правильность персональных данных с субъектом данных до и на разных этапах обработки (например, к возрастным требованиям).

• Стирание / исправление — контроллер должен без промедления стирать или исправлять неточные данные. Контролер должен, в частности, содействовать этому в тех случаях, когда субъекты данных являются или были детьми и впоследствии хотят удалить такие персональные данные [39].

_{[39] См. Преамбулу 65}

• Предотвращение распространения ошибок — Контроллеры должны смягчать влияние накопленной ошибки в цепочке обработки.

• Доступ — субъектам данных должна быть предоставлена информации и быстрый доступ к персональным данным в соответствии со ст. 12 и 15 GDPR в целях того, чтобы контролировать точность данных и исправлять ошибки при необходимости.

• Постоянная точность — персональные данные должны быть точными на всех этапах обработки, тесты на точность должны проводиться на критических этапах.

• В актуальном состоянии — персональные данные должны быть обновлены, если это необходимо для этой цели.

• Проектирование данных — использование технологических и организационных особенностей проектирования для уменьшения погрешности, например, вместо свободных текстовых полей представьте краткие предопределенные варианты.

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.7 Ограничение хранения

80. Контролер должен гарантировать, что персональные данные хранятся в форме, позволяющей идентифицировать субъекты данных не более, чем это необходимо для целей, для которых обрабатываются персональные данные. [27] Очень важно, чтобы диспетчер точно знал, какие персональные данные обрабатывает компания и почему. Целью обработки является определение критериев продолжительности хранения персональных данных.

_{[40] Статья 5(1)(c) GDPR}

81. Меры и гарантии, с помощью которых реализуется принцип ограничения хранения, должны дополнять права и свободы субъектов данных, в частности, право на удаление и право на возражение.

82. Ключевые элементы спроектированной приватности и параметров по умолчанию в соответствии с принципом ограничения хранения:

• Удаление и анонимизация — контролер должен иметь ясные внутренние процедуры и функциональные возможности для удаления данных и/или анонимизации.

• Эффективность анонимизации / удаления — Контролер должен убедиться, что невозможно повторно идентифицировать анонимные данные или восстановить удаленные данные, и должен проверить, возможно ли это.

• Автоматизация — Удаление определенных персональных данных должно быть автоматизировано.

• Критерии хранения — Контролер должен определить, какие данные и какая продолжительность хранения необходимы для этой цели.

• Обоснование — Контролер должен быть в состоянии обосновать, почему период хранения необходим для данной цели и персональных данных, а также иметь возможность раскрыть обоснование и правовые основания для периода хранения.

• Внедрение политики хранения — Контролер должен внедрять политику внутреннего хранения и проводить проверку того, реализует ли организация свою политику.

• Резервные копии / журналы — контролеры должны определить, какие персональные данные и объем хранилища необходимы для резервного копирования и журналов.

•Поток данных — Контролеры должны быть осторожны с потоком персональных данных, а также с хранением любых их копий, и стремиться ограничить их «временное» хранение.

Руководство по согласию в соответствии с Регламентом 2016/679

Научное исследование

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.8 Целостность и конфиденциальность

83. Принцип целостности и конфиденциальности включает в себя защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер. Безопасность персональных данных требует принятия соответствующих мер, направленных на предотвращение и управление инцидентами утечек персональных данных; обеспечение надлежащего выполнения задач по обработке данных и соблюдения других принципов; а также содействие эффективному осуществлению прав физических лиц.

Статья 30 GDPR. Учет деятельности по обработке

1. Каждый контролёр и, если применимо, его представитель ведут реестр деятельности по обработке, за которую ответственны. Такой реестр содержит всю следующую информацию:

[…]

Статья 7 GDPR. Условия согласия

1. Если обработка производится на основании согласия, контролёр должен быть в состоянии продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных.

[…]

Статья 28 GDPR. Процессор

1. Если обработка должна осуществляться от имени контролёра, он использует услуги только таких процессоров, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.

[…]

Статья 82 GDPR. Ответственность и право на компенсацию

[…]

2. Любой контролёр, участвующий в обработке, несет ответственность за ущерб, причиненный в результате обработки, нарушающей настоящий Регламент. Процессор несет ответственность за ущерб, причиненный в результате обработки только если он не выполнил требования настоящего Регламента, специально установленные для процессоров, или если он действовал за рамками или в нарушение законных распоряжений контролёра.

[…]

Статья 83 GDPR. Общие условия для наложения административных штрафов

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.9 Подотчетность [41]

_{[41] См. Преамбулу 74, в соответствии с которой контроллеры обязываются продемонстрировать эффективность своих мер.}

86. Принцип подотчетности гласит, что контролер должен нести ответственность и быть в состоянии продемонстрировать соблюдение всех вышеперечисленных принципов.

87. Контроллер должен быть в состоянии продемонстрировать соблюдение принципов. При этом контролер может продемонстрировать последствия мер, принятых для защиты прав субъектов данных, и почему эти меры считаются уместными и эффективными. Например, продемонстрировать, почему та или иная мера считается уместной и эффективной для обеспечения соблюдения принципа ограничения хранения.