Článok 25 📖 GDPR. Špecificky navrhnutá a štandardná ochrana údajov

Článok 25 GDPR. Špecificky navrhnutá a štandardná ochrana údajov

1. So zreteľom na najnovšie poznatky. náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

ISO 27701 Súvisiace texty

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.

(EN) […]

(EN) Sign in
to read the full text

Súvisiace texty

Článok 5 GDPR. Zásady spracúvania osobných údajov

Článok 5

Zásady spracúvania osobných údajov

1. Osobné údaje musia byť:

a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

b) získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d) správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“);

e) uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb („minimalizácia uchovávania“);

f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

2. Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

ISO 27701 Pokyny & Case Law Súvisiace texty

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.

(EN) […]

(EN) Sign in
to read the full text

Pokyny & Case Law

(EN)

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Súvisiace texty

3. Schválený certifikačný mechanizmus podľa článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

ISO 27701 Súvisiace texty

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]

(EN) Sign in
to read the full text

Súvisiace texty

Článok 42 GDPR. Certifikácia

1. Členské štáty, dozorné orgány, výbor a Komisia podporia, predovšetkým na úrovni Únie, zavedenie certifikačných mechanizmov ochrany údajov a pečatí a značiek ochrany údajov na účely preukázania súladu s týmto nariadením, pokiaľ ide o spracovateľské operácie vykonávané prevádzkovateľmi a sprostredkovateľmi. Zohľadnia sa osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, sa môžu stanoviť v oblasti ochrany údajov certifikačné mechanizmy, pečate alebo značky schválené podľa odseku 5 tohto článku s cieľom preukázať existenciu primeraných záruk zabezpečených prevádzkovateľmi alebo sprostredkovateľmi, na ktorých sa toto nariadenie podľa článku 3 nevzťahuje, v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. f). Takíto prevádzkovatelia alebo sprostredkovatelia môžu prijať záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

3. Certifikácia je dobrovoľná a dostupná prostredníctvom postupu, ktorý je transparentný.

4. Certifikáciou podľa tohto článku sa neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať toto nariadenie a nie sú ňou dotknuté úlohy a právomoci dozorných orgánov, ktoré sú príslušné podľa článku 55 alebo 56.

5. Certifikáciu podľa tohto článku vydajú certifikačné subjekty uvedené v článku 43 alebo príslušný dozorný orgán na základe kritérií schválených uvedeným príslušným dozorným orgánom podľa článku 58 ods. 3 alebo kritérií schválených výborom podľa článku 63. Ak kritériá schvaľuje výbor, môže to viesť k spoločnej certifikácii, európskej pečati ochrany údajov.

6. Prevádzkovateľ alebo sprostredkovateľ, ktorý predkladá svoje spracúvanie certifikačnému mechanizmu, poskytne certifikačnému subjektu uvedenému v článku 43 alebo v príslušnom prípade príslušnému dozornému orgánu všetky informácie a prístup k svojim spracovateľským činnostiam, ktoré sú potrebné na vykonanie certifikačného postupu.

7. Certifikácia sa prevádzkovateľovi alebo sprostredkovateľovi vydá na maximálne obdobie troch rokov a môže sa obnoviť za rovnakých podmienok, pokiaľ sa naďalej plnia príslušné požiadavky. Certifikačné subjekty uvedené v článku 43 alebo v príslušnom prípade príslušný dozorný orgán certifikáciu odoberú, ak nie sú alebo už nie sú splnené požiadavky na certifikáciu.

8. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate a značky ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Všeobecné nariadenie o ochrane údajov (GDPR)

Komentár Odôvodnenia Pokyny & Case Law Zanechať komentár

Komentár

(RU) Несмотря что данное обязательство накладывается на контролеров данных, эта статья также затрагивает процессоров (вендоров), которые зачастую разрабатывают программное обеспечение, предлагаемое контролерам данных.

Первые шаги проектирования приватности:

Определить цели обработки и потребность бизнеса в данных.
Анонимизировать или псевдномизировать данные с помощью соответствующих техник, так как это позволяет снижать риски для индивидов.

Примеры техник:

Псевдонимизация
Добавление шума (Noise addition)
Подмена (Substitution)
K-анонимность (агрегация)
L-разнообразие (L-diversity)
T-близость (T-closeness)
Дифференциальная приватность (Differential privacy)

Odôvodnenia

(78) Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia. Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky. Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov. Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

Pokyny & Case Law

(EN)

Documents

WP29, Opinion 05/2014 on Anonymisation Techniques (2014).

WP29, Opinion on data processing at work (2017).

Spanish Data Protection Agency (AEPD), A Guide to Privacy by Design (2019).

EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (2020):

Data protection by design must be implemented both at the time of determining the means of processing and at the time of processing itself. It is at the time of determining the means of processing that controllers shall implement measures and safeguards designed to effectively implement the data protection principles. To ensure effective data protection at the time of processing, the controller must regularly review the effectiveness of the chosen measures and safeguards. The EDPB encourages early consideration of data protection by design when planning a new processing operation.

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Spanish Data Protection Agency (AEPD), Guidelines for DataProtection by Default (2020).

Information Commissioner’s Office, Right of Access (2020).

EDPB, Guidelines 01/2021 on Examples regarding Data Breach Notification (2021).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).