Navigering
GDPR > Статья 25. Защита персональных данных: проектируемая и по умолчанию
Hämta PDF

Статья 25 GDPR. Защита персональных данных: проектируемая и по умолчанию

1. Принимая во внимание текущий уровень научно-технического прогресса, затраты на внедрение, характер, масштаб, контекст и цель обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, вызванные обработкой, контролёр, как во время определения средств обработки, так и во время самой обработки, внедряет надлежащие технические и организационные меры, например, псевдонимизацию, предназначенные для эффективного внедрения принципов защиты персональных данных, таких как минимизация данных, а также для интеграции необходимых гарантий в обработку с целью соблюдения требований настоящего Регламента и защиты прав субъектов данных.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.


för att komma åt hela textenу

Relaterade texter

2. Контролёр внедряет надлежащие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, обработка которых требуется для конкретной цели обработки. Это обязательство распространяется на количество собранных персональных данных, степень их обработки, срок их хранения и их доступность. В частности, такие меры должны гарантировать, что персональные данные не будут доступны без вмешательства лица для неопределенного круга физических лиц по умолчанию.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.


för att komma åt hela textenу

Riktlinjer & Case Law Relaterade texter

3. Утвержденный механизм сертификации, упомянутый в статье 42, может служить одним элементов для демонстрации соответствия требованиям, изложенным в параграфах 1 и 2 настоящей статьи.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


för att komma åt hela textenу

Relaterade texter
Expertkommentarer Skälen Riktlinjer & Case Law Lämna en kommentar
Expertkommentarer
Skälen

(78) Защита прав и свобод физических лиц при обработке персональных данных требует принятия надлежащих технических и организационных мер для того, чтобы требования настоящего Регламента гарантированно выполнялись. Чтобы иметь возможность продемонстрировать соответствие Регламенту, контролёр должен принять правила внутреннего распорядка и внедрить меры, которые, в частности, отвечают принципам проектируемой защиты данных и защиты данных по умолчанию. Эти меры должны включать, среди прочего, минимизацию обработки персональных данных, псевдонимизацию персональных данных при первой же возможности, прозрачность применительно к функциям и обработке персональных данных, чтобы субъект данных мог отслеживать обработку данных, а контролёр мог создавать и совершенствовать средства защиты. При разработке, проектировании, выборе и использовании приложений, услуг и товаров, которые основаны на обработке персональных данных либо осуществляют обработку персональных данных для выполнения своих задач, производители таких товаров, услуг и приложений должны мотивированно учитывать право на защиту данных при разработке и проектировании таких товаров, услуг и приложений, и, с учетом текущего уровня научно-технического прогресса, делать все необходимое для того, чтобы контролёры и процессоры были в состоянии исполнять свои обязанности по защите данных. Принципы проектируемой защиты данных и защиты данных по умолчанию также должны учитываться применительно к государственным тендерам.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]