Стаття 5 GDPR. Принципи опрацювання персональних даних

Стаття 5

Принципи опрацювання персональних даних

1. Персональні дані необхідно:

(a) опрацьовувати у законний, правомірний і прозорий спосіб щодо суб’єкта даних (“законність, правомірність і прозорість”);

(b) збирати для визначених, чітких і законних цілей і в подальшому не опрацьовувати у спосіб, що є несумісним з такими цілями; подальше опрацювання для досягнення цілей суспільних інтересів, цілей чи цілей наукового чи історичного дослідження або статистичних цілей не можна вважати, згідно зі статтею 89(1), несумісним з первинними цілями (“цільове обмеження”);

(c) вважати достатніми і відповідними та обмежити їх мірою необхідності в них з огляду на цілі опрацювання (“мінімізація даних”);

(d) вважати точними і, за необхідності, оновлювати; необхідно вживати усіх відповідних заходів для того, щоб забезпечити, що неточні персональні дані, зважаючи на цілі їхнього опрацювання, було стерто чи виправлено без затримки (“точність”);

(e) зберігати в формі, що дозволяє ідентифікацію суб’єктів даних не довше, ніж це є необхідним для цілей їхнього опрацювання; персональні дані можна зберігати протягом більш тривалих періодів, доки їх опрацьовують винятково для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей відповідно до статті 89(1) за умов вжиття відповідних технічних і організаційних заходів, передбачених цим Регламентом для гарантування прав і свобод суб’єкта даних (“обмеження зберігання”);

(f) опрацьовувати в спосіб, що забезпечує належну безпеку персональних даних, у тому числі, захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди, із застосуванням відповідних технічних і організаційних інструментів (“цілісність і конфіденційність”).

2. Контролер несе відповідальність за дотримання параграфа 1 і повинен бути здатним це довести (“підзвітність”).

Стаття 42 GDPR. Сертифікація

1. Держави-члени, наглядові органи, Рада і Комісія заохочують, зокрема на рівні Союзу, запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності цьому Регламенту операцій опрацювання, які здійснюють контролери і оператори. Необхідно брати до уваги особливі потреби мікропідприємств, малих і середніх підприємств.

2. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, механізми сертифікації захисту даних, штампи і знаки, затверджені відповідно до параграфа 5 цієї статті, можна запровадити з метою підтвердження наявності належних гарантій, які надають контролери або оператори, на яких не поширюється дія цього Регламенту відповідно до статті 3 в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, вказаних у пункті (f) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов’язання, які є обов’язковими і можливими для виконання, за допомогою договірних або інших юридично зобов’язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб’єктів даних.

3. Сертифікація є добровільною і доступною шляхом реалізації прозорого процесу.

4. Сертифікація відповідно до цієї статті не знижує ступінь відповідальності контролера або оператора щодо відповідності цьому Регламенту та не обмежує завдання і повноваження наглядових органів, що є компетентними відповідно до статті 55 чи 56.

5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.

6. Контролер або оператор, який подає своє опрацювання до механізму сертифікації, надає органу сертифікації, вказаному в статті 43, або, у разі необхідності, компетентному наглядовому органу, всю інформацію та доступ до опрацювання даних, що є необхідним для проведення процедури сертифікації.

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

8. Рада впорядковує усі механізми сертифікації та штампи і знаки захисту даних у формі реєстру і оприлюднює їх за допомогою належних засобів.