Стаття 25 Захист даних за проектом та захист даних за замовчуванням - t

Немає жодної статті Директиви 95/46, пов’язаної зі статтею 25.

захист

Тут прийдуть рекомендації

Стаття 25 визначає обов'язки контролера, які випливають із принципів захисту даних за проектом та захисту даних за замовчуванням.

Завдання європейського законодавця - зробити захист основних прав більш ефективним та динамічним шляхом посилення класичних принципів необхідності, пропорційності, остаточності та прозорості за допомогою нових принципів, таких як захист дизайном (захист даних дизайном див. Статтю 25)., пункт 1) та захист за замовчуванням (захист даних за замовчуванням див. статтю 25, пункт 2).

Метою цих принципів є врахування прав та інтересів фізичних осіб від проекту обробки даних та налаштувань за замовчуванням.

Згідно з пунктом 1 статті 25, принцип захисту даних за проектом зобов'язує контролера вживати відповідних технічних та організаційних заходів та процедур - як при визначенні засобів обробки, так і під час обробки. - навіть - для того, щоб це зробити дотримуватися Положення, враховуючи ризики обробки.

Заходи, які мають бути прийняті, повинні враховувати наявні технології, витрати, пов'язані з їх впровадженням, а також характер, обсяг, контекст та цілі обробки, а також ймовірність та тяжкість ризику, який представляє обробка. до прав і свобод фізичних осіб.

Серед цих заходів пункт 1 посилається на мінімізацію та псевдонімізацію. Поняття псевдонімізації слід розуміти як "обробку персональних даних таким чином, що вони більше не можуть бути віднесені до суб'єкта даних без звернення до додаткової інформації, за умови, що вона зберігається окремо та передається на технічні та організаційні заходи для гарантувати це непризначення особі, яку можна ідентифікувати або визначити ”(ст. 4, 5). З іншого боку, поняття мінімізації не є предметом будь-якого визначення в Регламенті, але пояснюється у статті 5c.

Відповідно до цього принципу, повинні бути розроблені нові інноваційні та відповідальні методи для полегшення реалізації індивідуальних прав на опозицію, доступу, відмови, виправлення та права на перенесення даних (пор. ЄНОЗД, Висновок 7/2015 від 19 листопада 2015 р.), стор. 14 і далі).

У другому параграфі розглядається принцип захисту даних за замовчуванням. Це зобов'язує контролера прийняти заходи, що полягають у обмеженні за замовчуванням обробки персональних даних до строго необхідного, що стосується кількості оброблюваних даних, їх доступності та терміну зберігання. Таким чином, коли метою обробки є не надання інформації громадськості, принцип захисту за замовчуванням вимагає прийняття механізмів, що гарантують, що за замовчуванням дані стають недоступними для невизначеної кількості фізичних осіб без втручання. зацікавлена ​​особа. Це фактично суворе застосування принципу необхідності, що вже міститься в самому принципі остаточності.

Нарешті, стаття 25 у третьому абзаці чітко передбачає, що контролер може використовувати механізм сертифікації, затверджений відповідно до статті 42, щоб продемонструвати дотримання вищезазначених зобов’язань.

Жодне положення Директиви конкретно не стосується захисту даних за проектом та захисту даних за замовчуванням.

Два нових обов'язки щодо захисту даних за задумом та за замовчуванням становитимуть труднощі у впровадженні, оскільки вони включають врахування захисту даних на всіх рівнях процесу - і на всіх підприємствах, які беруть участь у процесі обробки. Для належного впровадження їм потрібна тісна співпраця між різними професіями в рамках організації, що керує даними, та обізнаність або навіть реальне викладання кожного з відповідних принципів: професії технічних даних (програмісти, аналітики, статистики тощо)., юридичні професії та професії, що відповідають вимогам, та, де це можливо, інші операційні професії (маркетинг тощо). Конкретні процеси управління повинні бути створені на основі проекту проекту даних.

Складність тим складніша, що ми стикаємося з делікатними оцінками (принципи необхідності, врахування ризику тощо), які насправді вимагають тривалого ноу-хау та практики.