Статья 25 Защита данных по умолчанию и при проектировании

О чём эта статья

Статья 25 — Privacy by Design и Privacy by Default. Защита данных должна быть встроена в систему изначально, а не добавлена потом.

25(1) — Privacy by Design (на этапе проектирования)

С учётом состояния техники, стоимости реализации и характера обработки, контролёр должен реализовать на момент определения средств обработки и на момент самой обработки надлежащие технические и организационные меры, обеспечивающие эффективное применение принципов защиты данных и интеграцию необходимых гарантий в обработку.

Конкретные меры: псевдонимизация, минимизация данных.

25(2) — Privacy by Default (по умолчанию)

Контролёр должен реализовать меры, обеспечивающие, что по умолчанию обрабатываются только те персональные данные, которые необходимы для каждой конкретной цели обработки.

Это касается:

• объёма собранных данных,
• объёма их обработки,
• срока хранения,
• доступности.

По умолчанию персональные данные не должны делаться доступными неограниченному числу лиц без вмешательства субъекта.

25(3) — Сертификация

Утверждённый механизм сертификации по Art. 42 может использоваться как элемент доказательства соблюдения 25(1) и 25(2).

Почему это важно для аудита

Privacy by Default — это главный аргумент против настроек, требующих opt-out. Например, если cookie-баннер по умолчанию ставит все галочки на «согласен» — это нарушение Art. 25(2). По умолчанию должно быть «не согласен», а пользователь должен активно включать.

Это нарушение часто идёт в связке с Art. 7 (согласие) и Art. 6 (правовое основание).