Статья 5 Принципы обработки персональных данных

О чём эта статья

Статья 5 — семь принципов обработки персональных данных. Это юридический фундамент всего регламента. Любое нарушение GDPR можно свести к нарушению одного из этих принципов.

5(1) — Семь принципов

(a) Законность, справедливость и прозрачность. Обработка должна быть законной (на одном из оснований Art. 6), справедливой и прозрачной для субъекта данных.

(b) Ограничение целью. Данные собираются для конкретных, явных и законных целей и не обрабатываются дальше способом, несовместимым с этими целями.

(c) Минимизация данных. Собирать только то, что необходимо для целей обработки. Не больше.

(d) Точность. Данные должны быть точны и, при необходимости, актуализированы. Неточные данные должны исправляться или удаляться.

(e) Ограничение хранения. Данные хранятся не дольше, чем необходимо для целей обработки.

(f) Целостность и конфиденциальность. Обработка должна обеспечивать должный уровень безопасности, включая защиту от несанкционированной обработки, потери, уничтожения, повреждения.

5(2) — Подотчётность

Контролёр несёт ответственность за соблюдение этих принципов и должен быть способен продемонстрировать соблюдение.

Это критически важный пункт: бремя доказывания лежит на контролёре, а не на субъекте данных. Если контролёр не может доказать, что согласие было получено правильно — оно недействительно.

Почему это важно для аудита

В большинстве аудитов, где зафиксированы нарушения, формальная ссылка идёт на Art. 5:

• Передача данных в США без правового основания — нарушение Art. 5(1)(a).
• Сбор данных «на всякий случай» — нарушение Art. 5(1)(b) (нет конкретной цели) и (c) (избыточно).
• Отсутствие нормальной политики удаления — нарушение Art. 5(1)(e).