Ст. 25: Защита данных по умолчанию и при проектировании

Подробное описание

Статья 25 GDPR требует от контроллеров данных внедрять принципы защиты данных (privacy by design and by default) на всех этапах жизненного цикла систем обработки. Это означает проактивное проектирование технических и организационных мер (псевдонимизация, шифрование, минимизация данных, контроль доступа) ещё на этапе разработки продуктов и сервисов. По умолчанию должны обрабатываться только те персональные данные, которые необходимы для конкретной цели обработки, а срок хранения и доступность данных должны быть сведены к минимуму. Несоблюдение статьи 25 карается штрафами до €20 млн или 4% годового мирового оборота (в зависимости от того, что больше) и тесно связано с требованиями статей 5(1)(f) (целостность и конфиденциальность), 32 (безопасность обработки) и 35 (DPIA).

Практические шаги внедрения

1. 1

   Проведите Data Protection Impact Assessment (DPIA) для новых проектов и систем обработки персональных данных, особенно при использовании новых технологий или высоких рисках для субъектов данных (статья 35 GDPR)

2. 2

   Внедрите принципы Privacy by Design (7 принципов Энн Каваки): проактивность, конфиденциальность по умолчанию, встроенная защита, полная функциональность (positive-sum), сквозная безопасность, видимость и прозрачность, уважение к пользователю

3. 3

   Настройте системы на минимизацию данных: собирайте только необходимые атрибуты, автоматически удаляйте данные по истечении срока хранения, используйте псевдонимизацию и анонимизацию там, где это возможно

4. 4

   Установите строгие настройки конфиденциальности по умолчанию: публичные профили пользователей должны быть приватными до явного согласия, маркетинговые подписки — opt-in (не opt-out), доступ к данным — по принципу наименьших привилегий (least privilege)

5. 5

   Реализуйте технические меры безопасности на этапе архитектуры: шифрование данных в покое и при передаче (TLS 1.3+, AES-256), ролевой контроль доступа (RBAC), логирование доступа к персональным данным, автоматизированное обнаружение утечек

6. 6

   Внедрите организационные меры: обучение разработчиков и продуктовых команд принципам GDPR и privacy by design, назначение Data Protection Officer (DPO), регулярные security audits и penetration testing

7. 7

   Документируйте все проектные решения по защите данных: ведите Records of Processing Activities (RoPA), фиксируйте результаты DPIA, сохраняйте доказательства соблюдения принципа accountability (статья 5(2) GDPR) для предоставления регуляторам при проверках

Типичные нарушения

• Сбор избыточных данных "на всякий случай" без конкретной цели обработки (например, запрос паспортных данных или даты рождения для email-рассылки) — нарушение принципа минимизации данных (статья 5(1)(c))

• Публичные профили и открытые настройки конфиденциальности по умолчанию (opt-out модель для маркетинга вместо opt-in, автоматическое раскрытие email или телефона третьим лицам) — прямое нарушение privacy by default

• Отсутствие DPIA при запуске систем массового профилирования, автоматизированного принятия решений (scoring, кредитный скоринг, HR-отбор) или обработки специальных категорий данных (здоровье, биометрия) — обязательное требование статьи 35

• Хранение персональных данных в открытом виде (plain text паролей, незашифрованные базы данных, логи с PII) без применения псевдонимизации или шифрования — нарушение статей 25 и 32

• Отсутствие автоматизированного удаления данных после истечения срока хранения (вечное хранение логов, архивов обращений, неактивных аккаунтов) — нарушение принципа ограничения хранения (статья 5(1)(e)) и privacy by design

Почему это важно

Проверяемые категории

Связанные контроли