1. Agus cineál, raon feidhme, comhthéacs agus críocha na próiseála á gcur san áireamh aige, mar aon leis na rioscaí do chearta agus do shaoirsí daoine nádúrtha, ar rioscaí iad a d’fhéadfadh teacht chun cinn agus leibhéal athraitheach déine ag gabháil leo, cuirfidh an rialaitheoir bearta iomchuí teicniúla agus eagraíochtúla chun feidhme le háirithiú agus le bheith in ann a thaispeáint go ndéantar an phróiseáil i gcomhréir leis an Rialachán seo. Déanfar na bearta sin a athbhreithniú agus a thabhairt cothrom le dáta i gcás inar gá.
2. Áireofar sna bearta dá dtagraítear i mír 1 go gcuirfidh an rialaitheoir beartais iomchuí um chosaint sonraí chun feidhme má tá sin comhréireach i dtaca le gníomhaíochtaí próiseála.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 5.1.1.
Here is the relevant paragraph to article 24(2) GDPR:
6.2.1.1 Policies for information security
Implementation guidance
Either by the development of separate privacy policies, or by the augmentation of information security policies, the organization should produce a statement concerning support for and commitment to achieving compliance with applicable PII protection legislation and/or regulation and with the contractual terms agreed between the organization and its partners, its subcontractors and its applicable third parties (customers, suppliers etc.), which should clearly allocate responsibilities between them.
…
Connettersi
per accedere al testo completo
3. Má chloítear le cóid fhormheasta iompair amhail dá dtagraítear in Airteagal 40 nó le sásraí formheasta deimhniúcháin amhail dá dtagraítear in Airteagal 42, féadfar sin a úsáid mar ghné lena thaispeáint go gcomhlíontar oibleagáidí an rialaitheora.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to article 24(3) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
…
Connettersi
per accedere al testo completo
(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that “decides why and how data will be processed” (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).
…
Connettersi
per accedere al testo completo
(74) Ba cheart freagracht agus dliteanas an rialaitheora a shuíomh maidir le haon phróiseáil a dhéanann an rialaitheoir ar shonraí pearsanta nó a dhéantar thar ceann an rialaitheora. Go háirithe, ba cheart é a bheith d'oibleagáid ar an rialaitheoir bearta iomchuí éifeachtacha a chur chun feidhme agus a bheith in ann a thaispeáint go gcomhlíontar an Rialachán seo leis na gníomhaíochtaí próiseála, agus éifeachtacht na mbeart a léiriú freisin. Leis na bearta sin, ba cheart cineál, raon feidhme, comhthéacs agus críocha na próiseála a chur san áireamh agus an riosca atá ann i leith chearta agus shaoirsí na ndaoine nádúrtha a chur san áireamh freisin.
(75) Maidir leis na rioscaí i dtaca le cearta agus saoirsí daoine nádúrtha, ar rioscaí iad lena ngabhann dóchúlacht agus déine éagsúil, mar thoradh ar phróiseáil sonraí pearsanta as damáiste fisiciúil, ábhartha nó neamhábhartha, go háirithe sna cásanna seo a leanas: i gcás ina n-eascródh idirdhealú, goid aitheantais nó calaois aitheantais, caillteanas airgeadais, damáiste don chlú, caillteanas rúndacht na sonraí pearsanta sin atá faoi chosaint de réir rúndacht ghairmiúil, aisiompú neamhúdaraithe cur i bhfeidhm ainm bréige, nó aon mhíbhuntáiste eacnamaíoch nó sóisialta eile atá suntasach as an bpróiseáil; i gcás ina bhféadfadh sé go ndéanfaí cearta agus saoirsí na n-ábhar sonraí a cheilt orthu nó go gcoisfí iad ó rialú a dhéanamh ar fheidhmiú a gcuid sonraí pearsanta; i gcás ina ndéantar próiseáil ar shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, ballraíocht i gceardchumann, agus próiseáil sonraí géiniteacha, sonraí a bhaineann leis an tsláinte nó sonraí a bhaineann le saol gnéis nó le ciontuithe coiriúla agus cionta nó le bearta slándála gaolmhara; i gcás ina ndéantar meastóireacht ar ghnéithe pearsanta, go háirithe anailísiú nó tuar ar ghnéithe maidir le feidhmiú ag an obair, maidir leis an staid eacnamaíoch, sláinte, roghanna nó leas pearsanta, iontaofacht nó iompraíocht, suíomh nó gluaiseachtaí, chun próifílí pearsanta a chruthú nó a úsáid; i gcás ina ndéantar próiseáil ar shonraí pearsanta daoine nádúrtha leochaileacha, go háirithe leanaí; nó i gcás ina bhfuil cainníocht mhór sonraí pearsanta i gceist leis an bpróiseáil agus ina mbíonn tionchar ag an bpróiseáil sin ar líon mór ábhar sonraí.
(76) Dóchúlacht agus déine an riosca sin maidir le cearta agus saoirsí an ábhair sonraí, ba cheart an dóchúlacht agus an déine sin a chinneadh faoi threoir chineál, raon feidhme, chomhthéacs agus chríocha na próiseála sonraí. Ba cheart an riosca a mheas ar bhonn measúnú oibiachtúil, lena suitear an mbaineann riosca nó ardriosca le hoibríochtaí próiseála sonraí.
(77) Treoir maidir le bearta iomchuí a chur chun feidhme agus maidir lena thaispeáint go bhfuil siad á gcomhlíonadh ag an rialaitheoir nó ag an bpróiseálaí, go háirithe i ndáil leis na rioscaí a bhaineann leis an bpróiseáil a shainaithint, measúnú a dhéanamh orthu i dtéarmaí tionscnaimh, cineáil, dóchúlachta agus déine, agus na cleachtais is fearr a shainaithint leis an riosca a mhaolú, d'fhéadfaí an treoir sin a chur ar fáil go háirithe trí bhíthin cóid fhormheasta iompair, deimhniúcháin fhormheasta, treoirlínte a chuireann an Bord ar fáil nó trí bhíthin léirithe a chuireann an t-oifigeach cosanta sonraí ar fáil. Féadfaidh an Bord treoirlínte a eisiúint freisin maidir le hoibríochtaí próiseála a meastar nach mbeadh ardriosca ag gabháil leo i ndáil le cearta agus saoirsí daoine nádúrtha agus féadfaidh siad freisin na bearta a léiriú a d'fhéadfadh a bheith leordhóthanach i gcásanna den sórt sin chun aghaidh a thabhairt ar riosca den sórt sin.
(83) Chun an tslándáil a chothabháil agus chun cosc a chur ar phróiseáil de shárú ar an Rialachán seo, ba cheart don rialaitheoir nó don phróiseálaí meastóireacht a dhéanamh ar na rioscaí a bhaineann go bunúsach leis an bpróiseáil agus ba cheart dó bearta, amhail criptiú, a chur chun feidhme chun na rioscaí sin a mhaolú. Ba cheart leibhéal iomchuí slándála a áirithiú leis na bearta sin, lena n-áirítear rúndacht, agus aird á tabhairt ar staid na teicníochta agus ar na costais a bhaineann le cur chun feidhme maidir leis na rioscaí agus le cineál na sonraí pearsanta atá le cosaint. Agus an riosca maidir le slándáil sonraí á mheasúnú, ba cheart breathnú ar na rioscaí a eascraíonn as próiseáil sonraí pearsanta, amhail scrios, cailleadh, athrú, nó nochtadh neamhúdaraithe sonraí pearsanta a rinneadh a tharchur, a stóráil nó a phróiseáil ar bhealach éigin eile, nó rochtain neamhúdaraithe ar na sonraí sin, bíodh sé sin de thaisme nó neamhdhleathach, agus ar rioscaí iad a d'fhéadfadh damáiste fisiciúil, ábhartha nó neamhábhartha go háirithe teacht astu.
(EN)
CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, Opinion of Advocate General, C‑210/16 (2018).
CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C‑210/16 (2018).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements, (2020). Brief description in English.
Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor” (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 24(1) GDPR:
7.2.8 Records related to processing PII
Control
The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.
Implementation guidance
A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs.
…
Connettersi
per accedere al testo completo