1. Filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni u in-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskju ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur u l-proċessur għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa, biex jiżguraw livell ta’ sigurtà xieraq għar-riskju, inklużi inter alia kif xieraq:
(EN) Spanish data protection authority (AEPD), Introduction to the hash function as a personal data pseudonymisation technique (2019).
(b) il-kapaċità li jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi ta’ pproċessar;
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.
Here is the relevant paragraphs to article 32(1)(b) GDPR:
5.4.1.2 Information security risk assessment
6.1.2 c) 1) is refined as follows:
The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.
(EN) […]
(EN) Sign in
to read the full text
(c) il-kapaċità li jiġu restawrati d-disponibbiltà u l-aċċess għad-data personali fil-pront fil-każ ta’ inċident fiżiku jew tekniku;
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.
Here is the relevant paragraphs to article 32(1)(c) GDPR:
6.9.3.1 Information backup
Implementation guidance
The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.
(EN) […]
(EN) Sign in
to read the full text
(d) proċess sabiex tiġi ttestjata, ivvalutata u evalwata l-effettività tal-miżuri tekniċi u organizzattivi li jiżguraw is-sigurtà tal-ipproċessar.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.
Here is the relevant paragraphs to article 32(1)(d) GDPR:
6.15.2.1 Independent review of information security
Implementation guidance
Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.
(EN) […]
(EN) Sign in
to read the full text
2. Fl-evalwazzjoni tal-livell xieraq ta’ sigurtà ser jitqiesu b’mod partikolari r-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.
Here is the relevant paragraphs to article 32(2) GDPR:
5.2.3 Determining the scope of the information security management system
When determining the scope of the PIMS, the organization shall include the processing of PII.
(EN) […]
(EN) Sign in
to read the full text
(83) Sabiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji, bħall-kriptaġġ. Dawn il-miżuri għandhom jiżguraw livell adatt ta' sigurtà, inkluża kunfidenzjalità, filwaqt li jikkunsidraw l-ogħla livell ta' żvilupp tekniku u l-ispejjeż tal-implimentazzjoni b'rabta mar-riskji u n-natura tad-data personali li għandha tkun protetta. Fil-valutazzjoni tar-riskju tas-sigurtà tad-data, għandha tingħata konsiderazzjoni lir-riskji li huma ppreżentati mill-ipproċessar tad-data personali, bħall-qerda, telf, bidla, żvelar mhux awtorizzat ta', jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata b'xi mod ieħor, li jkun aċċidentali jew illegali, li jista' b'mod partikolari jwassal għal dannu fiżika, materjali jew mhux materjali.
3. L-osservanza ta’ kodiċi ta’ kondotta approvat kif imsemmi fl-Artikolu 40 jew mekkaniżmu ta’ ċertifikazzjoni approvat kif imsemmi fl-Artikolu 42 jistgħu jintużaw bħala element li bih tintwera konformità mar-rekwiżiti stipulati fil-paragrafu 1 ta’ dan l-Artikolu.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to article 32(3) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
(EN) […]
(EN) Sign in
to read the full text
4. Il-kontrollur u l-proċessur għandhom jieħdu passi biex jiżguraw li kwalunkwe persuna fiżika li taġixxi taħt l-awtorità tal-kontrollur jew tal-proċessur li jkollhom aċċess għal data personali ma jipproċessawhiex ħlief fuq istruzzjonijiet mingħand il-kontrollur, sakemm ma jkunux meħtieġa jagħmlu dan taħt il-liġi tal-Unjoni jew ta’ Stat Membru.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 32(4) GDPR:
7.2.1 Identify and document purpose
Control
The organization should identify and document the specific purposes for which the PII will be processed.
Implementation guidance
The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.
(EN) […]
(EN) Sign in
to read the full text
(83) Sabiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji, bħall-kriptaġġ. Dawn il-miżuri għandhom jiżguraw livell adatt ta' sigurtà, inkluża kunfidenzjalità, filwaqt li jikkunsidraw l-ogħla livell ta' żvilupp tekniku u l-ispejjeż tal-implimentazzjoni b'rabta mar-riskji u n-natura tad-data personali li għandha tkun protetta. Fil-valutazzjoni tar-riskju tas-sigurtà tad-data, għandha tingħata konsiderazzjoni lir-riskji li huma ppreżentati mill-ipproċessar tad-data personali, bħall-qerda, telf, bidla, żvelar mhux awtorizzat ta', jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata b'xi mod ieħor, li jkun aċċidentali jew illegali, li jista' b'mod partikolari jwassal għal dannu fiżika, materjali jew mhux materjali.
(74) Ir-responsabbiltà tal-kontrollur għal kwalunkwe pproċessar ta' data personali li jitwettaq mill-kontrollur jew f'isem il-kontrollur għandha tiġi stabbilita. B'mod partikolari, il-kontrollur għandu jkun obbligat jimplimenta miżuri adatti u effettivi u jkun jista' juri l-konformità tal-attivitajiet ta' pproċessar ma' dan ir-Regolament, inkluża l-effettività tal-miżuri. Dawk il-miżuri għandhom jikkunsidraw in-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u r-riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi.
(75) Ir-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi, bi probabbiltà u gravità li jvarjaw, jistgħu jirriżultaw mill-ipproċessar ta’ data personali li tista’ twassal għal dannu fiżiku, materjali jew mhux materjali, b’mod partikolari fejn l-ipproċessar jista’ jagħti lok għal diskriminazzjoni, serq ta’ identità jew frodi, telf finanzjarju, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità ta’ data personali protetta mis-segretezza professjonali, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, jew kwalunkwe żvantaġġ ekonomiku jew soċjali sinifikanti ieħor; jew fejn is-suġġetti tad-data jistgħu jiġu mċaħħda mid-drittijiet u l-libertajiet tagħhom jew impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom; fejn tiġi pproċessata data personali li tiżvela l-oriġini razzjali jew etnika, l-opinjonijiet politiċi, it-twemmin reliġjuż jew filosofiku, is-sħubija fi trade union, u l-ipproċessar ta’ data ġenetika, data dwar is-saħħa jew data dwar il-ħajja sesswali jew kundanni kriminali u reati jew miżuri ta’ sigurtà relatati; fejn l-aspetti personali jiġu evalwati, b’mod partikolari l-analiżi jew it-tbassir ta’ aspetti rigward il-prestazzjoni fuq ix-xogħol, is-sitwazzjoni ekonomika, is-saħħa, il-preferenzi jew l-interessi personali, l-affidabbiltà jew l-imġiba, il-lokalizzazzjoni jew il-movimenti, sabiex jinħolqu jew jintużaw profili personali; fejn tiġi proċessata data personali ta’ persuni fiżiċi vulnerabbli, b’mod partikolari ta’ tfal; jew fejn l-ipproċessar jinvolvi ammont kbir ta’ data personali u jaffettwa numru kbir ta’ suġġetti tad-data.
(76) Il-probabbiltà u l-gravità tar-riskju għad-drittijiet u l-libertajiet tas-suġġett tad-data għandhom jiġu ddeterminati b'referenza għan-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar tad-data. Ir-riskju għandu jiġi evalwat abbażi ta' valutazzjoni oġġettiva, li permezz tagħha jiġi stabbilit jekk l-operazzjonijiet tal-ipproċessar tad-data jinvolvux riskju jew riskju għoli.
(77) Il-gwida dwar l-implimentazzjoni ta' miżuri xierqa u dwar kif tintwera l-konformità mill-kontrollur jew il-proċessur, speċjalment fir-rigward tal-identifikazzjoni tar-riskju relatat mal-ipproċessar, il-valutazzjoni tagħhom f'termini ta' oriġini, natura, probabbiltà u gravità, u l-identifikazzjoni tal-aħjar prattiki biex jittaffa r-riskju, tista' tingħata, b'mod partikolari, permezz ta' kodiċijiet approvati tal-kondotta, ċertifikazzjonijiet approvati, linji gwida tal-Bord jew indikazzjonijiet mogħtija minn uffiċjal għall-protezzjoni tad-data. Il-Bord jista' wkoll joħroġ linji gwida dwar operazzjonijiet ta' pproċessar li huma kkunsidrati bħala li probabbli ma jirriżultawx f'riskju għoli għad-drittijiet u l-libertajiet ta' persuni fiżiċi u jindikaw liema miżuri jistgħu jkunu biżżejjed f'dawn il-każijiet biex jindirizzaw tali riskju.
(EN)
Working Party 29, Opinion 2/2006 on privacy issues related to the provision of email screening services (2006).
CNIL (France): CNIL Guide. Security of Personal Data (2018).
Data Protection Commission (Ireland): Guidance for Controllers on Data Security (2020).
IT Security Association Germany (TeleTrusT) , Guideline «State of the Art». Technical and organisational measures (2020).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).
ICO, Ticketmaster UK Limited (Penalty Notice) (2020).
The ICO found that the company failed to put appropriate security measures in place to prevent a cyber-attack on a chat-bot installed on its online payment page.
The ICO found that Ticketmaster failed to:
- Assess the risks of using a chat-bot on its payment page
- Identify and implement appropriate security measures to negate the risks
- Identify the source of suggested fraudulent activity in a timely manner
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 32(1)(a) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
Implementation guidance
The organization should have mechanisms to erase the PII when no further processing is anticipated.
(EN) […]
(EN) Sign in
to read the full text