Nawigacja
RODO > Artyku艂 24. Przedmiot i cele
Pobierz jako plik PDF

Artyku艂 24 RODO. Przedmiot i cele

Article 24 GDPR. Subject-matter and objectives

1. Uwzgl臋dniaj膮c charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych o r贸偶nym prawdopodobie艅stwie i wadze zagro偶enia, administrator wdra偶a odpowiednie 艣rodki techniczne i organizacyjne, aby przetwarzanie odbywa艂o si臋 zgodnie z niniejszym rozporz膮dzeniem i aby m贸c to wykaza膰. 艢rodki te s膮 w razie potrzeby poddawane przegl膮dom i uaktualniane.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 24(1) GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs.


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty

2. Je偶eli jest to proporcjonalne w stosunku do czynno艣ci przetwarzania, 艣rodki, o kt贸rych mowa w ust. 1, obejmuj膮 wdro偶enie przez administratora odpowiednich polityk ochrony danych.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph聽1 shall include the implementation of appropriate data protection policies by the controller.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 5.1.1.

Here is the relevant paragraph to article 24(2) GDPR:

6.2.1.1 Policies for information security

Implementation guidance

Either by the development of separate privacy policies, or by the augmentation of information security policies, the organization should produce a statement concerning support for and commitment to achieving compliance with applicable PII protection legislation and/or regulation and with the contractual terms agreed between the organization and its partners, its subcontractors and its applicable third parties (customers, suppliers etc.), which should clearly allocate responsibilities between them.


aby uzyska膰 dost臋p do pe艂nego tekstu

3. Stosowanie zatwierdzonych kodeks贸w post臋powania, o kt贸rych mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o kt贸rym mowa wart. 42, mo偶e by膰 wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ci膮偶膮cych na nim obowi膮zk贸w.

3. Adherence to approved codes of conduct as referred to in Article聽40 or approved certification mechanisms as referred to in Article聽42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 24(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty
Komentarz eksperta Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that 鈥decides why and how data will be processed鈥 (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Motywy

(74) Nale偶y na艂o偶y膰 na administratora obowi膮zki i ustanowi膰 odpowiedzialno艣膰 prawn膮 administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczeg贸lno艣ci administrator powinien mie膰 obowi膮zek wdro偶enia odpowiednich i skutecznych 艣rodk贸w oraz powinien by膰 w stanie wykaza膰, 偶e czynno艣ci przetwarzania s膮 zgodne z niniejszym rozporz膮dzeniem oraz, 偶e s膮 skuteczne. 艢rodki te powinny uwzgl臋dnia膰 charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolno艣ci os贸b fizycznych.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Ryzyko naruszenia praw lub wolno艣ci os贸b, o r贸偶nym prawdopodobie艅stwie i wadze zagro偶e艅, mo偶e wynika膰 z przetwarzania danych osobowych mog膮cego prowadzi膰 do uszczerbku fizycznego lub szk贸d maj膮tkowych lub niemaj膮tkowych, w szczeg贸lno艣ci: je偶eli przetwarzanie mo偶e poskutkowa膰 dyskryminacj膮, kradzie偶膮 to偶samo艣ci lub oszustwem dotycz膮cym to偶samo艣ci, strat膮 finansow膮, naruszeniem dobrego imienia, naruszeniem poufno艣ci danych osobowych chronionych tajemnic膮 zawodow膮, nieuprawnionym odwr贸ceniem pseudonimizacji lub wszelk膮 inn膮 znaczn膮 szkod膮 gospodarcz膮 lub spo艂eczn膮; je偶eli osoby, kt贸rych dane dotycz膮, mog膮 zosta膰 pozbawione przys艂uguj膮cych im praw i wolno艣ci lub mo偶liwo艣ci sprawowania kontroli nad swoimi danymi osobowymi; je偶eli przetwarzane s膮 dane osobowe ujawniaj膮ce pochodzenie rasowe lub etniczne, pogl膮dy polityczne, wyznanie lub przekonania 艣wiatopogl膮dowe, lub przynale偶no艣膰 do zwi膮zk贸w zawodowych oraz je偶eli przetwarzane s膮 dane genetyczne, dane dotycz膮ce zdrowia lub dane dotycz膮ce seksualno艣ci lub wyrok贸w skazuj膮cych i narusze艅 prawa lub zwi膮zanych z tym 艣rodk贸w bezpiecze艅stwa; je偶eli oceniane s膮 czynniki osobowe, w szczeg贸lno艣ci analizowane lub prognozowane aspekty dotycz膮ce efekt贸w pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowa艅, wiarygodno艣ci lub zachowania, lokalizacji lub przemieszczania si臋 鈥 w celu tworzenia lub wykorzystywania profili osobistych; lub je偶eli przetwarzane s膮 dane osobowe os贸b wymagaj膮cych szczeg贸lnej opieki, w szczeg贸lno艣ci dzieci; je偶eli przetwarzanie dotyczy du偶ej ilo艣ci danych osobowych i wp艂ywa na du偶膮 liczb臋 os贸b, kt贸rych dane dotycz膮.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(76) Prawdopodobie艅stwo i powag臋 ryzyka naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, nale偶y okre艣li膰 poprzez odniesienie si臋 do charakteru, zakresu, kontekstu i cel贸w przetwarzania danych. Ryzyko nale偶y oszacowa膰 na podstawie obiektywnej oceny, w ramach kt贸rej stwierdza si臋, czy z operacjami przetwarzania danych wi膮偶e si臋 ryzyko lub wysokie ryzyko.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Wskaz贸wki co do tego, jak wdro偶y膰 odpowiednie 艣rodki oraz wykaza膰 przestrzeganie prawa przez administratora lub podmiot przetwarzaj膮cy dane 鈥 w szczeg贸lno艣ci je偶eli chodzi o identyfikowanie ryzyka zwi膮zanego z przetwarzaniem, o jego ocen臋 pod k膮tem 藕r贸d艂a, charakteru, prawdopodobie艅stwa i wagi zagro偶enia oraz o najlepsze praktyki pozwalaj膮ce zminimalizowa膰 to ryzyko 鈥 mog膮 by膰 przekazane w szczeg贸lno艣ci w formie zatwierdzonych kodeks贸w post臋powania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych. Europejska Rada Ochrony Danych mo偶e wydawa膰 wytyczne tak偶e w sprawie operacji przetwarzania, kt贸rych nie uznaje si臋 za mog膮ce powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, i wskazywa膰, jakie 艣rodki mog膮 wystarczy膰 w takich przypadkach dla zaradzenia takiemu ryzyku.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

(83) W celu zachowania bezpiecze艅stwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporz膮dzeniem administrator lub podmiot przetwarzaj膮cy powinni oszacowa膰 ryzyko w艂a艣ciwe dla przetwarzania oraz wdro偶y膰 艣rodki 鈥 takie jak szyfrowanie 鈥 minimalizuj膮ce to ryzyko. 艢rodki takie powinny zapewni膰 odpowiedni poziom bezpiecze艅stwa, w tym poufno艣膰, oraz uwzgl臋dnia膰 stan wiedzy technicznej oraz koszty ich wdro偶enia w stosunku do ryzyka i charakteru danych osobowych podlegaj膮cych ochronie. Oceniaj膮c ryzyko w zakresie bezpiecze艅stwa danych, nale偶y wzi膮膰 pod uwag臋 ryzyko zwi膮zane z przetwarzaniem danych osobowych 鈥 takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dost臋p do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych 鈥 i mog膮ce w szczeg贸lno艣ci prowadzi膰 do uszczerbku fizycznego, szk贸d maj膮tkowych lub niemaj膮tkowych.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

Wytyczne & Case Law zostaw komentarz
[js-disqus]