Nawigacja
RODO > Artyku艂 32. Bezpiecze艅stwo przetwarzania
Pobierz jako plik PDF

Artyku艂 32 RODO. Bezpiecze艅stwo przetwarzania

Article 32 GDPR. Security of processing

1. Uwzgl臋dniaj膮c stan wiedzy technicznej, koszt wdra偶ania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych o r贸偶nym prawdopodobie艅stwie wyst膮pienia i wadze zagro偶enia, administrator i podmiot przetwarzaj膮cy wdra偶aj膮 odpowiednie 艣rodki techniczne i organizacyjne, aby zapewni膰 stopie艅 bezpiecze艅stwa odpowiadaj膮cy temu ryzyku, w tym mi臋dzy innymi w stosownym przypadku:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

Wytyczne & Case Law Powi膮zane teksty

a) pseudonimizacj臋 i szyfrowanie danych osobowych;

(a)聽the pseudonymisation and encryption of personal data;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law

b) zdolno艣膰 do ci膮g艂ego zapewnienia poufno艣ci, integralno艣ci, dost臋pno艣ci i odporno艣ci system贸w i us艂ug przetwarzania;

(b)聽the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.


aby uzyska膰 dost臋p do pe艂nego tekstu

c) zdolno艣膰 do szybkiego przywr贸cenia dost臋pno艣ci danych osobowych i dost臋pu do nich w razie incydentu fizycznego lub technicznego;

(c)聽the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.


aby uzyska膰 dost臋p do pe艂nego tekstu

d) regularne testowanie, mierzenie i ocenianie skuteczno艣ci 艣rodk贸w technicznych i organizacyjnych maj膮cych zapewni膰 bezpiecze艅stwo przetwarzania.

(d)聽a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization鈥檚 policies and procedures.


aby uzyska膰 dost臋p do pe艂nego tekstu

2. Oceniaj膮c, czy stopie艅 bezpiecze艅stwa jest odpowiedni, uwzgl臋dnia si臋 w szczeg贸lno艣ci ryzyko wi膮偶膮ce si臋 z przetwarzaniem, w szczeg贸lno艣ci wynikaj膮ce z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dost臋pu do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(83) W celu zachowania bezpiecze艅stwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporz膮dzeniem administrator lub podmiot przetwarzaj膮cy powinni oszacowa膰 ryzyko w艂a艣ciwe dla przetwarzania oraz wdro偶y膰 艣rodki 鈥 takie jak szyfrowanie 鈥 minimalizuj膮ce to ryzyko. 艢rodki takie powinny zapewni膰 odpowiedni poziom bezpiecze艅stwa, w tym poufno艣膰, oraz uwzgl臋dnia膰 stan wiedzy technicznej oraz koszty ich wdro偶enia w stosunku do ryzyka i charakteru danych osobowych podlegaj膮cych ochronie. Oceniaj膮c ryzyko w zakresie bezpiecze艅stwa danych, nale偶y wzi膮膰 pod uwag臋 ryzyko zwi膮zane z przetwarzaniem danych osobowych 鈥 takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dost臋p do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych 鈥 i mog膮ce w szczeg贸lno艣ci prowadzi膰 do uszczerbku fizycznego, szk贸d maj膮tkowych lub niemaj膮tkowych.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

3. Wywi膮zywanie si臋 z obowi膮zk贸w, o kt贸rych mowa w ust. 1 niniejszego artyku艂u, mo偶na wykaza膰 mi臋dzy innymi poprzez stosowanie zatwierdzonego kodeksu post臋powania, o kt贸rym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o kt贸rym mowa w art. 42.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty

4. Administrator oraz podmiot przetwarzaj膮cy podejmuj膮 dzia艂ania w celu zapewnienia, by ka偶da osoba fizyczna dzia艂aj膮ca z upowa偶nienia administratora lub podmiotu przetwarzaj膮cego, kt贸ra ma dost臋p do danych osobowych, przetwarza艂a je wy艂膮cznie na polecenie administratora, chyba 偶e wymaga tego od niej prawo Unii lub prawo pa艅stwa cz艂onkowskiego.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy Wytyczne & Case Law zostaw komentarz
Motywy

(83) W celu zachowania bezpiecze艅stwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporz膮dzeniem administrator lub podmiot przetwarzaj膮cy powinni oszacowa膰 ryzyko w艂a艣ciwe dla przetwarzania oraz wdro偶y膰 艣rodki 鈥 takie jak szyfrowanie 鈥 minimalizuj膮ce to ryzyko. 艢rodki takie powinny zapewni膰 odpowiedni poziom bezpiecze艅stwa, w tym poufno艣膰, oraz uwzgl臋dnia膰 stan wiedzy technicznej oraz koszty ich wdro偶enia w stosunku do ryzyka i charakteru danych osobowych podlegaj膮cych ochronie. Oceniaj膮c ryzyko w zakresie bezpiecze艅stwa danych, nale偶y wzi膮膰 pod uwag臋 ryzyko zwi膮zane z przetwarzaniem danych osobowych 鈥 takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dost臋p do danych osobowych przesy艂anych, przechowywanych lub w inny spos贸b przetwarzanych 鈥 i mog膮ce w szczeg贸lno艣ci prowadzi膰 do uszczerbku fizycznego, szk贸d maj膮tkowych lub niemaj膮tkowych.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

(74) Nale偶y na艂o偶y膰 na administratora obowi膮zki i ustanowi膰 odpowiedzialno艣膰 prawn膮 administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczeg贸lno艣ci administrator powinien mie膰 obowi膮zek wdro偶enia odpowiednich i skutecznych 艣rodk贸w oraz powinien by膰 w stanie wykaza膰, 偶e czynno艣ci przetwarzania s膮 zgodne z niniejszym rozporz膮dzeniem oraz, 偶e s膮 skuteczne. 艢rodki te powinny uwzgl臋dnia膰 charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolno艣ci os贸b fizycznych.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Ryzyko naruszenia praw lub wolno艣ci os贸b, o r贸偶nym prawdopodobie艅stwie i wadze zagro偶e艅, mo偶e wynika膰 z przetwarzania danych osobowych mog膮cego prowadzi膰 do uszczerbku fizycznego lub szk贸d maj膮tkowych lub niemaj膮tkowych, w szczeg贸lno艣ci: je偶eli przetwarzanie mo偶e poskutkowa膰 dyskryminacj膮, kradzie偶膮 to偶samo艣ci lub oszustwem dotycz膮cym to偶samo艣ci, strat膮 finansow膮, naruszeniem dobrego imienia, naruszeniem poufno艣ci danych osobowych chronionych tajemnic膮 zawodow膮, nieuprawnionym odwr贸ceniem pseudonimizacji lub wszelk膮 inn膮 znaczn膮 szkod膮 gospodarcz膮 lub spo艂eczn膮; je偶eli osoby, kt贸rych dane dotycz膮, mog膮 zosta膰 pozbawione przys艂uguj膮cych im praw i wolno艣ci lub mo偶liwo艣ci sprawowania kontroli nad swoimi danymi osobowymi; je偶eli przetwarzane s膮 dane osobowe ujawniaj膮ce pochodzenie rasowe lub etniczne, pogl膮dy polityczne, wyznanie lub przekonania 艣wiatopogl膮dowe, lub przynale偶no艣膰 do zwi膮zk贸w zawodowych oraz je偶eli przetwarzane s膮 dane genetyczne, dane dotycz膮ce zdrowia lub dane dotycz膮ce seksualno艣ci lub wyrok贸w skazuj膮cych i narusze艅 prawa lub zwi膮zanych z tym 艣rodk贸w bezpiecze艅stwa; je偶eli oceniane s膮 czynniki osobowe, w szczeg贸lno艣ci analizowane lub prognozowane aspekty dotycz膮ce efekt贸w pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowa艅, wiarygodno艣ci lub zachowania, lokalizacji lub przemieszczania si臋 鈥 w celu tworzenia lub wykorzystywania profili osobistych; lub je偶eli przetwarzane s膮 dane osobowe os贸b wymagaj膮cych szczeg贸lnej opieki, w szczeg贸lno艣ci dzieci; je偶eli przetwarzanie dotyczy du偶ej ilo艣ci danych osobowych i wp艂ywa na du偶膮 liczb臋 os贸b, kt贸rych dane dotycz膮.

(85) 袧邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 械褋谢懈 芯薪芯 薪械 斜褘谢芯 薪邪写谢械卸邪褖懈屑 芯斜褉邪蟹芯屑 懈 胁芯胁褉械屑褟 褍褋褌褉邪薪械薪芯, 屑芯卸械褌 锌芯胁谢械褔褜 褎懈蟹懈褔械褋泻懈泄, 屑邪褌械褉懈邪谢褜薪褘泄 懈谢懈 屑芯褉邪谢褜薪褘泄 胁褉械写 褎懈蟹懈褔械褋泻懈屑 谢懈褑邪屑, 泻邪泻, 薪邪锌褉懈屑械褉, 锌芯褌械褉褟 泻芯薪褌褉芯谢褟 薪邪写 懈褏 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈 懈谢懈 芯谐褉邪薪懈褔械薪懈械 懈褏 锌褉邪胁, 写懈褋泻褉懈屑懈薪邪褑懈褟, 泻褉邪卸邪 谢懈褔薪芯褋褌懈 懈谢懈 械械 屑芯褕械薪薪懈褔械褋泻芯械 懈褋锌芯谢褜蟹芯胁邪薪懈械, 褎懈薪邪薪褋芯胁褘械 锌芯褌械褉懈, 薪械褋邪薪泻褑懈芯薪懈褉芯胁邪薪薪邪褟 锌芯胁褌芯褉薪邪褟 懈写械薪褌懈褎懈泻邪褑懈褟 锌褋械胁写芯薪懈屑懈蟹懈褉芯胁邪薪薪褘褏 写邪薪薪褘褏, 褍褖械褉斜 褉械锌褍褌邪褑懈懈, 薪邪褉褍褕械薪懈械 泻芯薪褎懈写械薪褑懈邪谢褜薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 蟹邪褖懈褖械薪薪褘褏 锌褉芯褎械褋褋懈芯薪邪谢褜薪芯泄 褌邪泄薪芯泄, 懈谢懈 谢褞斜芯泄 写褉褍谐芯泄 蟹薪邪褔懈褌械谢褜薪褘泄 褝泻芯薪芯屑懈褔械褋泻懈泄 懈谢懈 褋芯褑懈邪谢褜薪褘泄 胁褉械写, 薪邪薪械褋械薪薪褘泄 褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍. 袩芯褝褌芯屑褍, 泻邪泻 褌芯谢褜泻芯 泻芯薪褌褉芯谢褢褉褍 褋褌邪薪芯胁懈褌褋褟 懈蟹胁械褋褌薪芯 芯 薪邪褉褍褕械薪懈懈 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 芯薪 芯斜褟蟹邪薪 褍胁械写芯屑懈褌褜 芯 褌邪泻芯屑 薪邪褉褍褕械薪懈懈 薪邪写蟹芯褉薪褘泄 芯褉谐邪薪 斜械蟹 薪械芯锌褉邪胁写邪薪薪芯泄 蟹邪写械褉卸泻懈 懈, 锌芯 胁芯蟹屑芯卸薪芯褋褌懈, 薪械 锌芯蟹写薪械械 72 褔邪褋芯胁, 蟹邪 懈褋泻谢褞褔械薪懈械屑 褋谢褍褔邪械胁, 泻芯谐写邪 泻芯薪褌褉芯谢褢褉 屑芯卸械褌 锌芯写褌胁械褉写懈褌褜, 胁 褋芯芯褌胁械褌褋褌胁懈懈 褋 锌褉懈薪褑懈锌芯屑 锌芯写芯褌褔械褌薪芯褋褌懈, 褔褌芯 薪邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褋 屑邪谢芯泄 胁械褉芯褟褌薪芯褋褌褜褞 屑芯卸械褌 锌褉械写褋褌邪胁谢褟褌褜 褉懈褋泻 薪邪褉褍褕械薪懈褟 锌褉邪胁 懈 褋胁芯斜芯写 褎懈蟹懈褔械褋泻懈褏 谢懈褑. 袙 褋谢褍褔邪褟褏, 泻芯谐写邪 锌芯写芯斜薪芯械 褍胁械写芯屑谢械薪懈械 薪械 屑芯卸械褌 斜褘褌褜 褋写械谢邪薪芯 胁 褌械褔械薪懈械 72 褔邪褋芯胁, 锌褉懈褔懈薪褘 褌邪泻芯泄 蟹邪写械褉卸泻懈 写芯谢卸薪褘 褋芯锌褉芯胁芯卸写邪褌褜 褍胁械写芯屑谢械薪懈械 懈 懈薪褎芯褉屑邪褑懈褟 屑芯卸械褌 锌褉械写芯褋褌邪胁谢褟褌褜褋褟 锌芯褝褌邪锌薪芯 斜械蟹 写芯锌芯谢薪懈褌械谢褜薪芯泄 蟹邪写械褉卸泻懈.

(76) Prawdopodobie艅stwo i powag臋 ryzyka naruszenia praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, nale偶y okre艣li膰 poprzez odniesienie si臋 do charakteru, zakresu, kontekstu i cel贸w przetwarzania danych. Ryzyko nale偶y oszacowa膰 na podstawie obiektywnej oceny, w ramach kt贸rej stwierdza si臋, czy z operacjami przetwarzania danych wi膮偶e si臋 ryzyko lub wysokie ryzyko.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Wskaz贸wki co do tego, jak wdro偶y膰 odpowiednie 艣rodki oraz wykaza膰 przestrzeganie prawa przez administratora lub podmiot przetwarzaj膮cy dane 鈥 w szczeg贸lno艣ci je偶eli chodzi o identyfikowanie ryzyka zwi膮zanego z przetwarzaniem, o jego ocen臋 pod k膮tem 藕r贸d艂a, charakteru, prawdopodobie艅stwa i wagi zagro偶enia oraz o najlepsze praktyki pozwalaj膮ce zminimalizowa膰 to ryzyko 鈥 mog膮 by膰 przekazane w szczeg贸lno艣ci w formie zatwierdzonych kodeks贸w post臋powania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych. Europejska Rada Ochrony Danych mo偶e wydawa膰 wytyczne tak偶e w sprawie operacji przetwarzania, kt贸rych nie uznaje si臋 za mog膮ce powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, i wskazywa膰, jakie 艣rodki mog膮 wystarczy膰 w takich przypadkach dla zaradzenia takiemu ryzyku.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

Wytyczne & Case Law zostaw komentarz
[js-disqus]