2.1.3.1 текущий уровень научно-технического прогресса
2.1.3.1 „state of the art”
18. Понятие „уровень научно-технического прогресса” присутствует в различных актах ЕС, например, в области охраны окружающей среды и безопасности продукции. В GDPR ссылка на „уровень научно-технического прогресса” [8] содержится не только в статье 32, касающейся мер безопасности, [9][10] но и в статье 25, что позволяет распространить этот критерий на все технические и организационные меры, встроенные в обработку.
18. The concept of „state of the art” is present in various EU acquis, e.g. environmental protection and product safety. In the GDPR, reference to the „state of the art” [8] is made not only in Article 32, for security measures,[9][10] but also in Article 25, thus extending this benchmark to all technical and organisational measures embedded in the processing.
[8] См. Решение Федерального конституционного суда Германии «Калкар» в 1978 году. Оно может послужить основой для методологией для определение понятия. Исходя из этого «уровень научно-технического прогресса » будет определяться между технологическим уровнем «существующих научных знаний и исследований» и более устоявшихся «общепринятых правил». «Уровень научно-технического прогресса », следовательно, может быть идентифицирован как технологический уровень услуги и технологии или продукта, который существует на рынке и является наиболее эффективным для достижения поставленных целей.
[8] See German Federal Constitutional Court’s „Kalkar” decision in 1978: https://germanlawarchive.iuscomp.org/?p=67 may provide the foundation for a methodology for an objective definition of the concept. On that basis, the „state of the art” technology level would be identified between the „existing scientific knowledge and research” technology level and the more established „generally accepted rules of technology”. The „state of the art” can hence be identified as the technology level of a service or technology or product that exists in the market and is most effective in achieving the objectives identified.
[9] https://www.enisa.europa.eu/news/enisa-news/what-is-state-of-the-art-in-it-security
[9] https://www.enisa.europa.eu/news/enisa-news/what-is-state-of-the-art-in-it-security
[10] www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/
[10] www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/
19. В контексте статьи 25 ссылка на «уровень научно-технического прогресса» обязывает контролеров, при определении соответствующих технических и организационных мер принять во внимание текущий прогресса в технологиях, доступных на рынке. Требование заключается в том, что контролеры должны знать о технологических достижениях, о том, как технологии могут представлять опасность или создавать возможности в области защиты персональных данных при обработке, а также о том, как реализовать меры и гарантии, которые обеспечивают эффективную реализацию принципов и прав субъектов данных с учетом развивающейся технологической среды.
19. In the context of Article 25, the reference to „state of the art” imposes an obligation on controllers, when determining the appropriate technical and organisational measures, to take account of the current progress in technology that is available in the market. The requirement is for controllers to have knowledge of, and stay up to date on technological advances; how technology can present data protection risks or opportunities to the processing operation; and how to implement and update the measures and safeguards that secure effective implementation of the principles and rights of data subjects taking into account the evolving technological landscape.
20. «Уровень научно-технического прогресса» – это динамическая концепция, которая не может быть статически определена в определенный момент времени, но должна оцениваться постоянно в контексте технического прогресса. Перед лицом технологических достижений, контролер может обнаружить, что мера, которая ранее обеспечивала адекватный уровень защиты, больше этого не делает. Поэтому пренебрежение технологическими изменениями может впоследствии привести к несоблюдению статьи 25.
20. The „state of the art” is a dynamic concept that cannot be statically defined at a fixed point in time, but should be assessed continuously in the context of technological progress. In the face of technological advancements, a controller could find that a measure that once provided an adequate level of protection no longer does. Neglecting to keep up to date with technological changes could therefore result in a lack of compliance with Article 25.
21. Критерий „уровень научно-технического прогресса” применим не только к технологическим мерам, но и к организационным. Отсутствие соответствующих организационных мер может снизить или даже полностью подорвать эффективность выбранной технологии. Примерами организационных мер могут быть принятие внутренних политик; современное обучение в области технологий, безопасности и защиты персональных данных; а также политики управления и менеджмента информационной безопасностью.
21. The „state of the art” criterion does not only apply to technological measures, but also to organisational ones. Lack of appropriate organisational measures can lower or even completely undermine the effectiveness of a chosen technology. Examples of organisational measures can be adoption of internal policies; up-to date training on technology, security and data protection; and IT security governance and management policies.
22. Существующие и признанные стандарты, сертификации, кодексы поведения и т.д. в различных областях могут сыграть роль в определении текущего «уровня научно-технического прогресс» в рамках данной области. Там, где такие стандарты существуют и обеспечивают высокий уровень защиты субъекта данных в соответствии с правовыми требованиями или превосходят их, контролеры должны учитывать их при разработке и реализации мер по защите данных.
22. Existing and recognized frameworks, standards, certifications, codes of conduct, etc. in different fields may play a role in indicating the current „state of the art” within the given field of use. Where such standards exist and provide a high level of protection for the data subject in compliance with – or go beyond – legal requirements, controllers should take them into account in the design and implementation of data protection measures.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 32(1)(a) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
Implementation guidance
The organization should have mechanisms to erase the PII when no further processing is anticipated.
…
Zaloguj się
aby uzyskać dostęp do pełnego tekstu