Documents
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
GDPR
>
Статья 32. Безопасность обработки
Статья 32 GDPR. Безопасность обработки
1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр и процессор должны реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности соответствующего данным рискам, включая в частности при необходимости:
Guidelines & Case Law
Related
ISO 27701
Guidelines & Case Law
Spanish data protection authority (AEPD), Introduction to the hash function as a personal data pseudonymisation technique (2019).
(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки;
ISO 27701
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.
Here is the relevant paragraphs to article 32(1)(b) GDPR:
5.4.1.2 Information security risk assessment
6.1.2 c) 1) is refined as follows:
The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.
[…]
Sign in
to read the full text
(c) способность своевременно восстанавливать доступность персональных данных в случае возникновения физического или технического инцидента;
ISO 27701
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.
Here is the relevant paragraphs to article 32(1)(c) GDPR:
6.9.3.1 Information backup
Implementation guidance
The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.
[…]
Sign in
to read the full text
(d) регулярное тестирование, оценку и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.
ISO 27701
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.
Here is the relevant paragraphs to article 32(1)(d) GDPR:
6.15.2.1 Independent review of information security
Implementation guidance
Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.
[…]
Sign in
to read the full text
2. При оценке достаточности уровня безопасности необходимо учитывать риски, связанные с обработкой, в частности риски случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к переданным, хранимым, или другим образом обрабатываемым персональным данным
ISO 27701
Recitals
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.
Here is the relevant paragraphs to article 32(2) GDPR:
5.2.3 Determining the scope of the information security management system
When determining the scope of the PIMS, the organization shall include the processing of PII.
[…]
Sign in
to read the full text
(83) Чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или процессор должны оценить риски, присущие обработке, и внедрить меры по минимизации этих рисков, например, шифрование. Эти меры должны обеспечить оптимальный уровень защиты, в том числе конфиденциальности, принимая во внимание текущий уровень научно-технического прогресса и затраты на внедрение в зависимости от рисков, а также характера подлежащих защите персональных данных. При оценке риска, связанного с нарушением защиты данных, необходимо уделить внимание рискам, имеющим место при обработке персональных данных, таким как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или несанкционированный доступ к передающимся, хранящимся или иным образом обрабатываемым данным, которые могут привести к физическому, материальному или нематериальному ущербу.
3. Следование утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, упомянутому в статье 42, может служить элементом демонстрации следования требованиям параграфа 1 настоящей статьи.
ISO 27701
Related
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to article 32(3) GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
[…]
Sign in
to read the full text
4. Контролёр и процессор должны принимать меры для обеспечения того, чтобы любое физическое лицо, действующее от имени контролёра или процессора и имеющее доступ к персональным данным, обрабатывало их исключительно по распоряжениям, полученным от контролёра, за исключением случаев, когда обработка требуется согласно законодательству Союза или государства-члена.
ISO 27701
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 32(4) GDPR:
7.2.1 Identify and document purpose
Control
The organization should identify and document the specific purposes for which the PII will be processed.
Implementation guidance
The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.
[…]
Sign in
to read the full text
Общий регламент защиты персональных данных (GDPR) Европейского союза
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
Recitals
Guidelines & Case Law
Leave a comment
(83) Чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или процессор должны оценить риски, присущие обработке, и внедрить меры по минимизации этих рисков, например, шифрование. Эти меры должны обеспечить оптимальный уровень защиты, в том числе конфиденциальности, принимая во внимание текущий уровень научно-технического прогресса и затраты на внедрение в зависимости от рисков, а также характера подлежащих защите персональных данных. При оценке риска, связанного с нарушением защиты данных, необходимо уделить внимание рискам, имеющим место при обработке персональных данных, таким как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или несанкционированный доступ к передающимся, хранящимся или иным образом обрабатываемым данным, которые могут привести к физическому, материальному или нематериальному ущербу.
(74) Должна быть установлена юридическая и материальная ответственность контролёра за обработку персональных данных, выполняемую контролёром или от его имени. В частности, контролёр должен быть обязан внедрять оптимальные и эффективные меры и быть способным продемонстрировать соответствие деятельности по обработке данных Регламенту, в том числе, соответствие степени эффективности этих мер. Меры должны учитывать характер, масштаб, контекст и цели обработки, а также риск для прав и свобод физических лиц.
(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(76) Вероятность и серьёзность риска для прав и свобод субъекта данных должны определяться с учётом характера, масштаба, контекста и целей обработки. Риск должен определяться на основе объективной оценки, посредством которой устанавливается, связана ли обработка данных с риском или высоким риском.
(77) Рекомендации по внедрению необходимых мер и по демонстрации соответствия контролёром или процессором, особенно в отношении идентификации риска, связанного с обработкой, их оценки с точки зрения происхождения, характера, вероятности, серьезности и определения оптимальных методов минимизации риска, могут быть представлены, в частности, в форме утверждённых кодексов поведения, утверждённых сертификатов, инструкций Совета или указаний инспектора по защите персональных данных. Совет может также издавать инструкции по операциям обработки, которые, как считается, вряд ли могут привести к высокому риску для прав и свобод физических лиц, а также может указать, какие меры могут быть достаточными в этих случаях для реагирования на такой риск.
Document
Working Party 29, Opinion 2/2006 on privacy issues related to the provision of email screening services (2006).
CNIL (France): CNIL Guide. Security of Personal Data (2018).
Data Protection Commission (Ireland): Guidance for Controllers on Data Security (2020).
IT Security Association Germany (TeleTrusT) , Guideline “State of the Art”. Technical and organisational measures (2020).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
Case Law
CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).
ICO, Ticketmaster UK Limited (Penalty Notice) (2020).
The ICO found that the company failed to put appropriate security measures in place to prevent a cyber-attack on a chat-bot installed on its online payment page.
The ICO found that Ticketmaster failed to:
- Assess the risks of using a chat-bot on its payment page
- Identify and implement appropriate security measures to negate the risks
- Identify the source of suggested fraudulent activity in a timely manner
[js-disqus]
Url-link to highlighted text was copied to the clipboard!
Preparing download...
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 32(1)(a) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
Implementation guidance
The organization should have mechanisms to erase the PII when no further processing is anticipated.
[…]
Sign in
to read the full text