(74) Должна быть установлена юридическая и материальная ответственность контролёра за обработку персональных данных, выполняемую контролёром или от его имени. В частности, контролёр должен быть обязан внедрять оптимальные и эффективные меры и быть способным продемонстрировать соответствие деятельности по обработке данных Регламенту, в том числе, соответствие степени эффективности этих мер. Меры должны учитывать характер, масштаб, контекст и цели обработки, а также риск для прав и свобод физических лиц.
(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(76) Вероятность и серьёзность риска для прав и свобод субъекта данных должны определяться с учётом характера, масштаба, контекста и целей обработки. Риск должен определяться на основе объективной оценки, посредством которой устанавливается, связана ли обработка данных с риском или высоким риском.
(77) Рекомендации по внедрению необходимых мер и по демонстрации соответствия контролёром или процессором, особенно в отношении идентификации риска, связанного с обработкой, их оценки с точки зрения происхождения, характера, вероятности, серьезности и определения оптимальных методов минимизации риска, могут быть представлены, в частности, в форме утверждённых кодексов поведения, утверждённых сертификатов, инструкций Совета или указаний инспектора по защите персональных данных. Совет может также издавать инструкции по операциям обработки, которые, как считается, вряд ли могут привести к высокому риску для прав и свобод физических лиц, а также может указать, какие меры могут быть достаточными в этих случаях для реагирования на такой риск.
(83) Чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или процессор должны оценить риски, присущие обработке, и внедрить меры по минимизации этих рисков, например, шифрование. Эти меры должны обеспечить оптимальный уровень защиты, в том числе конфиденциальности, принимая во внимание текущий уровень научно-технического прогресса и затраты на внедрение в зависимости от рисков, а также характера подлежащих защите персональных данных. При оценке риска, связанного с нарушением защиты данных, необходимо уделить внимание рискам, имеющим место при обработке персональных данных, таким как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или несанкционированный доступ к передающимся, хранящимся или иным образом обрабатываемым данным, которые могут привести к физическому, материальному или нематериальному ущербу.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 24(1) GDPR:
7.2.8 Записи, связанные с обработкой ПИИ
Средство управления
Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.
Руководство по внедрению
Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация. Такой перечень может включать в себя:
…
Войти
для доступа к полному тексту