1. Принимая во внимание характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом. При необходимости эти меры пересматриваются и обновляются.
2. В тех случаях, когда они пропорциональны процессам обработки, меры, упомянутые в параграфе 1, включают в себя осуществление контролёрами соответствующих политик защиты данных.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 24(2) GDPR:
6.2.1.1 Политики информационной безопасности
Руководство по внедрению
Либо путем разработки отдельных политик конфиденциальности, либо путем усиления политик информационной безопасности, организация должна подготовить заявление, касающееся поддержки и приверженности достижению соответствия применимому законодательству и / или нормативам в области защиты ПИИ и договорным условиям, согласованным между организацией. и его партнеры, субподрядчики и соответствующие третьи стороны (клиенты, поставщики и т. д.), которые должны четко распределять обязанности между ними.
…
Войти
для доступа к полному тексту
3. Соблюдение утвержденных кодексов поведения, упомянутых в статье 40 или утвержденных механизмов сертификации, упомянутых в статье 42, может использоваться в качестве элемента для демонстрации соблюдения обязанностей контролёра.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 24(3) GDPR:
5.2.1 Понимание организации и ее контекста
Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.
…
Войти
для доступа к полному тексту
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that “decides why and how data will be processed” (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).
…
Войти
для доступа к полному тексту
(74) Должна быть установлена юридическая и материальная ответственность контролёра за обработку персональных данных, выполняемую контролёром или от его имени. В частности, контролёр должен быть обязан внедрять оптимальные и эффективные меры и быть способным продемонстрировать соответствие деятельности по обработке данных Регламенту, в том числе, соответствие степени эффективности этих мер. Меры должны учитывать характер, масштаб, контекст и цели обработки, а также риск для прав и свобод физических лиц.
(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.
(76) Вероятность и серьёзность риска для прав и свобод субъекта данных должны определяться с учётом характера, масштаба, контекста и целей обработки. Риск должен определяться на основе объективной оценки, посредством которой устанавливается, связана ли обработка данных с риском или высоким риском.
(77) Рекомендации по внедрению необходимых мер и по демонстрации соответствия контролёром или процессором, особенно в отношении идентификации риска, связанного с обработкой, их оценки с точки зрения происхождения, характера, вероятности, серьезности и определения оптимальных методов минимизации риска, могут быть представлены, в частности, в форме утверждённых кодексов поведения, утверждённых сертификатов, инструкций Совета или указаний инспектора по защите персональных данных. Совет может также издавать инструкции по операциям обработки, которые, как считается, вряд ли могут привести к высокому риску для прав и свобод физических лиц, а также может указать, какие меры могут быть достаточными в этих случаях для реагирования на такой риск.
(83) Чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или процессор должны оценить риски, присущие обработке, и внедрить меры по минимизации этих рисков, например, шифрование. Эти меры должны обеспечить оптимальный уровень защиты, в том числе конфиденциальности, принимая во внимание текущий уровень научно-технического прогресса и затраты на внедрение в зависимости от рисков, а также характера подлежащих защите персональных данных. При оценке риска, связанного с нарушением защиты данных, необходимо уделить внимание рискам, имеющим место при обработке персональных данных, таким как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или несанкционированный доступ к передающимся, хранящимся или иным образом обрабатываемым данным, которые могут привести к физическому, материальному или нематериальному ущербу.
(EN)
CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, Opinion of Advocate General, C‑210/16 (2018).
CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C‑210/16 (2018).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements, (2020). Brief description in English.
Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).
EDPB, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 24(1) GDPR:
7.2.8 Записи, связанные с обработкой ПИИ
Средство управления
Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.
Руководство по внедрению
Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация. Такой перечень может включать в себя:
…
Войти
для доступа к полному тексту