Статья 32 📖 GDPR. Безопасность обработки

Статья 32 GDPR. Безопасность обработки

Article 32 GDPR. Security of processing

1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр и процессор должны реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности соответствующего данным рискам, включая в частности при необходимости:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

Руководство и прецедентное право Связанные статьи

Руководство и прецедентное право

(EN)

Documents

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Связанные статьи

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

2.1.3.1 текущий уровень научно-технического прогресса

2.1.3.1 «state of the art»

18. Понятие «уровень научно-технического прогресса» присутствует в различных актах ЕС, например, в области охраны окружающей среды и безопасности продукции. В GDPR ссылка на «уровень научно-технического прогресса» [8] содержится не только в статье 32, касающейся мер безопасности, [9][10] но и в статье 25, что позволяет распространить этот критерий на все технические и организационные меры, встроенные в обработку.

18. The concept of «state of the art» is present in various EU acquis, e.g. environmental protection and product safety. In the GDPR, reference to the «state of the art» [8] is made not only in Article 32, for security measures,[9][10] but also in Article 25, thus extending this benchmark to all technical and organisational measures embedded in the processing.

_{[8] См. Решение Федерального конституционного суда Германии «Калкар» в 1978 году. Оно может послужить основой для методологией для определение понятия. Исходя из этого «уровень научно-технического прогресса » будет определяться между технологическим уровнем «существующих научных знаний и исследований» и более устоявшихся «общепринятых правил». «Уровень научно-технического прогресса », следовательно, может быть идентифицирован как технологический уровень услуги и технологии или продукта, который существует на рынке и является наиболее эффективным для достижения поставленных целей.}

_{[8] See German Federal Constitutional Court’s «Kalkar» decision in 1978: https://germanlawarchive.iuscomp.org/?p=67 may provide the foundation for a methodology for an objective definition of the concept. On that basis, the «state of the art» technology level would be identified between the «existing scientific knowledge and research» technology level and the more established «generally accepted rules of technology». The «state of the art» can hence be identified as the technology level of a service or technology or product that exists in the market and is most effective in achieving the objectives identified.}

_{[9] https://www.enisa.europa.eu/news/enisa-news/what-is-state-of-the-art-in-it-security}

_{[10] www.teletrust.de/en/publikationen/broschueren/state-of-the-art-in-it-security/}

19. В контексте статьи 25 ссылка на «уровень научно-технического прогресса» обязывает контролеров, при определении соответствующих технических и организационных мер принять во внимание текущий прогресса в технологиях, доступных на рынке. Требование заключается в том, что контролеры должны знать о технологических достижениях, о том, как технологии могут представлять опасность или создавать возможности в области защиты персональных данных при обработке, а также о том, как реализовать меры и гарантии, которые обеспечивают эффективную реализацию принципов и прав субъектов данных с учетом развивающейся технологической среды.

19. In the context of Article 25, the reference to «state of the art» imposes an obligation on controllers, when determining the appropriate technical and organisational measures, to take account of the current progress in technology that is available in the market. The requirement is for controllers to have knowledge of, and stay up to date on technological advances; how technology can present data protection risks or opportunities to the processing operation; and how to implement and update the measures and safeguards that secure effective implementation of the principles and rights of data subjects taking into account the evolving technological landscape.

20. «Уровень научно-технического прогресса» — это динамическая концепция, которая не может быть статически определена в определенный момент времени, но должна оцениваться постоянно в контексте технического прогресса. Перед лицом технологических достижений, контролер может обнаружить, что мера, которая ранее обеспечивала адекватный уровень защиты, больше этого не делает. Поэтому пренебрежение технологическими изменениями может впоследствии привести к несоблюдению статьи 25.

20. The «state of the art» is a dynamic concept that cannot be statically defined at a fixed point in time, but should be assessed continuously in the context of technological progress. In the face of technological advancements, a controller could find that a measure that once provided an adequate level of protection no longer does. Neglecting to keep up to date with technological changes could therefore result in a lack of compliance with Article 25.

21. Критерий «уровень научно-технического прогресса» применим не только к технологическим мерам, но и к организационным. Отсутствие соответствующих организационных мер может снизить или даже полностью подорвать эффективность выбранной технологии. Примерами организационных мер могут быть принятие внутренних политик; современное обучение в области технологий, безопасности и защиты персональных данных; а также политики управления и менеджмента информационной безопасностью.

21. The «state of the art» criterion does not only apply to technological measures, but also to organisational ones. Lack of appropriate organisational measures can lower or even completely undermine the effectiveness of a chosen technology. Examples of organisational measures can be adoption of internal policies; up-to date training on technology, security and data protection; and IT security governance and management policies.

22. Существующие и признанные стандарты, сертификации, кодексы поведения и т.д. в различных областях могут сыграть роль в определении текущего «уровня научно-технического прогресс» в рамках данной области. Там, где такие стандарты существуют и обеспечивают высокий уровень защиты субъекта данных в соответствии с правовыми требованиями или превосходят их, контролеры должны учитывать их при разработке и реализации мер по защите данных.

22. Existing and recognized frameworks, standards, certifications, codes of conduct, etc. in different fields may play a role in indicating the current «state of the art» within the given field of use. Where such standards exist and provide a high level of protection for the data subject in compliance with – or go beyond – legal requirements, controllers should take them into account in the design and implementation of data protection measures.

(a) псевдонимизацию и шифрование персональных данных;

(a) the pseudonymisation and encryption of personal data;

ISO 27701 Руководство и прецедентное право

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(1)(a) GDPR:

7.4.5 Деидентификация ПИИ и удаление в конце обработки

Средство управления

Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.

Руководство по внедрению

Организация должна иметь механизмы для удаления ПИИ, когда дальнейшая обработка не ожидается

…

Войти
для доступа к полному тексту

Руководство и прецедентное право

(EN) Spanish data protection authority (AEPD), Introduction to the hash function as a personal data pseudonymisation technique (2019).

(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

ISO 27701

Приводим соответствующий параграф к статье 32(1)(b) GDPR:

5.4.1.2 Оценка рисков информационной безопасности

1) Организация должна применять процесс оценки рисков информационной безопасности для выявления рисков, связанных с утратой конфиденциальности, целостности и доступности, в рамках PIMS.

…

Войти
для доступа к полному тексту

(c) способность своевременно восстанавливать доступность персональных данных в случае возникновения физического или технического инцидента;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

ISO 27701

Приводим соответствующий параграф к статье 32(1)(c) GDPR:

6.9.3.1 Резервное копирование информации

Организация должна иметь политику, которая учитывает требования к резервному копированию, восстановлению и восстановлению ПИИ (которые могут быть частью общей политики резервного копирования информации) и любые дополнительные требования (например, договорные и / или юридические требования) для удаления ПИИ, содержащуюся в информация хранится для резервных требований.

…

Войти
для доступа к полному тексту

(d) регулярное тестирование, оценку и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.

…

Войти
для доступа к полному тексту

2. При оценке достаточности уровня безопасности необходимо учитывать риски, связанные с обработкой, в частности риски случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к переданным, хранимым, или другим образом обрабатываемым персональным данным

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

ISO 27701 Преамбулы

ISO 27701

Приводим соответствующий параграф к статье 32(2) GDPR:

5.2.3 Определение области применения системы менеджмента информационной безопасности

При определении объема PIMS организация должна включать обработку ПИИ.
ПРИМЕЧАНИЕ.

…

Войти
для доступа к полному тексту

Преамбулы

(83) Чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или процессор должны оценить риски, присущие обработке, и внедрить меры по минимизации этих рисков, например, шифрование. Эти меры должны обеспечить оптимальный уровень защиты, в том числе конфиденциальности, принимая во внимание текущий уровень научно-технического прогресса и затраты на внедрение в зависимости от рисков, а также характера подлежащих защите персональных данных. При оценке риска, связанного с нарушением защиты данных, необходимо уделить внимание рискам, имеющим место при обработке персональных данных, таким как случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или несанкционированный доступ к передающимся, хранящимся или иным образом обрабатываемым данным, которые могут привести к физическому, материальному или нематериальному ущербу.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

3. Следование утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, упомянутому в статье 42, может служить элементом демонстрации следования требованиям параграфа 1 настоящей статьи.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

ISO 27701 Связанные статьи

ISO 27701

Приводим соответствующий параграф к статье 32(3) GDPR:

5.2.1 Понимание организации и ее контекста

Организация должна определить внешние и внутренние факторы, которые имеют отношение к ее контексту и которые влияют на ее способность достигать запланированного результата (ов) ее PIMS.

…

Войти
для доступа к полному тексту

Связанные статьи

Статья 40 GDPR. Кодексы поведения

Article 40 GDPR. Codes of conduct

Статья 42 GDPR. Сертификация

Article 42 GDPR. Certification

4. Контролёр и процессор должны принимать меры для обеспечения того, чтобы любое физическое лицо, действующее от имени контролёра или процессора и имеющее доступ к персональным данным, обрабатывало их исключительно по распоряжениям, полученным от контролёра, за исключением случаев, когда обработка требуется согласно законодательству Союза или государства-члена.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

ISO 27701

Приводим соответствующий параграф к статье 32(3) GDPR:

7.2.1 Определение и документирование цели

Средство управления

Организация должна определить и задокументировать конкретные цели, для которых будет обрабатываться ПИИ.

…

Войти
для доступа к полному тексту

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Преамбулы Руководство и прецедентное право Оставить комментарий

Преамбулы

Должна быть установлена юридическая и материальная ответственность контролёра за обработку персональных данных, выполняемую контролёром или от его имени. В частности, контролёр должен быть обязан внедрять оптимальные и эффективные меры и быть способным продемонстрировать соответствие деятельности по обработке данных Регламенту, в том числе, соответствие степени эффективности этих мер. Меры должны учитывать характер, масштаб, контекст и цели обработки, а также риск для прав и свобод физических лиц.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.

(85) Нарушение безопасности персональных данных, если оно не было надлежащим образом и вовремя устранено, может повлечь физический, материальный или моральный вред физическим лицам, как, например, потеря контроля над их персональными данными или ограничение их прав, дискриминация, кража личности или ее мошенническое использование, финансовые потери, несанкционированная повторная идентификация псевдонимизированных данных, ущерб репутации, нарушение конфиденциальности персональных данных, защищенных профессиональной тайной, или любой другой значительный экономический или социальный вред, нанесенный физическому лицу. Поэтому, как только контролёру становится известно о нарушении безопасности персональных данных, он обязан уведомить о таком нарушении надзорный орган без неоправданной задержки и, по возможности, не позднее 72 часов, за исключением случаев, когда контролёр может подтвердить, в соответствии с принципом подотчетности, что нарушение безопасности персональных данных с малой вероятностью может представлять риск нарушения прав и свобод физических лиц. В случаях, когда подобное уведомление не может быть сделано в течение 72 часов, причины такой задержки должны сопровождать уведомление и информация может предоставляться поэтапно без дополнительной задержки.

(76) Вероятность и серьёзность риска для прав и свобод субъекта данных должны определяться с учётом характера, масштаба, контекста и целей обработки. Риск должен определяться на основе объективной оценки, посредством которой устанавливается, связана ли обработка данных с риском или высоким риском.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Рекомендации по внедрению необходимых мер и по демонстрации соответствия контролёром или процессором, особенно в отношении идентификации риска, связанного с обработкой, их оценки с точки зрения происхождения, характера, вероятности, серьезности и определения оптимальных методов минимизации риска, могут быть представлены, в частности, в форме утверждённых кодексов поведения, утверждённых сертификатов, инструкций Совета или указаний инспектора по защите персональных данных. Совет может также издавать инструкции по операциям обработки, которые, как считается, вряд ли могут привести к высокому риску для прав и свобод физических лиц, а также может указать, какие меры могут быть достаточными в этих случаях для реагирования на такой риск.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

Руководство и прецедентное право

(EN)

Document

Working Party 29, Opinion 2/2006 on privacy issues related to the provision of email screening services (2006).

CNIL (France): CNIL Guide. Security of Personal Data (2018).

Data Protection Commission (Ireland): Guidance for Controllers on Data Security (2020).

IT Security Association Germany (TeleTrusT) , Guideline «State of the Art». Technical and organisational measures (2020).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).

DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).

Case Law

CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).

ICO, Ticketmaster UK Limited (Penalty Notice) (2020).

The ICO found that the company failed to put appropriate security measures in place to prevent a cyber-attack on a chat-bot installed on its online payment page.

The ICO found that Ticketmaster failed to:

Assess the risks of using a chat-bot on its payment page

Identify and implement appropriate security measures to negate the risks

Identify the source of suggested fraudulent activity in a timely manner

Оставить комментарий

[js-disqus]

Статья 31. Сотрудничество с надзорным органом

Статья 33. Уведомление надзорного органа о нарушении безопасности персональных данных