Больше
Навигация
ГЛАВА I Общи разпоредби (1-4)
Член 1. Предмет и целиЧлен 2. Материален обхватЧлен 3. Териториален обхватЧлен 4. Определения
ГЛАВА II Принципи (5-11)
Член 5. Принципи, свързани с обработването на лични данниЧлен 6. Законосъобразност на обработванетоЧлен 7. Условия за даване на съгласиеЧлен 8. Условия, приложими за съгласието на дете във връзка с услугите на информационното обществоЧлен 9. Обработване на специални категории лични данниЧлен 10. Обработване на лични данни, свързани с присъди и нарушенияЧлен 11. Обработване, за което не се изисква идентифициране
ГЛАВА III Права на субекта на данни (12-23)
Член 12. Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данниЧлен 13. Информация, предоставяна при събиране на лични данни от субекта на даннитеЧлен 14. Информация, предоставяна, когато личните данни идват от субекта на даннитеЧлен 15. Право на достъп на субекта на даннитеЧлен 16. Право на коригиранеЧлен 17. Право на изтриване (право „да бъдеш забравен“)Член 18. Право на ограничаване на обработванетоЧлен 19. Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработванетоЧлен 20. Право на преносимост на даннитеЧлен 21. Право на възражениеЧлен 22. Автоматизирано вземане на индивидуални решения, включително профилиранеЧлен 23. Ограничения
ГЛАВА IV Администратор и обработващ лични данни (24-43)
Член 24. Предмет и целиЧлен 25. Защита на данните на етапа на проектирането и по подразбиранеЧлен 26. Съвместни администраториЧлен 27. Представители на администратори и обработващи лични данни, които не са установени в СъюзаЧлен 28. Обработващ личните данниЧлен 29. Обработване под ръководството на администратора или обработващия лични данниЧлен 30. Регистри на дейностите по обработванеЧлен 31. Сътрудничество с надзорния орган
Член 32. Сигурност на обработването
Член 33. Уведомяване на надзорния орган за нарушение на сигурността на личните данниЧлен 34. Съобщаване на субекта на данните за нарушение на сигурността на личните данниЧлен 35. Оценка на въздействието върху защитата на даннитеЧлен 36. Предварителна консултацияЧлен 37. Определяне на длъжностното лице по защита на даннитеЧлен 38. Длъжност на длъжностното лице по защита на даннитеЧлен 39. Задачи на длъжностното лице по защита на даннитеЧлен 40. Кодекси за поведениеЧлен 41. Наблюдение на одобрените кодекси за поведениеЧлен 42. СертифициранеЧлен 43. Сертифициращи органи
ГЛАВА V Предаване на лични данни на трети държави или международни организации (44-50)
Член 44. Общ принцип на предаването на данниЧлен 45. Предаване на данни въз основа на решение относно адекватното ниво на защитаЧлен 46. Предаване на данни с подходящи гаранцииЧлен 47. Задължителни фирмени правилаЧлен 48. Предаване или разкриване на данни, което не е разрешено от правото на СъюзаЧлен 49. Дерогации в особени случаиЧлен 50. Международно сътрудничество за защита на личните данни
ГЛАВА VI Независими надзорни органи (51-59)
Член 51. Надзорен органЧлен 52. НезависимостЧлен 53. Общи условия за членовете на надзорния органЧлен 54. Правила за създаването на надзорния органЧлен 55. КомпетентностЧлен 56. Компетентност на водещия надзорен органЧлен 57. ЗадачиЧлен 58. ПравомощияЧлен 59. Доклади за дейността
ГЛАВА VII Сътрудничество и съгласуваност (60-70)
Член 60. Сътрудничество между водещия надзорен орган и другите засегнати надзорни органиЧлен 61. ВзаимопомощЧлен 62. Съвместни операции на надзорни органиЧлен 63. Механизъм за съгласуваностЧлен 64. Становище на КомитетаЧлен 65. Разрешаване на спорове от КомитетаЧлен 66. Процедура по спешностЧлен 67. Обмен на информацияЧлен 68. Европейски комитет по защита на даннитеЧлен 69. НезависимостЧлен 70. Задачи на КомитетаЧлен 71. ДокладиЧлен 72. ПроцедураЧлен 73. ПредседателЧлен 74. Задачи на председателяЧлен 75. СекретариатЧлен 76. Поверителност
ГЛАВА VIII Средства за правна защита, отговорност за причинени вреди и санкции (77-84)
Член 77. Право на подаване на жалба до надзорен органЧлен 78. Право на ефективна съдебна защита срещу надзорен органЧлен 79. Право на ефективна съдебна защита срещу администратор или обработващ лични данниЧлен 80. Представителство на субектите на данниЧлен 81. Прекратяване на производствотоЧлен 82. Право на обезщетение и отговорност за причинени вредиЧлен 83. Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“Член 84. Санкции
ГЛАВА IX Разпоредби, свързани с особени ситуации на обработване (85-91)
Член 85. Обработване и свобода на изразяване и информацияЧлен 86. Обработване и публичен достъп до официални документиЧлен 87. Обработване на националния идентификационен номерЧлен 88. Обработване в контекста на трудово или служебно правоотношениеЧлен 89. Гаранции и дерогации, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически целиЧлен 90. Задължения за опазване на тайнаЧлен 91. Съществуващи правила на църкви и религиозни сдружения за защита на данните
ГЛАВА X Делегирани актове и актове за изпълнение (92-93)
Член 92. Упражняване на делегиранетоЧлен 93. Процедура на комитет
ГЛАВА XI Заключителни разпоредби (94-95)
Член 94. Отмяна на Директива 95/46/ЕОЧлен 95. Връзка с Директива 2002/58/ЕОЧлен 96. Връзка с по-рано сключени споразуменияЧлен 97. Доклади на КомисиятаЧлен 98. Преглед на други правни актове на Съюза за защита на даннитеЧлен 99. Влизане в сила и прилагане
GDPR > Член 32. Сигурност на обработването
Скачать в PDF

Член 32 GDPR. Сигурност на обработването

1. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

Руководство и прецедентное право Связанные статьи
Руководство и прецедентное право Связанные статьи

a) псевдонимизация и криптиране на личните данни;

ISO 27701 Руководство и прецедентное право
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(1)(a) GDPR:

7.4.5 Деидентификация ПИИ и удаление в конце обработки

Средство управления

Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.

Руководство по внедрению

Организация должна иметь механизмы для удаления ПИИ, когда дальнейшая обработка не ожидается


для доступа к полному тексту

Руководство и прецедентное право

б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(1)(b) GDPR:

5.4.1.2 Оценка рисков информационной безопасности

1) Организация должна применять процесс оценки рисков информационной безопасности для выявления рисков, связанных с утратой конфиденциальности, целостности и доступности, в рамках PIMS.


для доступа к полному тексту

в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(1)(c) GDPR:

6.9.3.1 Резервное копирование информации

Организация должна иметь политику, которая учитывает требования к резервному копированию, восстановлению и восстановлению ПИИ (которые могут быть частью общей политики резервного копирования информации) и любые дополнительные требования (например, договорные и / или юридические требования) для удаления ПИИ, содержащуюся в информация хранится для резервных требований.


для доступа к полному тексту

г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.


для доступа к полному тексту

2. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

ISO 27701 Преамбулы
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(2) GDPR:

5.2.3 Определение области применения системы менеджмента информационной безопасности

При определении объема PIMS организация должна включать обработку ПИИ.
ПРИМЕЧАНИЕ.


для доступа к полному тексту

Преамбулы

(83) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

3. Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(3) GDPR:

5.2.1 Понимание организации и ее контекста

Организация должна определить внешние и внутренние факторы, которые имеют отношение к ее контексту и которые влияют на ее способность достигать запланированного результата (ов) ее PIMS.


для доступа к полному тексту

Связанные статьи

4. Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 32(3) GDPR:

7.2.1 Определение и документирование цели

Средство управления

Организация должна определить и задокументировать конкретные цели, для которых будет обрабатываться ПИИ.


для доступа к полному тексту

Общ регламент относно защитата на данните

Преамбулы Руководство и прецедентное право Оставить комментарий
Преамбулы

(83) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

(74) Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.

(75) Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация, или други значителни икономически или социални неблагоприятни последствия; или когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и обработването на генетични данни, данни за здравословното състояние или данни за сексуалния живот или за присъди и нарушения или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията в пространството, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

(76) Вероятността и тежестта на риска за правата и свободите на субекта на данни следва да се определят с оглед на естеството, обхвата, контекста и целта на обработването. Рискът следва да се оценява въз основа на обективна оценка, с която се определя дали операцията по обработването на данни води до риск или до висок риск.

(77) Насоки за прилагането на подходящи мерки и за доказване на съответствие от страна на администратора или обработващия лични данни, особено по отношение на идентифицирането на риска, свързан с обработването, оценката по отношение на произход, естество, вероятност и тежест и определянето на добри практики за ограничаване на риска, биха могли да се предоставят по-специално чрез одобрени кодекси на поведение, одобрени механизми за сертифициране, насоки на Комитета или чрез указания, предоставени от длъжностното лице за защита на данните. Комитетът може също да издава насоки относно операции по обработване, за които се счита, че е малко вероятно да доведат до висок риск за правата и свободите на физическите лица, и да даде указания какви мерки могат да бъдат достатъчни в такива случаи за преодоляването на такъв риск.

Руководство и прецедентное право Оставить комментарий
[js-disqus]