1. Filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni u in-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskju ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur u l-proċessur għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa, biex jiżguraw livell ta’ sigurtà xieraq għar-riskju, inklużi inter alia kif xieraq:
(EN) Spanish data protection authority (AEPD), Introduction to the hash function as a personal data pseudonymisation technique (2019).
(b) il-kapaċità li jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi ta’ pproċessar;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 32(1)(b) GDPR:
5.4.1.2 Оценка рисков информационной безопасности
1) Организация должна применять процесс оценки рисков информационной безопасности для выявления рисков, связанных с утратой конфиденциальности, целостности и доступности, в рамках PIMS.
…
Войти
для доступа к полному тексту
(c) il-kapaċità li jiġu restawrati d-disponibbiltà u l-aċċess għad-data personali fil-pront fil-każ ta’ inċident fiżiku jew tekniku;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 32(1)(c) GDPR:
6.9.3.1 Резервное копирование информации
Организация должна иметь политику, которая учитывает требования к резервному копированию, восстановлению и восстановлению ПИИ (которые могут быть частью общей политики резервного копирования информации) и любые дополнительные требования (например, договорные и / или юридические требования) для удаления ПИИ, содержащуюся в информация хранится для резервных требований.
…
Войти
для доступа к полному тексту
(d) proċess sabiex tiġi ttestjata, ivvalutata u evalwata l-effettività tal-miżuri tekniċi u organizzattivi li jiżguraw is-sigurtà tal-ipproċessar.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.
Here is the relevant paragraphs to article 32(1)(d) GDPR:
6.15.2.1 Independent review of information security
Implementation guidance
Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.
…
Войти
для доступа к полному тексту
2. Fl-evalwazzjoni tal-livell xieraq ta’ sigurtà ser jitqiesu b’mod partikolari r-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 32(2) GDPR:
5.2.3 Определение области применения системы менеджмента информационной безопасности
При определении объема PIMS организация должна включать обработку ПИИ.
ПРИМЕЧАНИЕ.
…
Войти
для доступа к полному тексту
(83) Sabiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji, bħall-kriptaġġ. Dawn il-miżuri għandhom jiżguraw livell adatt ta' sigurtà, inkluża kunfidenzjalità, filwaqt li jikkunsidraw l-ogħla livell ta' żvilupp tekniku u l-ispejjeż tal-implimentazzjoni b'rabta mar-riskji u n-natura tad-data personali li għandha tkun protetta. Fil-valutazzjoni tar-riskju tas-sigurtà tad-data, għandha tingħata konsiderazzjoni lir-riskji li huma ppreżentati mill-ipproċessar tad-data personali, bħall-qerda, telf, bidla, żvelar mhux awtorizzat ta', jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata b'xi mod ieħor, li jkun aċċidentali jew illegali, li jista' b'mod partikolari jwassal għal dannu fiżika, materjali jew mhux materjali.
3. L-osservanza ta’ kodiċi ta’ kondotta approvat kif imsemmi fl-Artikolu 40 jew mekkaniżmu ta’ ċertifikazzjoni approvat kif imsemmi fl-Artikolu 42 jistgħu jintużaw bħala element li bih tintwera konformità mar-rekwiżiti stipulati fil-paragrafu 1 ta’ dan l-Artikolu.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 32(3) GDPR:
5.2.1 Понимание организации и ее контекста
Организация должна определить внешние и внутренние факторы, которые имеют отношение к ее контексту и которые влияют на ее способность достигать запланированного результата (ов) ее PIMS.
…
Войти
для доступа к полному тексту
4. Il-kontrollur u l-proċessur għandhom jieħdu passi biex jiżguraw li kwalunkwe persuna fiżika li taġixxi taħt l-awtorità tal-kontrollur jew tal-proċessur li jkollhom aċċess għal data personali ma jipproċessawhiex ħlief fuq istruzzjonijiet mingħand il-kontrollur, sakemm ma jkunux meħtieġa jagħmlu dan taħt il-liġi tal-Unjoni jew ta’ Stat Membru.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 32(3) GDPR:
7.2.1 Определение и документирование цели
Средство управления
Организация должна определить и задокументировать конкретные цели, для которых будет обрабатываться ПИИ.
…
Войти
для доступа к полному тексту
(83) Sabiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji, bħall-kriptaġġ. Dawn il-miżuri għandhom jiżguraw livell adatt ta' sigurtà, inkluża kunfidenzjalità, filwaqt li jikkunsidraw l-ogħla livell ta' żvilupp tekniku u l-ispejjeż tal-implimentazzjoni b'rabta mar-riskji u n-natura tad-data personali li għandha tkun protetta. Fil-valutazzjoni tar-riskju tas-sigurtà tad-data, għandha tingħata konsiderazzjoni lir-riskji li huma ppreżentati mill-ipproċessar tad-data personali, bħall-qerda, telf, bidla, żvelar mhux awtorizzat ta', jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata b'xi mod ieħor, li jkun aċċidentali jew illegali, li jista' b'mod partikolari jwassal għal dannu fiżika, materjali jew mhux materjali.
(74) Ir-responsabbiltà tal-kontrollur għal kwalunkwe pproċessar ta' data personali li jitwettaq mill-kontrollur jew f'isem il-kontrollur għandha tiġi stabbilita. B'mod partikolari, il-kontrollur għandu jkun obbligat jimplimenta miżuri adatti u effettivi u jkun jista' juri l-konformità tal-attivitajiet ta' pproċessar ma' dan ir-Regolament, inkluża l-effettività tal-miżuri. Dawk il-miżuri għandhom jikkunsidraw in-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u r-riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi.
(75) Ir-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi, bi probabbiltà u gravità li jvarjaw, jistgħu jirriżultaw mill-ipproċessar ta’ data personali li tista’ twassal għal dannu fiżiku, materjali jew mhux materjali, b’mod partikolari fejn l-ipproċessar jista’ jagħti lok għal diskriminazzjoni, serq ta’ identità jew frodi, telf finanzjarju, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità ta’ data personali protetta mis-segretezza professjonali, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, jew kwalunkwe żvantaġġ ekonomiku jew soċjali sinifikanti ieħor; jew fejn is-suġġetti tad-data jistgħu jiġu mċaħħda mid-drittijiet u l-libertajiet tagħhom jew impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom; fejn tiġi pproċessata data personali li tiżvela l-oriġini razzjali jew etnika, l-opinjonijiet politiċi, it-twemmin reliġjuż jew filosofiku, is-sħubija fi trade union, u l-ipproċessar ta’ data ġenetika, data dwar is-saħħa jew data dwar il-ħajja sesswali jew kundanni kriminali u reati jew miżuri ta’ sigurtà relatati; fejn l-aspetti personali jiġu evalwati, b’mod partikolari l-analiżi jew it-tbassir ta’ aspetti rigward il-prestazzjoni fuq ix-xogħol, is-sitwazzjoni ekonomika, is-saħħa, il-preferenzi jew l-interessi personali, l-affidabbiltà jew l-imġiba, il-lokalizzazzjoni jew il-movimenti, sabiex jinħolqu jew jintużaw profili personali; fejn tiġi proċessata data personali ta’ persuni fiżiċi vulnerabbli, b’mod partikolari ta’ tfal; jew fejn l-ipproċessar jinvolvi ammont kbir ta’ data personali u jaffettwa numru kbir ta’ suġġetti tad-data.
(76) Il-probabbiltà u l-gravità tar-riskju għad-drittijiet u l-libertajiet tas-suġġett tad-data għandhom jiġu ddeterminati b'referenza għan-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar tad-data. Ir-riskju għandu jiġi evalwat abbażi ta' valutazzjoni oġġettiva, li permezz tagħha jiġi stabbilit jekk l-operazzjonijiet tal-ipproċessar tad-data jinvolvux riskju jew riskju għoli.
(77) Il-gwida dwar l-implimentazzjoni ta' miżuri xierqa u dwar kif tintwera l-konformità mill-kontrollur jew il-proċessur, speċjalment fir-rigward tal-identifikazzjoni tar-riskju relatat mal-ipproċessar, il-valutazzjoni tagħhom f'termini ta' oriġini, natura, probabbiltà u gravità, u l-identifikazzjoni tal-aħjar prattiki biex jittaffa r-riskju, tista' tingħata, b'mod partikolari, permezz ta' kodiċijiet approvati tal-kondotta, ċertifikazzjonijiet approvati, linji gwida tal-Bord jew indikazzjonijiet mogħtija minn uffiċjal għall-protezzjoni tad-data. Il-Bord jista' wkoll joħroġ linji gwida dwar operazzjonijiet ta' pproċessar li huma kkunsidrati bħala li probabbli ma jirriżultawx f'riskju għoli għad-drittijiet u l-libertajiet ta' persuni fiżiċi u jindikaw liema miżuri jistgħu jkunu biżżejjed f'dawn il-każijiet biex jindirizzaw tali riskju.
(EN)
Working Party 29, Opinion 2/2006 on privacy issues related to the provision of email screening services (2006).
CNIL (France): CNIL Guide. Security of Personal Data (2018).
Data Protection Commission (Ireland): Guidance for Controllers on Data Security (2020).
IT Security Association Germany (TeleTrusT) , Guideline «State of the Art». Technical and organisational measures (2020).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
DPC (Ireland), Guidance for Individuals who Accidentally Receive Personal data (2020).
CJEU, Worten – Equipamentos para o Lar SA/Autoridade para as condições de trabalho, C-342-12 (2013).
ICO, Ticketmaster UK Limited (Penalty Notice) (2020).
The ICO found that the company failed to put appropriate security measures in place to prevent a cyber-attack on a chat-bot installed on its online payment page.
The ICO found that Ticketmaster failed to:
- Assess the risks of using a chat-bot on its payment page
- Identify and implement appropriate security measures to negate the risks
- Identify the source of suggested fraudulent activity in a timely manner
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 32(1)(a) GDPR:
7.4.5 Деидентификация ПИИ и удаление в конце обработки
Средство управления
Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.
Руководство по внедрению
Организация должна иметь механизмы для удаления ПИИ, когда дальнейшая обработка не ожидается
…
Войти
для доступа к полному тексту