Больше
Навигация
ГЛАВА I Загальні положення (1-4)
Стаття 1. Предмет і ціліСтаття 2. Матеріальна сфера діїСтаття 3. Територіальна сфера діїСтаття 4. Терміни та означення
ГЛАВА II Принципи (5-11)
Стаття 5. Принципи опрацювання персональних данихСтаття 6. Законність опрацюванняСтаття 7. Умови надання згодиСтаття 8. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільстваСтаття 9. Опрацювання спеціальних категорій персональних данихСтаття 10. Опрацювання персональних даних про судимості і кримінальні злочиниСтаття 11. Опрацювання, що не вимагає ідентифікації
ГЛАВА III Права суб'єкта даних (12-23)
Стаття 12. Прозора інформація, повідомлення та форми реалізації прав суб'єкта данихСтаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта данихСтаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта данихСтаття 15. Право суб'єкта даних на доступСтаття 16. Право на виправленняСтаття 17. Право на стирання ("право бути забутим")Стаття 18. Право на обмеження опрацюванняСтаття 19. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацюванняСтаття 20. Право на мобільність данихСтаття 21. Право на запереченняСтаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінгСтаття 23. Обмеження
ГЛАВА IV Контролер і оператор (24-43)
Стаття 24. Предмет і ціліСтаття 25. Захист даних за призначенням і за замовчуваннямСтаття 26. Спільні контролериСтаття 27. Представники контролерів або операторів, які не мають осідків у СоюзіСтаття 28. ОператорСтаття 29. Опрацювання під керівництвом контролера або оператораСтаття 30. Записи опрацювання данихСтаття 31. Співпраця із наглядовим органомСтаття 32. Безпека опрацюванняСтаття 33. Нотифікація наглядового органу про порушення захисту персональних даних
Стаття 34. Повідомлення суб'єкта даних про порушення захисту персональних даних
Стаття 35. Оцінювання впливу на захист данихСтаття 36. Попередня консультаціяСтаття 37. Призначення співробітника з питань захисту данихСтаття 38. Позиція співробітника з питань захисту данихСтаття 39. Завдання співробітника з питань захисту данихСтаття 40. Кодекс поведінкиСтаття 41. Моніторинг затверджених кодексів поведінкиСтаття 42. СертифікаціяСтаття 43. Органи сертифікації
ГЛАВА V Передавання персональних даних до третіх країн або міжнародних організацій (44-50)
Стаття 44. Загальні принципи передаванняСтаття 45. Передавання на підставі рішення про відповідністьСтаття 46. Передавання з урахуванням належних гарантійСтаття 47. Зобов'язальні корпоративні правилаСтаття 48. Передавання або розкриття, не дозволені законодавством СоюзуСтаття 49. Відступи для спеціальних ситуаційСтаття 50. Міжнародна співпраця у сфері захисту персональних даних
ГЛАВА VI Незалежні наглядові органи (51-59)
Стаття 51. Наглядовий органСтаття 52. НезалежністьСтаття 53. Загальні умови для членів наглядового органуСтаття 54. Правила заснування наглядового органуСтаття 55. КомпетенціяСтаття 56. Компетенція керівного наглядового органуСтаття 57. ЗавданняСтаття 58. ПовноваженняСтаття 59. Звіти про виконану роботу
ГЛАВА VII Співпраця і послідовність (60-70)
Стаття 60. Співпраця між керівним наглядовим органом і іншими відповідними наглядовими органамиСтаття 61. Взаємна допомогаСтаття 62. Спільні операції наглядових органівСтаття 63. Механізм послідовностіСтаття 64. Висновок РадиСтаття 65. Врегулювання спорів РадоюСтаття 66. Екстрена процедураСтаття 67. Обмін інформацієюСтаття 68. Європейська рада із захисту данихСтаття 69. НезалежністьСтаття 70. Завдання РадиСтаття 71. ЗвітиСтаття 72. ПроцедураСтаття 73. ГоловаСтаття 74. Завдання ГоловиСтаття 75. СекретаріатСтаття 76. Конфіденційність
ГЛАВА VIII Засоби правового захисту, відповідальність і санкції (77-84)
Стаття 77. Право на подання скарги до наглядового органуСтаття 78. Право на дієвий судовий засіб правового захисту проти наглядового органуСтаття 79. Право на дієвий судовий засіб правового захисту проти контролера або оператораСтаття 80. Представництво суб'єктів данихСтаття 81. Призупинення провадженняСтаття 82. Право на відшкодування та відповідальністьСтаття 83. Загальні умови для накладання адміністративних штрафівСтаття 84. Санкції
ГЛАВА IX Положення про спеціальні ситуації опрацювання (85-91)
Стаття 85. Опрацювання і свобода вияву поглядів та свобода інформаціїСтаття 86. Опрацювання та доступ громадськості до офіційних документівСтаття 87. Опрацювання національного ідентифікаційного номеруСтаття 88. Опрацювання в контексті зайнятостіСтаття 89. Гарантії та відступи, що стосуються опрацювання для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілейСтаття 90. Обов'язки збереження таємниціСтаття 91. Чинні правила захисту даних церков і релігійних асоціацій
ГЛАВА X Делеговані акти та імплементаційні акти (92-93)
Стаття 92. Здійснення делегуванняСтаття 93. Процедура Комітету
ГЛАВА XI Прикінцеві положення (94-95)
Стаття 94. Скасування Директиви 95/46/ЄССтаття 95. Взаємозв'язок із Директивою 2002/58/ЄССтаття 96. Взаємозв'язок із попередньо укладеними УгодамиСтаття 97. Звіти КомісіїСтаття 98. Перевірка застосування інших нормативно-правових актів Союзу щодо захисту данихСтаття 99. Набуття чинності та застосування
GDPR > Стаття 34. Повідомлення суб'єкта даних про порушення захисту персональних даних
Скачать в PDF

Стаття 34 GDPR. Повідомлення суб'єкта даних про порушення захисту персональних даних

1. Якщо порушення захисту персональних даних ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, контролер повинен повідомити суб’єкта даних про порушення захисту персональних даних без необґрунтованої затримки.

2. Повідомлення суб’єкта даних, вказане в параграфі 1 цієї статті, описує, з використанням чітких і простих формулювань, специфіку порушення захисту персональних даних і містить принаймні інформацію та заходи, вказані в пунктах (b), (c) і (d) статті 33(3).

Связанные статьи
Связанные статьи

3. Повідомлення суб’єкта даних, вказане в параграфі 1, є необов’язковим у разі виконання однієї з наведених нижче вимог:

(a) контролер вжив необхідних технічних та організаційних заходів захисту, і такі заходи було застосовано до персональних даних, на які вплинуло порушення захисту персональних даних, зокрема ті, що унеможливлюють розуміння персональних даних будь-якою особою, яка не має дозволу на доступ до них, наприклад, шифрування;

(b) контролер вжив наступних заходів, що гарантують, що високий ризик для прав і свобод суб’єктів даних, вказаний у параграфі 1, ймовірно більше не матеріалізується;

(c) воно передбачатиме докладання надмірних зусиль. У такому разі замість нього надають публічне повідомлення чи подібний інструмент, за допомогою якого повідомляють суб’єктів даних у рівноцінно дієвий спосіб.

4. Якщо контролер ще не повідомив суб’єкта даних про порушення захисту персональних даних, наглядовий орган, розглянувши ймовірність спричинення порушенням захисту персональних даних високого ризику, може вимагати зробити це чи може вирішити, що будь-яку з умов, вказаних в параграфі 3, виконано.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 34 GDPR:

6.13.1.1 Обязанности и процедуры

Руководство по внедрению

В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.


для доступа к полному тексту

Преамбулы

(75) Ризик для прав і свобод фізичних осіб, різної ймовірності та тяжкості, може стати результатом опрацювання персональних даних, що може призвести до фізичної, матеріальної та нематеріальної шкоди, зокрема: коли опрацювання може спричинити дискримінацію, крадіжку персональних даних або шахрайство, фінансові втрати, шкоду репутації, втрату конфіденційності персональних даних, що захищають як особисту таємницю, несанкціоноване скасування використання псевдонімів або будь-яку іншу істотну економічну або соціальну шкоду; коли суб’єкти даних можуть бути позбавлені своїх прав та свобод або можливості здійснювати контроль над своїми персональними даними; коли опрацьовують персональні дані, що розкривають расову або етнічну приналежність, політичні переконання, релігію або філософські переконання, членство в професійних союзах, і опрацьовують генетичні дані, дані стосовно стану здоров’я або дані щодо сексуального життя або судимостей та кримінальних злочинів або пов’язаних заходів безпеки; коли оцінюють персональні аспекти, особливо із аналізом або передбаченням аспектів, що стосуються продуктивності на роботі, економічної ситуації, здоров’я, особистих переваг або інтересів, надійності або поведінки, місцезнаходження або пересування, для створення або використання особистих профілів; коли опрацьовують персональні дані вразливих категорій фізичних осіб, зокрема дітей; або коли опрацювання передбачає використання великих обсягів персональних даних та впливає на велику кількість суб’єктів даних.

(86) Контролер повинен повідомити суб'єкту даних про порушення захисту персональних даних, без неналежної затримки, якщо таке порушення захисту персональних даних ймовірно створить високий ризик для прав і свобод фізичної особи для того, щоб дозволити їй вжити необхідних запобіжних заходів. У повідомленні необхідно описати специфіку порушення захисту персональних даних, а також надати рекомендації для зазначеної фізичної особи з метою зменшення потенційних негативних наслідків. Необхідно надавати такі повідомлення суб'єктам даних якомога швидше та в тісній співпраці з наглядовим органом, дотримуючись настанов, наданих ним або іншими відповідними органами, такими як правоохоронні органи. Наприклад, потреба знизити безпосередній ризик нанесення шкоди потребує належної комунікації з суб'єктами даних, оскільки потреба в реалізації відповідних заходів проти тривалих або подібних порушень захисту персональних даних може бути підставою для необхідності додаткового часу для надання повідомлення.

(87) Необхідно переконатися, чи було реалізовано всі належні заходи технологічного захисту та організаційні заходи для того, щоб негайно встановити, чи відбулося порушення захисту персональних даних, а також повідомити наглядовий орган і суб'єкта даних належним чином. Необхідно встановити факт відсутності затримки в наданні повідомлення із врахуванням, зокрема, специфіки і тяжкості порушення захисту персональних даних, його наслідки та негативний вплив для суб'єкта даних. Таке надання повідомлення може спричинити втручання наглядового органу відповідно до його завдань та повноважень, встановлених у цьому Регламенті.

(88) Під час встановлення детальних правил щодо формату і процедур, застосовних до надання повідомлення про порушення захисту персональних даних, необхідно належним чином розглянути наслідки такого порушення, в тому числі, чи перебували персональні дані під захистом відповідних заходів технічного захисту, що у дієвий спосіб обмежують ймовірність крадіжки персональних даних або інші форми неправомірного використання. Більш того, у таких правилах і процедурах необхідно враховувати законні інтереси правоохоронних органів, якщо дострокове розкриття може невиправдано ускладнити розслідування обставин порушення захисту персональних даних.

Руководство и прецедентное право Оставить комментарий
[js-disqus]