Viac
Navigácia
KAPITOLA I Všeobecné ustanovenia (1-4)
Článok 1. Predmet úpravy a cieleČlánok 2. Vecná pôsobnosťČlánok 3. Územná pôsobnosťČlánok 4. Vymedzenie pojmov
KAPITOLA II Zásady (5-11)
Článok 5. Zásady spracúvania osobných údajovČlánok 6. Zákonnosť spracúvaniaČlánok 7. Podmienky vyjadrenia súhlasuČlánok 8. Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnostiČlánok 9. Spracúvanie osobitných kategórií osobných údajovČlánok 10. Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupkyČlánok 11. Spracúvanie bez potreby identifikácie
KAPITOLA III Práva dotknutej osoby (12-23)
Článok 12. Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osobyČlánok 13. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osobyČlánok 14. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osobyČlánok 15. Právo dotknutej osoby na prístup k údajomČlánok 16. Právo na opravuČlánok 17. Právo na vymazanie (právo „na zabudnutie“)Článok 18. Právo na obmedzenie spracúvaniaČlánok 19. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvaniaČlánok 20. Právo na prenosnosť údajovČlánok 21. Právo namietaťČlánok 22. Automatizované individuálne rozhodovanie vrátane profilovaniaČlánok 23. Obmedzenia
KAPITOLA IV Prevádzkovateľ a sprostredkovateľ (24-43)
Článok 24. Predmet úpravy a cieleČlánok 25. Špecificky navrhnutá a štandardná ochrana údajovČlánok 26. Spoloční prevádzkovateliaČlánok 27. Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v ÚniiČlánok 28. SprostredkovateľČlánok 29. Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľaČlánok 30. Záznamy o spracovateľských činnostiachČlánok 31. Spolupráca s dozorným orgánom
Článok 32. Bezpečnosť spracúvania
Článok 33. Oznámenie porušenia ochrany osobných údajov dozornému orgánuČlánok 34. Oznámenie porušenia ochrany osobných údajov dotknutej osobeČlánok 35. Posúdenie vplyvu na ochranu údajovČlánok 36. Predchádzajúca konzultáciaČlánok 37. Určenie zodpovednej osobyČlánok 38. Postavenie zodpovednej osobyČlánok 39. Úlohy zodpovednej osobyČlánok 40. Kódexy správaniaČlánok 41. Monitorovanie schválených kódexov správaniaČlánok 42. CertifikáciaČlánok 43. Certifikačné subjekty
KAPITOLA V Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám (44-50)
Článok 44. Všeobecná zásada prenosovČlánok 45. Prenosy na základe rozhodnutia o primeranostiČlánok 46. Prenosy vyžadujúce primerané zárukyČlánok 47. Záväzné vnútropodnikové pravidláČlánok 48. Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľujeČlánok 49. Výnimky pre osobitné situácieČlánok 50. Medzinárodná spolupráca na účely ochrany osobných údajov
KAPITOLA VI Nezávislé dozorné orgány (51-59)
Článok 51. Dozorný orgánČlánok 52. NezávislosťČlánok 53. Všeobecné podmienky týkajúce sa členov dozorného orgánuČlánok 54. Pravidlá zriadenia dozorného orgánuČlánok 55. PríslušnosťČlánok 56. Príslušnosť hlavného dozorného orgánuČlánok 57. ÚlohyČlánok 58. PrávomociČlánok 59. Správy o činnosti
KAPITOLA VII Spolupráca a konzistentnosť (60-70)
Článok 60. Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmiČlánok 61. Vzájomná pomocČlánok 62. Spoločné operácie dozorných orgánovČlánok 63. Mechanizmus konzistentnostiČlánok 64. Stanovisko výboruČlánok 65. Riešenie sporov výboromČlánok 66. Postup pre naliehavé prípadyČlánok 67. Výmena informáciíČlánok 68. Európsky výbor pre ochranu údajovČlánok 69. NezávislosťČlánok 70. Úlohy výboruČlánok 71. SprávyČlánok 72. PostupČlánok 73. PredsedaČlánok 74. Úlohy predseduČlánok 75. SekretariátČlánok 76. Dôvernosť informácií
KAPITOLA VIII Prostriedky nápravy, zodpovednosť a sankcie (77-84)
Článok 77. Právo podať sťažnosť dozornému orgánuČlánok 78. Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánuČlánok 79. Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľoviČlánok 80. Zastupovanie dotknutých osôbČlánok 81. Prerušenie konaniaČlánok 82. Právo na náhradu škody a zodpovednosťČlánok 83. Všeobecné podmienky ukladania správnych pokútČlánok 84. Sankcie
KAPITOLA IX Ustanovenia o osobitných situáciách spracúvania (85-91)
Článok 85. Spracúvanie a sloboda prejavu a právo na informácieČlánok 86. Spracúvanie a prístup verejnosti k úradným dokumentomČlánok 87. Spracúvanie národného identifikačného číslaČlánok 88. Spracúvanie v súvislosti so zamestnanímČlánok 89. Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účelyČlánok 90. Povinnosť zachovávať mlčanlivosťČlánok 91. Existujúce pravidlá ochrany údajov cirkví a náboženských združení
KAPITOLA X Delegované akty a vykonávacie akty (92-93)
Článok 92. Vykonávanie delegovania právomocíČlánok 93. Postup výboru
KAPITOLA XI Záverečné ustanovenia (94-95)
Článok 94. Zrušenie smernice 95/46/ESČlánok 95. Vzťah k smernici 2002/58/ESČlánok 96. Vzťah k dohodám uzavretým v minulostiČlánok 97. Správy KomisieČlánok 98. Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajovČlánok 99. Nadobudnutie účinnosti a uplatňovanie
GDPR > Článok 32. Bezpečnosť spracúvania
Download PDF

Článok 32 GDPR. Bezpečnosť spracúvania

Article 32 GDPR. Security of processing

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

Pokyny & Case Law Súvisiace texty
Pokyny & Case Law Súvisiace texty

a) pseudonymizáciu a šifrovanie osobných údajov;

(a) the pseudonymisation and encryption of personal data;

ISO 27701 Pokyny & Case Law
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.

(EN) […]


to read the full text

Pokyny & Case Law

b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.

(EN) […]


to read the full text

c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.

(EN) […]


to read the full text

d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.

(EN) […]


to read the full text

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

ISO 27701 Odôvodnenia
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.

(EN) […]


to read the full text

Odôvodnenia

(83) S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

ISO 27701 Súvisiace texty
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Súvisiace texty

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

(EN) […]


to read the full text

Všeobecné nariadenie o ochrane údajov (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Odôvodnenia Pokyny & Case Law Zanechať komentár
Odôvodnenia

(83) S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

(74) Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory a členstvo v odborových organizíciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo uznania viny zo spáchania trestného činu a priestupku či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých osôb.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(76) Pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutých osôb by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či spracovateľské operácie obsahujú riziko alebo vysoké riziko.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Usmernenie na vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika by mohlo byť poskytnuté najmä prostredníctvom schválených kódexov správania, schválenej certifikácie, usmernení vypracovaných výborom alebo pokynov poskytnutých zodpovednou osobou. Výbor môže vydať aj usmernenia pre spracovateľské operácie, v súvislosti s ktorými sa nepovažuje za pravdepodobné, že by viedli k vysokému riziku pre práva a slobody fyzických osôb, a uviesť, aké opatrenia môžu byť v takýchto prípadoch na vyriešenie takého rizika dostatočné.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

Pokyny & Case Law Zanechať komentár
[js-disqus]