Mer
Navigering
KAPITEL I Allmänna bestämmelser (1-4)
Artikel 1. SyfteArtikel 2. Materiellt tillämpningsområdeArtikel 3. Territoriellt tillämpningsområdeArtikel 4. Definitioner
KAPITEL II Principer (5-11)
Artikel 5. Principer för behandling av personuppgifterArtikel 6. Laglig behandling av personuppgifterArtikel 7. Villkor för samtyckeArtikel 8. Villkor som gäller barns samtycke avseende informationssamhällets tjänsterArtikel 9. Behandling av särskilda kategorier av personuppgifterArtikel 10. Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelserArtikel 11. Behandling som inte kräver identifiering
KAPITEL III Den registrerades rättigheter (12-23)
Artikel 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheterArtikel 13. Information som ska tillhandahållas om personuppgifterna samlas in från den registreradeArtikel 14. Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registreradeArtikel 15. Den registrerades rätt till tillgångArtikel 16. Rätt till rättelseArtikel 17. Rätt till radering (”rätten att bli bortglömd”)Artikel 18. Rätt till begränsning av behandlingArtikel 19. Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandlingArtikel 20. Rätt till dataportabilitetArtikel 21. Rätt att göra invändningarArtikel 22. Automatiserat individuellt beslutsfattande, inbegripet profileringArtikel 23. Begränsningar
KAPITEL IV Personuppgiftsansvarig och personuppgiftsbiträde (24-43)
Artikel 24. SyfteArtikel 25. Inbyggt dataskydd och dataskydd som standardArtikel 26. Gemensamt personuppgiftsansvarigaArtikel 27. Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionenArtikel 28. PersonuppgiftsbiträdenArtikel 29. Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseendeArtikel 30. Register över behandlingArtikel 31. Samarbete med tillsynsmyndigheten
Artikel 32. Säkerhet i samband med behandlingen
Artikel 33. Anmälan av en personuppgiftsincident till tillsynsmyndighetenArtikel 34. Information till den registrerade om en personuppgiftsincidentArtikel 35. Konsekvensbedömning avseende dataskyddArtikel 36. FörhandssamrådArtikel 37. Utnämning av dataskyddsombudetArtikel 38. Dataskyddsombudets ställningArtikel 39. Dataskyddsombudets uppgifterArtikel 40. UppförandekoderArtikel 41. Övervakning av godkända uppförandekoderArtikel 42. CertifieringArtikel 43. Certifieringsorgan
KAPITEL V Överföring av personuppgifter till tredjeländer eller internationella organisationer (44-50)
Artikel 44. Allmän princip för överföring av uppgifterArtikel 45. Överföring på grundval av ett beslut om adekvat skyddsnivåArtikel 46. Överföring som omfattas av lämpliga skyddsåtgärderArtikel 47. Bindande företagsbestämmelserArtikel 48. Överföringar och utlämnanden som inte är tillåtna enligt unionsrättenArtikel 49. Undantag i särskilda situationerArtikel 50. Internationellt samarbete för skydd av personuppgifter
KAPITEL VI Oberoende tillsynsmyndigheter (51-59)
Artikel 51. TillsynsmyndighetArtikel 52. OberoendeArtikel 53. Allmänna villkor för tillsynsmyndighetens ledamöterArtikel 54. Regler för inrättandet av en tillsynsmyndighetArtikel 55. BehörighetArtikel 56. Den ansvariga tillsynsmyndighetens behörighetArtikel 57. UppgifterArtikel 58. BefogenheterArtikel 59. Verksamhetsrapporter
KAPITEL VII Samarbete och enhetlighet (60-70)
Artikel 60. Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheternaArtikel 61. Ömsesidigt biståndArtikel 62. Tillsynsmyndigheters gemensamma insatserArtikel 63. Mekanism för enhetlighetArtikel 64. Yttrande från StyrelsenArtikel 65. Tvistlösning genom styrelsenArtikel 66. Skyndsamt förfarandeArtikel 67. Utbyte av informationArtikel 68. Europeiska dataskyddsstyrelsenArtikel 69. OberoendeArtikel 70. Styrelsens uppgifterArtikel 71. RapporterArtikel 72. FörfarandeArtikel 73. OrdförandeArtikel 74. Ordförandens uppgifterArtikel 75. SekretariatetArtikel 76. Konfidentialitet
KAPITEL VIII Rättsmedel, ansvar och sanktioner (77-84)
Artikel 77. Rätt att lämna in klagomål till en tillsynsmyndighetArtikel 78. Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslutArtikel 79. Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträdeArtikel 80. Företrädande av registreradeArtikel 81. Vilandeförklaring av förfarandenArtikel 82. Ansvar och rätt till ersättningArtikel 83. Allmänna villkor för påförande av administrativa sanktionsavgifterArtikel 84. Sanktioner
KAPITEL IX Bestämmelser om särskilda behandlingssituationer (85-91)
Artikel 85. Behandling och yttrande- och informationsfrihetenArtikel 86. Behandling och allmänhetens tillgång till allmänna handlingarArtikel 87. Behandling av nationella identifikationsnummerArtikel 88. Behandling i anställningsförhållandenArtikel 89. Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamålArtikel 90. TystnadspliktArtikel 91. Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
KAPITEL X Delegerade akter och genomförandeakter (92-93)
Artikel 92. Utövande av delegeringenArtikel 93. Kommittéförfarande
KAPITEL XI Slutbestämmelser (94-95)
Artikel 94. Upphävande av direktiv 95/46/EGArtikel 95. Förhållande till direktiv 2002/58/EGArtikel 96. Förhållande till tidigare ingångna avtalArtikel 97. KommissionsrapporterArtikel 98. Översyn av andra unionsrättsakter om dataskyddArtikel 99. Ikraftträdande och tillämpning
GDPR > Artikel 32. Säkerhet i samband med behandlingen
Hämta PDF

Artikel 32 GDPR. Säkerhet i samband med behandlingen

1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

Riktlinjer & Case Law Relaterade texter
Riktlinjer & Case Law Relaterade texter

a) pseudonymisering och kryptering av personuppgifter,

ISO 27701 Riktlinjer & Case Law
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.


för att komma åt hela textenу

Riktlinjer & Case Law

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.


för att komma åt hela textenу

c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.


för att komma åt hela textenу

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization’s policies and procedures.


för att komma åt hela textenу

2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

ISO 27701 Skälen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.


för att komma åt hela textenу

Skälen

(83) För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

3. Anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

ISO 27701 Relaterade texter
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


för att komma åt hela textenу

Relaterade texter

4. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.


för att komma åt hela textenу

Allmän dataskyddsförordning (GDPR)

Skälen Riktlinjer & Case Law Lämna en kommentar
Skälen

(83) För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(74) Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

(75) Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(76) Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(77) Vägledning för den personuppgiftsansvariges eller personuppgiftsbiträdets genomförande av lämpliga åtgärder och för påvisande av att behandlingen är förenlig med denna förordning, särskilt när det gäller att kartlägga den risk som är förknippad med behandlingen och bedöma dess ursprung, art, sannolikhetsgrad och allvar samt fastställa bästa praxis för att minska risken, kan framför allt ges genom godkända uppförandekoder, godkänd certifiering, riktlinjer från styrelsen eller genom anvisningar från ett dataskyddsombud. Styrelsen kan också utfärda riktlinjer för uppgiftsbehandling som inte bedöms medföra någon hög risk för fysiska personers rättigheter och friheter samt ange vilka åtgärder som i sådana fall kan vara tillräckliga för att bemöta en sådan risk.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]