Перейти до змісту

ГЛАВА IV. Контролер і оператор

Секція 2. Безпека персональних даних


Стаття 32. Безпека опрацювання

  1. Зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяги, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які викликає опрацювання, контролер і оператор повинні вжити необхідних технічних і організаційних заходів для забезпечення рівня безпеки відповідно до ризику, в тому числі, між іншим, у належних випадках:
    1. використання псевдонімів і шифрування персональних даних;
    2. здатність забезпечувати безперервну конфіденційність, цілісність, наявність та стійкість систем та послуг опрацювання;
    3. здатність вчасно відновити наявність і доступ до персональних даних у випадку технічної аварії;
    4. процес для регулярного тестування, оцінювання та аналізу результативності технічних і організаційних заходів для гарантування безпеки опрацювання.
  2. Оцінюючи належний рівень безпеки, необхідно враховувати, зокрема, ризики, пов'язані з опрацюванням, зокрема такі, що виникають внаслідок випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано.
  3. Дотримання затверджених кодексів поведінки, як вказано в статті 40, чи затверджених механізмів сертифікації, як вказано в статті 42, можна використовувати як елемент підтвердження відповідності вимогам, встановленим у параграфі 1 цієї статті.
  4. Контролер і оператор повинні вжити заходів для того, щоб забезпечити, що будь-яка фізична особа, яка діє під керівництвом контролера або оператора і має доступ до персональних даних, не опрацьовує їх, за винятком, якщо вона здійснює це за інструкціями контролера, окрім випадків, коли вона зобов'язана діяти таким чином відповідно до законодавства Союзу або держави-члена.