Статья 32 Безопасность обработки

О чём эта статья

Статья 32 — безопасность обработки. Технические и организационные меры защиты данных.

32(1) — Что должен сделать контролёр

С учётом состояния техники, стоимости, характера, объёма, контекста и целей обработки, а также риска для прав и свобод субъектов, контролёр и обработчик должны реализовать надлежащие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, при необходимости:

(a) псевдонимизация и шифрование персональных данных;

(b) способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем обработки;

(c) способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента;

(d) процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер.

32(2) — Оценка риска

При оценке надлежащего уровня безопасности должны учитываться, в частности, риски от обработки, включая случайное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к персональным данным.

32(3) — Кодексы и сертификация

Соблюдение утверждённого кодекса поведения (Art. 40) или сертификации (Art. 42) может служить доказательством соблюдения 32(1).

32(4) — Контроль за персоналом

Контролёр и обработчик должны принимать меры, чтобы любое лицо под их полномочиями, имеющее доступ к данным, обрабатывало их только по инструкции контролёра.

Почему это важно

Большинство кейсов нарушения Art. 32 связаны с утечками данных — сайт хранил пароли в plain text, потерял базу пользователей, сделал API публичным. Штрафы по Art. 32 регулярно достигают миллионов евро.

Для государственных сайтов с категориями данных Art. 9-10 стандарт ещё выше: меры безопасности должны быть проактивными, а не «достаточными в среднем».