Правовое регулирование инфраструктурной безопасности закреплено в Общем регламенте по защите данных (Далее — Регламент), в соответствии с которым, на контролера персональных данных возложена обязанность по применению «соответствующих технических и организационных мер» (privacy by design). Содержание таких мер раскрывается в Регламенте через следующие примеры:

  • Псевдонимизация данных в целях осуществления принципов защиты данных;
  • Минимизация данных (в том числе ст.5 п.1).

Кроме того, на организацию, обрабатывающую персональные данные возложена обязанность (ст. 25 п.1 GDPR) по учету рисков на всех этапах жизненного цикла их обработки при:

  • проектировании дизайна процесса обработки;
  • формировании функциональных требований к ИТ-системам;
  • настройке механизмов безопасности в ИТ-системах и средствах защиты, при передаче данных в архивное хранение и при уничтожении данных;

Вышеуказанные технические и организационные меры необходимы для того, чтобы обрабатывались только те персональные данные, обработка которых необходима для определенной цели (ст.25. п.2. GDPR). Также от цели использования персональных данных зависит срок их хранения и режим доступа к ним. То есть эти меры должны гарантировать то, что по умолчанию доступ к персональным данным не будет предоставлен неопределенному числу физических лиц без вмешательства этого индивидуума.



И наконец, на контролера и процессора возложена обязанность по обеспечению надлежащего уровня безопасности (ст. 30 GDPR), который был бы соизмерим с существующими рисками и включал в себя, кроме прочего:

  • псевдонимизация и криптографическая защита персональных данных;
  • средства для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
  • средства своевременного восстановления доступности и доступа к персональным данным в случае природного или технического инцидента;
  • процедура регулярной проверки и оценки эффективности технических и организационных мер, обеспечивающая безопасность обработки.

Автор:

Никита Тепикин

партнер практики IT-право

Читайте также: GDPR Как Угроза Бизнесу

Политика конфиденциальности