Статья 22. Безопасность обработки

Статья 22
Безопасность обработки

 

1. Государства-члены ЕС предусматривают обязанность компетентных органов разработать надлежащие технические и организационные мероприятия по защите персональных данных от случайного или незаконного уничтожения, случайной утраты, изменений, несанкционированного раскрытия или доступа, в частности, если обработка предполагает передачу по сети или предоставление прямого автоматизированного доступа, а также от любых иных незаконных форм обработки данных, принимая во внимание риски, связанные с обработкой и характером данных, которые подлежат защите. С учетом уровня развития техники и стоимости внедрения такие мероприятия должны гарантировать уровень безопасности, эквивалентный рискам, связанным с обработкой и характером данных, которые подлежат защите.

2. Что касается автоматизированной обработки персональных данных, каждое государство-член ЕС принимает меры, направленные на:

(a) недопущение доступа неуполномоченных лиц к оборудованию, которое используется в целях обработки персональных данных (контроль доступа к оборудованию);

(b) предотвращение несанкционированного считывания, копирования, изменения или удаления носителей данных (контроль носителей данных);

(c) предотвращение несанкционированного ввода данных и несанкционированной проверки, изменения или удаления хранящихся персональных данных (контроль хранения);

(d) предотвращение использования автоматизированных систем обработки данных неуполномоченными лицами, которые используют оборудование передачи данных (контроль пользователей);

(e) обеспечение того, что лица, уполномоченные использовать автоматизированные системы обработки данных, имеют доступ только к тем данным, на которые распространяется их разрешение (контроль доступа к данным);

(f) обеспечение возможности проверки и установления, какому органу персональные данные были или могли быть переданы или предоставлены с использованием оборудования передачи данных (контроль передачи);

(g) обеспечение последующей возможности проверки и установления того, какие персональные данные были введены в автоматизированные системы обработки данных, когда и кем они были введены (контроль ввода данных);

(h) предотвращение несанкционированного считывания, копирования, изменения или удаления персональных данных в ходе передачи персональных данных или в ходе транспортировки носителей данных (контроль транспортировки);

(i) обеспечение того, чтобы установленные системы в случае перебоев в их работе могли быть восстановлены (восстановление);

(j) обеспечение того, чтобы функции системы предусматривали сообщение о появлении дефектов в осуществлении функций системы (надежность), а также невозможность искажения хранящихся данных вследствие неисправностей системы (целостность). 

3. Государства-члены ЕС могут предусмотреть назначение лиц, осуществляющих обработку данных, только в том случае, если такие лица гарантируют выполнение требуемых технических и организационных мероприятий, указанных в параграфе 1 настоящей Статьи, и соблюдение инструкций согласно Статье 21 настоящего Рамочного Решения. В этих целях компетентный орган контролирует лиц, осуществляющих обработку данных.

4. Личные данные могут быть подвергнуты обработке только на основе законодательного акта или письменного договора.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.