Статья 22. Безопасность обработки. Рамочное решение Совета Европейского Союза 2008/977/ПВД от 27.11.2008 о защите персональных данных, обработанных в рамках полицейского и судебного сотрудничества по уголовным делам (отменено)

Статья 22
Безопасность обработки

1. Государства-члены ЕС предусматривают обязанность компетентных органов разработать надлежащие технические и организационные мероприятия по защите персональных данных от случайного или незаконного уничтожения, случайной утраты, изменений, несанкционированного раскрытия или доступа, в частности, если обработка предполагает передачу по сети или предоставление прямого автоматизированного доступа, а также от любых иных незаконных форм обработки данных, принимая во внимание риски, связанные с обработкой и характером данных, которые подлежат защите. С учетом уровня развития техники и стоимости внедрения такие мероприятия должны гарантировать уровень безопасности, эквивалентный рискам, связанным с обработкой и характером данных, которые подлежат защите.

2. Что касается автоматизированной обработки персональных данных, каждое государство-член ЕС принимает меры, направленные на:

(a) недопущение доступа неуполномоченных лиц к оборудованию, которое используется в целях обработки персональных данных (контроль доступа к оборудованию);

(b) предотвращение несанкционированного считывания, копирования, изменения или удаления носителей данных (контроль носителей данных);

(c) предотвращение несанкционированного ввода данных и несанкционированной проверки, изменения или удаления хранящихся персональных данных (контроль хранения);

(d) предотвращение использования автоматизированных систем обработки данных неуполномоченными лицами, которые используют оборудование передачи данных (контроль пользователей);

(e) обеспечение того, что лица, уполномоченные использовать автоматизированные системы обработки данных, имеют доступ только к тем данным, на которые распространяется их разрешение (контроль доступа к данным);

(f) обеспечение возможности проверки и установления, какому органу персональные данные были или могли быть переданы или предоставлены с использованием оборудования передачи данных (контроль передачи);

(g) обеспечение последующей возможности проверки и установления того, какие персональные данные были введены в автоматизированные системы обработки данных, когда и кем они были введены (контроль ввода данных);

(h) предотвращение несанкционированного считывания, копирования, изменения или удаления персональных данных в ходе передачи персональных данных или в ходе транспортировки носителей данных (контроль транспортировки);

(i) обеспечение того, чтобы установленные системы в случае перебоев в их работе могли быть восстановлены (восстановление);

(j) обеспечение того, чтобы функции системы предусматривали сообщение о появлении дефектов в осуществлении функций системы (надежность), а также невозможность искажения хранящихся данных вследствие неисправностей системы (целостность). 

3. Государства-члены ЕС могут предусмотреть назначение лиц, осуществляющих обработку данных, только в том случае, если такие лица гарантируют выполнение требуемых технических и организационных мероприятий, указанных в параграфе 1 настоящей Статьи, и соблюдение инструкций согласно Статье 21 настоящего Рамочного Решения. В этих целях компетентный орган контролирует лиц, осуществляющих обработку данных.

4. Личные данные могут быть подвергнуты обработке только на основе законодательного акта или письменного договора.