Схема сертифікації на відповідність GDPR (один із можливих варіантів - за змістом робіт) або Матриця перехресних посилань (Cross-reference matrix) Certification Scheme 0
1
Foreword (вступна частина)
Scope (сфера дії)
REGULATION EU 2016/679 (GDPR) Art.1 Subject-matter and bjectives GDPR Art. 2 Material scope GDPR Art. 40 Codes of conduct Art. 42 Certification
Cт. 1 Предмет і цілі Регламенту
Art. 24 (3) Subject-matter and objectives GDPR Art. 25(3) Data protection by design and by default Art. 28(5) Processor
Ст. 24 (3) Предмет і цілі Регламенту
Art. 42 Certification 2
Ст. 2 Матеріальна сфера дії Регламенту Ст. 40 Кодекс поведінки у сфері ЗПД Ст. 42 Сертифікація у сфері ЗПД
Ст. 25 (3) Захист ПД «за замовчуванням» та «за призначенням» Ст. 28 Процесор ПД (або розпорядник ПД відповідно до ЗУ «Про ЗПД) Ст. 42 Сертифікація у сфері ЗПД
References (посилання на керівні документи)
3
Terms and definitions (терміни та визначення)
4 Organization and Structure (суб’єкти та структури) 4.1 Leadership and commitment (відповідальні органи та зобов’язання) Policy (стратегії захисту ПД)
4.2 4.2.1 Establishing the personal data protection policy (встановлення політики захисту ПД)
Art. 24 Subject-matter and objectives GDPR
Ст. 24 Предмет і цілі Регламенту
4.2.2 Communicating the personal data protection policy (зв’язки між політиками захисту ПД) 4.3 Organizational roles, responsibilities
and authorities (організаційні ролі,
Art. 24 Subject-matter and objectives GDPR
Ст. 24 Предмет і цілі Регламенту
Art. 28 Processor
Ст. 28 Процесор ПД (або розпорядник ПД відповідно до ЗУ «Про ЗПД) Ст. 37 Призначення особи, що організовує роботи, пов’язані із захистом ПД при їх обробці Ст. 38 Позиція особи, що організовує роботи, пов’язані із захистом ПД при їх обробці Ст. 39 Завдання особи, що організовує роботи, пов’язані із захистом ПД при їх обробці
обов’язки та повноваження 4.3.1 Organization and responsibilities (організація та відповідальності) 4.3.2 Data Protection Officer (особа, що організовує роботи, пов’язані із захистом ПД при їх обробці)
Art. 37 Designation of the data protection officer Art. 38 Position of the data protection officer Art. 39 Tasks of the data protection officer
5 Personal Data Risk Management (управління ризиками для ПД) 5.1 Art. 24 Subject-matter and General (загальні положення) objectives GDPR Art. 28 Processor 5.2
Data Protection Impact Assessment (оцінка впливу на захист ПД)
5.3
Compliance obligations (дотримання
Art. 35 Data protection impact assessment Art. 36 Prior consultation Art. 6 Lawfulness of processing
Ст. 24 Предмет і цілі Регламенту Ст. 28 Процесор ПД (або розпорядник ПД відповідно до ЗУ «Про ЗПД) Ст. 35 Оцінка впливу на захист ПД Ст. 36 Попередня консультація з наглядовим органом у сфері ЗПД Ст. 6 Законність обробки ПД
зобов’язань) Art. 24 Subject-matter and objectives GDPR
Ст. 24 Предмет і цілі Регламенту
Art. 28 Processor 5.4
Managing Personal Data Breaches (регулювання (управління) порушеннями, пов’язаними з ПД при їх обробці)
Art. 33 Notification of a personal data breach to the supervisory authority Art. 34 Communication of a personal data breach to the data subject
6 Management System (система управління) 6.1 Art. 5 Principles relating to Manual and procedures (керівництво та процедури) 6.2
Documented information (документально підтверджена інформація)
6.3
Performance evaluation (оцінка ефективності)
6.4
Internal audit (внутрішній контроль)
6.5
Nonconformity and corrective action
(невідповідності та коригувальні дії) Complaints (скарги) Management review (управлінська практика) 6.8 Communication (зв'язок) 6.8.1 General (загальні положення) 6.8.2 Internal communication (внутрішня комунікація) 6.8.3 External communication (зовнішня комунікація) 6.6 6.7
processing of personal data Art. 30 (register) Records of processing activities Art. 35 Data protection impact assessment (DPIA) Art. 24 Subject-matter and objectives GDPR Art. 24 Subject-matter and objectives GDPR
Ст. 28 Процесор ПД (або розпорядник ПД відповідно до ЗУ «Про ЗПД) Ст. 33 Повідомлення наглядового органу про порушення захисту ПД Ст. 34 Повідомлення суб’єкта ПД про порушення захисту ПД
Ст. 5 Принципи обробки ПД Ст. 30 Записи при обробці ПД Ст. 35 Оцінка впливу на захист ПД Cт. 24 Предмет і цілі Регламенту Cт. 24 Предмет і цілі Регламенту
Art. 24 Subject-matter and objectives GDPR
Cт. 24 Предмет і цілі Регламенту
Art. 6 Lawfulness of processing
Ст. 6 Законність обробки ПД
Art. 7 Conditions for consent
Ст. 7мУмови надання згоди
Art. 12 Transparent information, communication and modalities for the exercise of the rights of the data subject Art. 13 Information to be provided where personal data are collected from the data subject Art. 14 Information to be provided where personal data have not been obtained from the data subject Art. 15 Right of access by the data subject Art. 16 Right to rectification Art. 17 Right to erasure (‘right to be forgotten’) Art. 18 Right to restriction of processing Art. 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing Art. 20 Right to data portability Article 21 Right to object Art. 22 Automated individual decision-making, including profiling Art. 23 Restrictions Art. 34 Communication of a personal data breach to the data subject
7 Product and/or service control (контроль послуг та/або сервісів)
Ст. 12 Прозорість обробки ПД, повідомлення та форми реалізації прав суб'єкта даних Ст. 13 Інформація, яку необхідно надати у разі збирання ПД від суб'єкта даних Ст. 14 Інформація, яку необхідно надати у разі отримання ПД не від суб'єкта даних Ст. 15 Право суб'єкта ПД на доступ до даних та інформації Ст. 16 Право на виправлення Ст. 17 Право на видалення ПД ("право бути забутим") Ст. 18 Право на обмеження обробки ПД Ст. 19 Зобов'язання щодо повідомлення про виправлення чи видаленння ПД або обмеження їх обробки Ст. 20 Право на мобільність ПД Ст. 21. Право на заперечування щодо обробки ПД Ст. 22 Автоматизоване рішення, що має правові наслідки, у т.ч. профайлінг Ст. 23 Обмеження обробки ПД Ст. 34 Повідомлення суб’єкта ПД про порушення захисту ПД
7.1
Requirements for products and service (вимоги до послуг та сервісів)
7.2
Design and development of products (розробка та створення послуг та сервісів)
Art. 5 Principles relating to processing of personal data Art. 7 Conditions for consent Art. 12 Transparent information, communication and modalities for the exercise of the rights of the data subject Art. 13 Information to be provided where personal data are collected from the data subject Art. 14 Information to be provided where personal data have not been obtained from the data subject Art. 15 Right of access by the data subject Art. 16 Right to rectification Art. 17 Right to erasure (‘right to be forgotten’) Art. 18 Right to restriction of processing Art. 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing Art. 20 Right to data portability Article 21 Right to object Art. 22 Automated individual decision-making, including profiling
Ст. 5 Принципи обробки ПД Ст. 7 Умови надання згоди Ст. 12 Прозорість обробки ПД, повідомлення та форми реалізації прав суб'єкта даних Ст. 13 Інформація, яку необхідно надати у разі збирання ПД від суб'єкта даних Ст. 14 Інформація, яку необхідно надати у разі отримання ПД не від суб'єкта даних Ст. 15 Право суб'єкта ПД на доступ до даних та інформації Ст. 16 Право на виправлення Ст. 17 Право на видалення ПД ("право бути забутим") Ст. 18 Право на обмеження обробки ПД Ст. 19 Зобов'язання щодо повідомлення про виправлення чи видаленння ПД або обмеження їх обробки Ст. 20 Право на мобільність ПД Ст. 21. Право на заперечування щодо обробки ПД Ст. 22 Автоматизоване рішення, що має правові наслідки, у т.ч. профайлінг
Art. 23 Restrictions Art. 25 Data protection by design and by default Art. 32 Security of processing Art. 36 Prior consultation 7.3
Release of products and/or services (впровадження послуг та/або сервісів)
Art. 30 Records of processing activities
Ст. 23 Обмеження обробки ПД Ст. 25 Захист ПД за призначенням і за замовчуванням Ст. 32 Безпека обробки ПД Ст. 36 Попередні консультації з уповноваженим органом із ЗПД Ст. 30 Документування процедур обробки ПД
8 Operational control (операційний контроль як контроль технологічного процесу, що здійснюється під час виконання певних операцій, пов’язаних з обробкою ПД, або після їх завершення) 8.1 Cт 5 Принципи обробки ПД Processing control (контроль обробки ПД) Art. 5 Principles relating to processing of personal data Art. 24 Subject-matter and objectives GDPR Art. 12 Transparent information, communication and modalities for the exercise of the rights of the data subject Art. 13 Information to be provided where personal data are collected from the data subject Art. 14 Information to be provided where personal data have not been obtained from the data subject Art. 15 Right of access by the data subject Art. 16 Right to rectification Art. 17 Right to erasure (‘right to be forgotten’) Art. 18 Right to restriction of processing
Ст. 24 Предмет і цілі Регламенту Ст. 12 Прозорість обробки ПД, повідомлення та форми реалізації прав суб'єкта даних Ст. 13 Інформація, яку необхідно надати у разі збирання ПД від суб'єкта даних Ст. 14 Інформація, яку необхідно надати у разі отримання ПД не від суб'єкта даних Ст. 15 Право суб'єкта ПД на доступ до даних та інформації Ст. 16 Право на виправлення Ст. 17 Право на видалення ПД ("право бути забутим") Ст. 18 Право на обмеження обробки ПД
Art. 19 Notification obligation regarding rectification or erasure of personal data or restriction of processing Art. 20 Right to data portability Article 21 Right to object Art. 22 Automated individual decision-making, including profiling Art. 23 Restrictions Art. 32 Security of processing Art.36 Prior consultation 8.2
Control of subcontractors and service providers (контроль субпідрядників та постачальників послуг)
Art. 27 Representatives of controllers or processors not established in the Union Art. 28 Processor Art. 44 General principle for transfers Art. 45 Transfers on the basis of an adequacy decision Art.46 Transfers subject to appropriate safeguards
9 Resources (ресурси, можливості) 9.1 Infrastructure (інфраструктура)
Art. 24 (2) Subject-matter and objectives GDPR 2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1
Ст. 19 Зобов'язання щодо повідомлення про виправлення чи видаленння ПД або обмеження їх обробки Ст. 20 Право на мобільність ПД Ст. 21. Право на заперечування щодо обробки ПД Ст. 22 Автоматизоване рішення, що має правові наслідки, у т.ч. профайлінг Ст. 23 Обмеження обробки ПД Ст. 32 Безпека обробки ПД Ст. 36 Попередня консультація з уповноваженим органом із ЗПД Ст. 27 Представники процесорів або контролерів ПД (або володілець чи розпорядник ПД відповідно до ЗУ «Про ЗПД) Ст. 28 Процесор ПД (або володілець ПД відповідно до ЗУ «Про ЗПД») Ст. 44 Загальні принципи передачі ПД Ст. 45 Передача ПД на підставі рішення про відповідність Ст. 46 Передача ПД з урахуванням належних гарантій Cт. 24 (2) Предмет і цілі Регламенту 2. У разі їхньої пропорційності щодо обробки даних, вказані в параграфі 1 заходи повинні передбачати реалізацію
shall include the implementation of appropriate data protection policies by the controller Art. 25 (1) (2) Data protection by design and by default (1) Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement dataprotection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. (2) The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the
відповідних політик щодо захисту даних контролером Ст. 25 (1) (2) Захист даних «за призначенням» і «за замовчуванням» (1) Зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяг, контекст і цілі обробки ПД, а також ризики різної ймовірності та наслідки для прав і свобод фізичних осіб, які може спричинити обробка ПД, контролер повинен, у момент визначення засобів обробки даних а в ході обробки, вжити необхідних технічних і організаційних заходів, таких як використання псевдонімів, призначених для результативної реалізації принципів захисту ПД, зокрема, мінімізації даних, і включення необхідних гарантій до обробки для досягнення відповідності вимогам цього Регламенту та забезпечення захисту прав суб’єктів даних.
(2) Контролер повинен вжити відповідних технічних і організаційних заходів для гарантування того, що за замовчуванням опрацьовують лише ті ПД, які є необхідними для кожної спеціальної цілі їх обробки. Такий
processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons Art. 28 Processor Art. 32 1(d) Security of processing
9.2
обов’язок застосовують до кількості зібраних ПД, ступеня їхнього опрацювання, періоду їхнього зберігання та їхньої доступності. Зокрема, такими заходами необхідно гарантувати ненадання за замовчуванням доступу до ПД без звернення особи до невизначеної кількості фізичних осіб Ст. 28 Процесор ПД (або розпорядник ПД відповідно до ЗУ «Про ЗПД) Ст. 32 1(d) Безпека обробки ПД
Personnel (персонал)
9.2.1 Competence (компетенція)
9.2.2 Awareness (розуміння)
Art. 24 Subject-matter and objectives GDPR Art. 25 Data protection by design and by default Art. 37 Designation of the data protection officer Art. 32 (4) Security of processing
Ст. 24 Предмет і цілі Регламенту Ст. 25 Захист ПД за призначенням і за замовчуванням Ст. 37 Призначення особи, що організовує роботи, пов’язані із захистом ПД при їх обробці Ст 32 (4) Безпека обробки ПД