In order to guarantee an adequate level of data security, the controller and the processor must determine the extent to which personal data requires to be protected and adopt the technical and organisational measures that are appropriate to the risk.
The extent to which personal data requires to be protected shall be assessed according to the following criteria: a. the type of the data being processed; b. the purpose, nature, extent and circumstances of the processing.
The risk for the personality or fundamental rights of the data subject shall be assessed according to the following criteria: a. the causes of the risk; b. the main threats; c. measures taken or planned to reduce the risk; d. the probability and seriousness of a breach of data security despite the measures taken or planned.
When determining the technical and organisational measures, the following criteria shall also be considered: a. the state of the art; b. the implementation costs.
The extent to which personal data requires to be protected, the risk and the technical and organisational measures shall be reviewed throughout the period of processing. The measures shall be adjusted if necessary.
Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
Der Schutzbedarf der Personendaten wird nach den folgenden Kriterien beurteilt: a. Art der bearbeiteten Daten; b. Zweck, Art, Umfang und Umstände der Bearbeitung.
Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den folgenden Kriterien beurteilt: a. Ursachen des Risikos; b. hauptsächliche Gefahren; c. ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern; d. Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.
Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem die folgenden Kriterien berĂĽcksichtigt: a. Stand der Technik; b. Implementierungskosten.
Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Die Massnahmen sind nötigenfalls anzupassen.
Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
Le besoin de protection des données personnelles est évalué en fonction des critères suivants: a. le type de données traitées; b. la finalité, la nature, l’étendue et les circonstances du traitement.
Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants: a. les causes du risque; b. les principales menaces; c. les mesures prises ou prévues pour réduire le risque; d. la probabilité et la gravité d’une violation de la sécurité des données, malgré les mesures prises ou prévues.
Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte: a. l’état des connaissances; b. les coûts de mise en œuvre.
Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.
Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessitĂ di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.
La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri: a. tipo di dati trattati; b. scopo, tipo, portata e circostanze del trattamento.
Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri: a. cause del rischio; b. pericolo sostanziale; c. provvedimenti adottati o previsti per minimizzare il rischio; d. probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.
Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri: a. lo stato della tecnica; b. le spese di implementazione.
La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l’intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.
