GDPR
>
Статья 36. Предварительная консультация
Статья 36 GDPR. Предварительная консультация
Article 36 GDPR. Prior consultation
1. Контролёр должен проконсультироваться с надзорным органом перед обработкой, если оценка воздействия на защиту персональных данных согласно Статье 35 указывает на то, что обработка может привести к возникновению высокой степени риска при отсутствии мер, принятых контролёром для снижения риска.
1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.
2. Если надзорный орган полагает, что запланированная обработка согласно параграфу 1 может нарушить положения настоящего Регламента, в частности, если контролёр в недостаточной степени идентифицировал или снизил риск, надзорный орган в течение не более восьми недель с момента получения запроса о проведении консультации должен предоставить контролёру и в соответствующих случаях лицу, обрабатывающему данные, письменные рекомендации и может осуществлять полномочия, указанные в Статье 58. Указанный срок может быть увеличен на шесть недель с учетом сложности запланированной обработки. Надзорный орган должен проинформировать контролёра и в соответствующих случаях лицо, обрабатывающее данные, об указанном увеличении срока в течение месяца после получения запроса о проведении консультации и указать причины отсрочки. Указанные сроки могут быть приостановлены до тех пор, пока надзорный орган не получит информацию, запрашиваемую в целях консультации.
2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.
3. Консультируясь с надзорным органом в соответствии с параграфом 1, контролёр должен представить надзорному органу:
3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:
(a) когда это применимо, сведения о соответствующих обязанностях контролёра, со-контролёра и процессоров, участвующих в обработке, в частности, для обработки внутри группы компаний;
(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;
(b) сведения о целях и средствах предполагаемой обработки;
(b) the purposes and means of the intended processing;
(c) сведения о мерах и средствах защиты прав и свобод субъектов данных в соответствии с настоящим Регламентом;
(c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;
(d) если применимо, контактные данные инспектора по защите персональных данных;
(d) where applicable, the contact details of the data protection officer;
(f) любую другую информацию, которую запросил надзорный орган.
(f) any other information requested by the supervisory authority.
4. Государства-члены должны консультироваться с надзорным органом при подготовке проекта законодательного акта, который должен быть принят национальным парламентом, или проекта акта надзорного органа, который базируется на таком законодательном акте, если проект касается обработки.
4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.
5. Независимо от параграфа 1 законодательство государства-члена ЕС может обязать контролёров проконсультироваться с надзорным органом, а также получить от него предварительное разрешение на обработку контролёром персональных данных для выполнения задачи в публичном интересе, в том числе при обработке в целях социальной защиты и общественного здравоохранения.
5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.
Общий регламент защиты персональных данных (GDPR) Европейского союза
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
General Data Protection Regulation (EU GDPR)
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.
ISO 27701
Преамбулы
Оставить комментарий
(94) В тех случаях, когда оценка воздействия на защиту персональных данных выявляет, что обработка при отсутствии гарантий, мер безопасности и механизмов снижения риска приведёт к высокой степени риска для прав и свобод физических лиц, и контролёр полагает, что риск не может быть уменьшен разумными средствами с точки зрения доступных технологий и затрат по реализации, необходимо проконсультироваться с надзорным органом до начала обработки. Такой высокий риск с большой вероятностью может быть связан с отдельными видами обработки, а также степенью и частотой обработки, которая может привести к нарушению или вмешательству в права и свободы физического лица. Надзорный орган должен отвечать на запрос о проведении консультаций в течение установленного срока. Однако отсутствие ответа надзорного органа в течение установленного срока не должно наносить ущерба любому вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом, включая полномочия запрета обработки данных. В рамках консультаций результаты оценки воздействия на защиту персональных данных, проводимой в отношении обработки, могут быть предоставлены надзорному органу, в том числе меры по смягчению риска для прав и свобод физических лиц.
(94) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.
(95) Процессор должен оказывать содействие контролёру, когда это необходимо, а также по его запросу, для обеспечения соблюдения обязательств, вытекающих из проведения оценки воздействия на защиту персональных данных, а также из предварительной консультации с надзорным органом.
(95) The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority.
(96) Консультацию с надзорным органом необходимо проводить также при подготовке законодательной или регулятивной меры предусматривающей обработку персональных данных, чтобы обеспечить соответствие планируемой обработки Регламенту и, в частности, минимизировать возможные риски для субъекта данных.
(96) A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject.
[js-disqus]
Url выделенного абзаца скопирован в буфер обмена
Подготовка PDF
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 36 GDPR:
5.2.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна включать в свои заинтересованные стороны те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, субъектов ПИИ.
ПРИМЕЧАНИЕ 1. В число других заинтересованных сторон могут входить клиенты (см. 4.4), контролирующие органы, другие контроллеры PII, процессоры ПИИ и их субподрядчики.
…
Войти
для доступа к полному тексту