Navigace
ONOOÚ (GDPR) > Статья 27. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе
Stáhnout

Статья 27 GDPR. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе

1. В случаях, указанных в Статье 3 (2), контролёр или процессор должны письменно назначить представителя в Союзе.

Související texty

2. Обязательство, изложенное в параграфе 1 настоящей статьи, не распространяется на:

(a) обработку, которая носит нерегулярный характер, не включает обработку в большом масштабе специальных категорий данных, указанных в статье 9(1), или обработку персональных данных, касающихся судимостей и правонарушений, указанных в статье 10, и которая с малой долей вероятности может с учетом своего характера, контекста, масштаба и целей привести к риску для прав и свобод физических лиц; или

Související texty

(b) государственные органы или учреждения.

Související texty

3. Представитель должен базироваться в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением товаров или услуг, или чье поведение наблюдается.

Související texty

4. Представитель должен быть уполномочен контролёром или процессором действовать в качестве контактного лица вместо контролёра или процессора или в наряду с ними по всем вопросам, связанным с обработкой в целях обеспечения соблюдения настоящего Регламента, к которому могут обращаться, в частности, надзорные органы и субъекты данных.

5. Назначение представителя контролёром или процессором не исключает юридических действий, которые могут быть инициированы против контролёра или процессора.

ISO 27701 Body odůvodnění Zanechat komentář
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 27 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.

(EN) […]


to read the full text

Body odůvodnění

(80) Если контролёр или процессор, не имеющий организационной единицы в Союзе, обрабатывает персональные данные субъектов данных, находящихся в Союзе, и его деятельность связана с предложением товаров или услуг субъектам данных, находящимся в Союзе (независимо от того, требуется ли от субъектов данных оплата) или с отслеживанием их поведения (конкретно, поведения на территории Союза), то контролёр или процессор должен назначить представителя, за исключением случаев, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработку персональных данных, относящихся к уголовным судимостям и преступлениям, и вряд ли приведет к риску для прав и свобод физических лиц с учетом характера, контекста, масштаба и целей обработки, или когда контролёр является государственным органом или учреждением. Представитель должен действовать от имени контролёра или процессора, и к нему может обратиться любой надзорный орган. Представитель должен быть в явной форме уполномочен, посредством письменного предписания контролёра или процессора, действовать от его имени в отношении его обязанностей по настоящему Регламенту. Назначение представителя не влияет на юридическую или материальную ответственность контролёра или процессора по данному Регламенту. Такой представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или процессора, в том числе сотрудничать с компетентными надзорными органами в отношении любых действий, предпринятых в целях обеспечения соответствия настоящему Регламенту. В случае несоответствия контролёра или процессора Регламенту, к назначенному представителю применяется исполнительное производство.

Zanechat komentář
[js-disqus]