Artículo 26 📖 RGPD. Corresponsables del tratamiento

Стаття 26 GDPR. Спільні контролери

1. Якщо два чи декілька контролерів спільно визначають цілі та засоби опрацювання, вони є спільними контролерами. Вони повинні на умовах прозорості встановити свої відповідні обов’язки, що відображають зміст зобов’язань за цим Регламентом, зокрема, щодо реалізації прав суб’єкта даних і їхніх відповідних обов’язків щодо надання інформації, вказаної в статтях 13 і 14, шляхом досягнення домовленості між ними, за винятком, якщо, та оскільки, відповідні обов’язки контролерів не визначено законодавством Союзу або держави-члена, дія якого поширюється на контролерів. За домовленістю можна призначити координаційний центр для суб’єктів даних.

Textos enlazados

Стаття 13 GDPR. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних

Стаття 14 GDPR. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта даних

2. Домовленість, вказана в параграфі 1, повинна належним чином відображати відповідні ролі та відносини спільних контролерів щодо суб’єктів даних. Сутність домовленості необхідно повідомити суб’єкту даних.

Textos enlazados

3. Незалежно від умов домовленості, вказаних у параграфі 1, суб’єкт даних може скористатися своїми правами за цим Регламентом щодо та проти кожного з контролерів.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

Comentario de expertos ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario

Comentario de expertos

(EN) The expression “joint controller” is one of the most difficult to grasp in practice. It is nonetheless essential to delimit the role of the parties involved in the processing of personal data to determine their responsibilities under the General Data Protection Regulation (GDPR).

…

Iniciar sesión
para acceder al texto completo

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to articles 26(1), 26(2), and 26(3) GDPR:

7.2.7 Joint PII controller

Control

The organization should determine respective roles and responsibilities for the processing of PII (including PII protection and security requirements) with any joint PII controller.

Implementation guidance

Roles and responsibilities for the processing of PII should be determined in a transparent manner.

…

Iniciar sesión
para acceder al texto completo

Considerandos

(79) Захист прав і свобод суб'єктів даних, а також обов'язки та відповідальність контролерів і операторів, також у зв'язку з моніторингом наглядових органів та за допомогою їхніх засобів, вимагає чіткого розподілу обов'язків за цим Регламентом, у тому числі тоді, коли контролер визначає цілі та засоби опрацювання спільно з іншими контролерами або коли операцію з опрацювання здійснюють від імені контролера.

Ley de Directrices y caso

(EN)

Documents

Article 29 Working Party, Opinion 1/2010 on the concepts of «controller» and «processor» (2010).

EDPS, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

ICO, Right of Access (2020).

ICO, Data sharing: a code of practice (2020).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Tietosuojavaltuutettu v Jehovan todistajat, C-25/17 (2018):

The existence of joint responsibility does not necessarily imply equal responsibility of the various operators involved in the processing of personal data. On the contrary, those operators may be involved at different stages of that processing of personal data and to different degrees, so that the level of responsibility of each of them must be assessed with regard to all the relevant circumstances of the particular case. Actual access to personal data is not a prerequisite for joint responsibility (p. 68-72).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

Deja un comentario

[js-disqus]