Suunnistus
GDPR > 27 artikla. Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden edustajat
Lataa PDF

27 artikla GDPR. Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden edustajat

Article 27 GDPR. Representatives of controllers or processors not established in the Union

1. Sovellettaessa 3 artiklan 2 kohtaa rekisterinpitäjän tai henkilötietojen käsittelijän on nimettävä kirjallisesti edustaja unionin aluetta varten.

1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.

Liittyvä artikkeli

2. Tämän artiklan 1 kohdassa säädettyä velvollisuutta ei sovelleta

2. The obligation laid down in paragraph 1 of this Article shall not apply to:

a) jos käsittely on satunnaista eikä kohdistu laajamittaisesti 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin eikä todennäköisesti aiheuta käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset huomioon ottaen riskiä luonnollisen henkilön oikeuksien ja vapauksille; tai

(a) processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or

Liittyvä artikkeli

b) viranomaisiin tai julkishallinnon elimiin.

(b) a public authority or body.

Liittyvä artikkeli

3. Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen yhteydessä tai joiden käyttäytymistä seurataan.

3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are.

Liittyvä artikkeli

4. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava edustajalle toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä rekisterinpitäjän tai henkilötietojen käsittelijän lisäksi tai sijasta kaikissa kysymyksissä, jotka liittyvät käsittelyyn, tämän asetuksen noudattamisen varmistamiseksi.

4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.

5. Se, että rekisterinpitäjä tai henkilötietojen käsittelijä nimeää edustajan, ei rajoita oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää tai henkilötietojen käsittelijää vastaan.

5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.

ISO 27701 Perustelukappaleet Jätä kommentti
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 27 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.


pääset käsiksi koko tekstiin

Perustelukappaleet

(80) Jos unionin alueella olevien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionin alueella riippumatta siitä, edellytetäänkö rekisteröidyltä maksua, tai heidän käyttäytymisensä seurantaan niiltä osin kuin käyttäminen tapahtuu unionissa, rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimettävä edustaja, paitsi jos käsittely on satunnaista eikä kohdistu laajasti henkilötietojen erityisryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin, eikä siihen todennäköisesti liity luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä ottaen huomioon käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset tai jos rekisterinpitäjä on viranomainen tai julkishallinnon elin. Edustajan olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset. Edustaja olisi nimenomaisesti nimettävä rekisterinpitäjän tai henkilötietojen käsittelijän antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tämän asetuksen mukaiset velvoitteet. Edustajan nimeämisellä ei ole vaikutusta tämän asetuksen mukaisiin rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksiin tai vastuisiin. Edustajan olisi suoritettava tehtävänsä rekisterinpitäjältä tai henkilötietojen käsittelijältä saadun toimeksiannon mukaisesti, mukaan lukien yhteistyö toimivaltaisten valvontaviranomaisten kanssa kaikissa tämän asetuksen noudattamisen varmistamiseksi toteutettavissa toimissa. Nimettyyn edustajaan olisi sovellettava täytäntöönpanotoimia, jos rekisterinpitäjä tai henkilötietojen käsittelijä ei noudata asetuksen säännöksiä.

(80) Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor.

Jätä kommentti