Článok 13 GDPR. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby
Článok 14 GDPR. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby
1. Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie uvedené v článkoch 13 a 14, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to articles 26(1), 26(2), and 26(3) GDPR:
7.2.7 Joint PII controller
Control
The organization should determine respective roles and responsibilities for the processing of PII (including PII protection and security requirements) with any joint PII controller.
Implementation guidance
Roles and responsibilities for the processing of PII should be determined in a transparent manner.
[…]
Se connecter
lire le texte complet
(79) Ochrana práv a slobôd dotknutých osôb, ako aj povinnosti a zodpovednosť prevádzkovateľov a sprostredkovateľov, a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si vyžaduje jasné rozdelenie povinností podľa tohto nariadenia vrátane prípadov, v ktorých prevádzkovateľ určuje účely a prostriedky spracúvania spoločne s inými prevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.
CJUE, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, aff. C-210/16 (2018).
(EN) The expression “joint controller” is one of the most difficult to grasp in practice. It is nonetheless essential to delimit the role of the parties involved in the processing of personal data to determine their responsibilities under the General Data Protection Regulation (GDPR).
[…]
Se connecter
lire le texte complet