a) behandling som skjer leilighetsvis, som ikke omfatter behandling i stor skala av særlige kategorier av opplysninger som nevnt i artikkel 9 nr. 1, eller behandling av personopplysninger om straffedommer eller lovovertredelser som nevnt i artikkel 10, og som sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller
4. Den behandlingsansvarlige eller databehandleren skal gi representanten fullmakt til å være den, i tillegg til eller istedenfor den behandlingsansvarlige eller databehandleren, som især tilsynsmyndigheter og registrerte kan henvende seg til ved spørsmål om behandlingen, med henblikk på å sikre overholdelse av denne forordning.
80) Dersom en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, behandler personopplysninger om registrerte som befinner seg i Unionen, og behandlingsaktivitetene gjelder tilbud av varer og tjenester til nevnte registrerte i Unionen, uavhengig av om det kreves betaling fra disse eller ikke, eller monitorering av deres atferd, dersom atferden finner sted i Unionen, bør den behandlingsansvarlige eller databehandleren utpeke en representant, med mindre behandlingen skjer leilighetsvis, ikke omfatter behandling i stor skala av særlige kategorier av personopplysninger eller behandling av personopplysninger om straffedommer og lovovertredelser, og at behandlingen sannsynligvis ikke vil innebære en risiko for fysiske personers rettigheter og friheter, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, eller om den behandlingsansvarlige er en offentlig myndighet eller et offentlig organ. Representanten bør opptre på vegne av den behandlingsansvarlige eller databehandleren og bør kunne kontaktes av alle tilsynsmyndigheter. Representanten bør utpekes eksplisitt gjennom en skriftlig fullmakt fra den behandlingsansvarlige eller databehandleren til å opptre på deres vegne med hensyn til deres forpliktelser i henhold til denne forordning. Utpekingen av nevnte representant berører ikke den behandlingsansvarliges eller databehandlerens ansvar eller erstatningsansvar i henhold til denne forordning. Nevnte representant bør utføre sine oppgaver i henhold til fullmakten fra den behandlingsansvarlige eller databehandleren, herunder samarbeide med vedkommende tilsynsmyndigheter om eventuelle tiltak som treffes for å sikre at denne forordning overholdes. Den utpekte representanten bør være underlagt håndhevingstiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 27 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.
(EN) […]
(EN) Sign in
to read the full text