第 3 條 GDPR. 領土適用範圍
[…]
2. 本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境 內之資料主體所為涉及如下事項之個人資料處理:
(a) 對歐盟境內之資料主體提供商品或服務,不問是否需要資料主體 付款;
(b) 對於資料主體於歐盟內所為行為之監控。
[…]
(80) 非設立於歐盟之控管者或處理者處理歐盟內資料主體之個人資 料,且其處理活動涉及提供貨品或服務時,不問是否需要資料主體付 款,對該等資料主體或對就其發生於歐盟內行為之監控,控管者或處 理者皆應指定其代表,但該處理係出於偶然、不含括大規模涉及特殊類型之個人資料處理、或涉及前科及犯罪之個人資料的處理,且考量 處理之本質、過程、範圍與目的,其不會對當事人之權利與自由造成 風險、或控管者是公務機關或機構者,不在此限。該代表應代表控管 者或處理者,且得受任何監管機關之監管。控管者或處理者應明確以 書面委託該代表履行其依照本規則所負之義務。該指定不影響控管者 或處理者基於本規則之責任或義務。該代表應依據控管者或處理者之 委託執行其任務,包括為確保符合本規則而須與主管機關合作之任何 作為。於控管者或處理者不守法時,受指定之代表應為執行程序之對 象。
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 27 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.
…
Prisijungti
norėdami pasiekti visą tekstą