Nawigacja
RODO > Artyku艂 27. Przedstawiciele administrator贸w lub podmiot贸w przetwarzaj膮cych niemaj膮cych jednostki organizacyjnej w Unii
Pobierz jako plik PDF

Artyku艂 27 RODO. Przedstawiciele administrator贸w lub podmiot贸w przetwarzaj膮cych niemaj膮cych jednostki organizacyjnej w Unii

Article 27 GDPR. Representatives of controllers or processors not established in the Union

1. Je偶eli zastosowanie ma art. 3 ust. 2, administrator lub podmiot przetwarzaj膮cy na pi艣mie wyznacza swojego przedstawiciela w Unii.

1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.

Powi膮zane teksty

2. Obowi膮zek ustanowiony w ust. 1 niniejszego artyku艂u nie ma zastosowania w przypadku:

2. The obligation laid down in paragraph 1 of this Article shall not apply to:

a) przetwarzania, kt贸re ma charakter sporadyczny, nie obejmuje 鈥 na du偶膮 skal臋 鈥 przetwarzania szczeg贸lnych kategorii danych osobowych, o kt贸rych mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotycz膮cych wyrok贸w skazuj膮cych i narusze艅 prawa, o czym mowa w art. 10, i jest ma艂o prawdopodobne, by ze wzgl臋du na sw贸j charakter, kontekst, zakres i cele powodowa艂o ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych; lub

(a)聽processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or

Powi膮zane teksty

b) organu lub podmiotu publicznego.

(b)聽a public authority or body.

Powi膮zane teksty

3. Przedstawiciel musi mie膰 siedzib臋 w pa艅stwie cz艂onkowskim, w kt贸rym przebywaj膮 osoby, kt贸rych dane dotycz膮, kt贸rych dane osobowe s膮 przetwarzane w zwi膮zku z oferowaniem im towar贸w lub us艂ug lub kt贸rych zachowanie jest monitorowane.

3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are.

Powi膮zane teksty

4. Przedstawiciel zostaje upowa偶niony przez administratora lub podmiot przetwarzaj膮cy, by do cel贸w zapewnienia przestrzegania niniejszego rozporz膮dzenia mog艂y si臋 do niego zwraca膰 鈥 opr贸cz lub zamiast do administratora lub podmiotu przetwarzaj膮cego 鈥 w szczeg贸lno艣ci organy nadzorcze i osoby, kt贸rych dane dotycz膮, we wszystkich sprawach zwi膮zanych z przetwarzaniem.

4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.

5. Wyznaczenie przedstawiciela przez administratora lub podmiot przetwarzaj膮cy pozostaje bez uszczerbku dla post臋powa艅, kt贸re mog膮 zosta膰 wszcz臋te przeciwko samemu administratorowi lub podmiotowi przetwarzaj膮cemu.

5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.

ISO 27701 Motywy zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 27 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(80) Gdy administrator lub podmiot przetwarzaj膮cy niemaj膮cy jednostki organizacyjnej w Unii przetwarza dane osobowe os贸b, kt贸rych dane dotycz膮, znajduj膮cych si臋 w Unii, a jego czynno艣ci przetwarzania wi膮偶膮 si臋 z oferowaniem towar贸w lub us艂ug tym osobom w Unii (niezale偶nie od tego, czy wymaga od tych os贸b p艂atno艣ci) lub z monitorowaniem ich zachowania (o ile ma ono miejsce w Unii), to taki administrator lub podmiot przetwarzaj膮cy powinien wyznaczy膰 przedstawiciela, chyba 偶e przetwarzanie ma charakter sporadyczny, nie obejmuje 鈥 na du偶膮 skal臋 鈥 przetwarzania szczeg贸lnych kategorii danych osobowych, ani przetwarzania danych osobowych dotycz膮cych wyrok贸w skazuj膮cych i narusze艅 prawa, i jest ma艂o prawdopodobne, by ze wzgl臋du na sw贸j charakter, kontekst, zakres i cele powodowa艂o ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych, lub je偶eli administrator jest organem lub podmiotem publicznym. Przedstawiciel powinien dzia艂a膰 w imieniu administratora lub podmiotu przetwarzaj膮cego i mo偶e by膰 adresatem ewentualnych dzia艂a艅 organu nadzorczego. Administrator lub podmiot przetwarzaj膮cy powinien wyznaczy膰 przedstawiciela w wyra藕ny spos贸b za pomoc膮 pisemnego upowa偶nienia do podejmowania dzia艂a艅 w jego imieniu w odniesieniu do obowi膮zk贸w administratora lub podmiotu przetwarzaj膮cego wynikaj膮cych z niniejszego rozporz膮dzenia. Wyznaczenie przedstawiciela nie wp艂ywa na obowi膮zki lub odpowiedzialno艣膰 prawn膮 administratora lub podmiotu przetwarzaj膮cego wynikaj膮c膮 z niniejszego rozporz膮dzenia. Przedstawiciel powinien wykonywa膰 swoje zadania zgodnie z upowa偶nieniem otrzymanym od administratora lub podmiotu przetwarzaj膮cego, w tym wsp贸艂pracowa膰 z w艂a艣ciwymi organami nadzorczymi w odniesieniu do wszelkich dzia艂a艅 s艂u偶膮cych zapewnieniu przestrzegania niniejszego rozporz膮dzenia. W razie jego nieprzestrzegania przez administratora lub podmiot przetwarzaj膮cy wyznaczony przedstawiciel powinien zosta膰 poddany dzia艂aniom egzekucyjnym.

(80) Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor.

zostaw komentarz
[js-disqus]