ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.
Here is the relevant paragraph to article 35(9) GDPR:
5.2.2 Understanding the needs and expectations of interested parties
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
[…]
Sign in
to read the full text
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 35 GDPR:
7.2.5 Privacy impact assessment
Control
The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.
Implementation guidance
PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.
[…]
Sign in
to read the full text
(75) 當事人之權利及自由所受之諸多可能且嚴重之風險,可能起因 自處理個人資料,並造成身體上、物質上、或非物質上之損害,尤其 是於下述情形時:當處理可能造成歧視、身分盜用或詐欺、金融損失、 名譽損害、受職業性秘密保護之個人資料之機密性喪失、假名化未授 權撤銷、或其他任何顯著之經濟性或社會性之不利益時;當資料主體 之權利或自由可能受到剝奪或被排除在自己之個人資料控制權之外 時;當個人資料處理涉及揭露種族或人種、政治意見、宗教或哲學信 仰、貿易聯盟會員、以及基因資料之處理、有關健康之資料或有關性 生活或前科及犯罪或相關保安措施之資料時;當個人特徵受到評估, 尤其是為了建檔或使用個人檔案,分析或預測有關工作表現、經濟狀 況、健康、個人偏好或興趣、可信度或行為、地點或動向等個人特徵 時;當處理易受傷害之個人(尤其是兒童)之個人資料時;或當該處 理會牽涉大量個人資料並影響大量資料主體時。
(84) 就處理活動可能造成當事人之權利或自由有高度風險之情形, 為了促進對本規則之遵守,控管者應負責執行資料保護影響評估,以 衡量(特別是)風險的來源、本質、特殊性與嚴重性。為證明個人資 料之處理符合本規則,在決定適當措施時,評估結果應納入考量。當 資料保護影響評估指出處理活動涉及高度風險而控管者無法以現有 技術及執行成本提供適當措施降低風險時,應於處理前徵詢監管機 關。
(89) 歐盟指令第 95/46/EC 號規範了向監管機關通知個人資料處理之 一般性義務。然而該義務造成了行政與財政上之負擔,並非所有情形 都對提升個人資料之保護有所助益。因此,該未加區別之普遍通知義 務應予廢除,並改以注重依處理活動之本質、範圍、脈絡及目的等特 徵區分容易對當事人權利與自由造成高風險之種類的更有效程序與 機制加以取代。該處理活動之種類尤其可能是涉及新技術之使用,或 未曾由控管者實施資料保護影響評估或基於自開始處理所經過之時間而有必要之新類型處理活動。
(90) 在此種情形,控管者應在處理之前進行資料保護影響評估,以 評估高風險之特定可能性與嚴重性,並考量處理之本質、範圍、脈絡 與目的及風險來源。該影響評估尤其應包括預計用以降低風險、確保 個人資料保護與顯示遵循本規則之措施、保護措施與機制。
(91) 此尤其適用於預定處理地區、國家或超國家層級可觀數量之個 人資料,且可能影響大量資料主體並導致高風險之大規模處理活動, 例如,基於其敏感性,按照現存技術知識狀況,大規模使用新技術並 用於對資料主體之權利與自由造成高風險之其他處理活動,尤其是該 等活動使得資料主體更難以行使其權利者。透過建檔資料,就相關當 事人之個人特徵為體系性及密集性之評估、或透過特殊類型之個人資 料、生物資料、或前科及犯罪資料或相關保安措施等之資料處理,以 取得特定當事人之決策所為之個人資料處理者,亦應進行資料保護影 響評估。資料保護影響評估也在大規模監控公共場合時有其必要,特 別是使用光學電子裝置或主管監管機關認為該處理有可能對資料主 體之權利與自由造成高風險之任何其他活動,尤其是因該等裝置或活 動使資料主體無法行使權利、或使用服務或契約,或是因其係被有系 統性地大規模執行者。若由個別醫生、其他健康照護專業者或律師處 理來自於病患或客戶之個人資料時,不應被視為大規模之處理。在此 種情形,資料保護影響評估並非強制。
Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing Is “likely to Result in a High Risk” for the Purposes of Regulation 2016/679 (2017).
CNIL, PIA Tool (2017-2020).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
WP29, Opinion on data processing at work (2017).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to articles 35(1) GDPR:
8.2.1 Customer agreement
Control
The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).
Implementation guidance
The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):
[…]
Sign in
to read the full text