2. Если надзорный орган полагает, что запланированная обработка согласно параграфу 1 может нарушить положения настоящего Регламента, в частности, если контролёр в недостаточной степени идентифицировал или снизил риск, надзорный орган в течение не более восьми недель с момента получения запроса о проведении консультации должен предоставить контролёру и в соответствующих случаях лицу, обрабатывающему данные, письменные рекомендации и может осуществлять полномочия, указанные в Статье 58. Указанный срок может быть увеличен на шесть недель с учетом сложности запланированной обработки. Надзорный орган должен проинформировать контролёра и в соответствующих случаях лицо, обрабатывающее данные, об указанном увеличении срока в течение месяца после получения запроса о проведении консультации и указать причины отсрочки. Указанные сроки могут быть приостановлены до тех пор, пока надзорный орган не получит информацию, запрашиваемую в целях консультации.
3. Консультируясь с надзорным органом в соответствии с параграфом 1, контролёр должен представить надзорному органу:
(a) когда это применимо, сведения о соответствующих обязанностях контролёра, со-контролёра и процессоров, участвующих в обработке, в частности, для обработки внутри группы компаний;
(c) сведения о мерах и средствах защиты прав и свобод субъектов данных в соответствии с настоящим Регламентом;
4. Государства-члены должны консультироваться с надзорным органом при подготовке проекта законодательного акта, который должен быть принят национальным парламентом, или проекта акта надзорного органа, который базируется на таком законодательном акте, если проект касается обработки.
5. Независимо от параграфа 1 законодательство государства-члена ЕС может обязать контролёров проконсультироваться с надзорным органом, а также получить от него предварительное разрешение на обработку контролёром персональных данных для выполнения задачи в публичном интересе, в том числе при обработке в целях социальной защиты и общественного здравоохранения.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(94) В тех случаях, когда оценка воздействия на защиту персональных данных выявляет, что обработка при отсутствии гарантий, мер безопасности и механизмов снижения риска приведёт к высокой степени риска для прав и свобод физических лиц, и контролёр полагает, что риск не может быть уменьшен разумными средствами с точки зрения доступных технологий и затрат по реализации, необходимо проконсультироваться с надзорным органом до начала обработки. Такой высокий риск с большой вероятностью может быть связан с отдельными видами обработки, а также степенью и частотой обработки, которая может привести к нарушению или вмешательству в права и свободы физического лица. Надзорный орган должен отвечать на запрос о проведении консультаций в течение установленного срока. Однако отсутствие ответа надзорного органа в течение установленного срока не должно наносить ущерба любому вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом, включая полномочия запрета обработки данных. В рамках консультаций результаты оценки воздействия на защиту персональных данных, проводимой в отношении обработки, могут быть предоставлены надзорному органу, в том числе меры по смягчению риска для прав и свобод физических лиц.
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.
Here is the relevant paragraph to article 36 GDPR:
5.2.2 Understanding the needs and expectations of interested parties
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
[…]
Sign in
to read the full text