Articolul 26 📖 GDPR. Operatori asociați

제26조 GDPR. 공동 컨트롤러

1. 두 명 이상의 컨트롤러가 공동으로 처리의 목적과 방법을 결정하는 경우, 이들은 공동 컨트롤러가 된다. 공동 컨트롤러는 당사자 간의 협의를 통해, 본 규정에 따른 책임을 준용, 특히 정보주체의 권리 행사에 대한 각자의 책임과 제13조 및 제14조의 정보를 제공할 각자의 임무를 투명하게 결정해야 하되, 그러한 각자의 책임이 컨트롤러에 적용되는 유럽연합 또는 회원국 법률에 의해 결정되는 경우는 예외로 한다. 그러한 협의를 통해 정보주체에 대한 연락담당관을 지정할 수 있다.

Conexiuni

제13조 GDPR. 개인정보가 정보주체로부터 수집되는 경우 제공되는 정보

제14조 GDPR. 개인정보가 정보주체로부터 수집되지 않은 경우 제공되는 정보

2. 제1항의 협의는 정보주체에 대한 공동 컨트롤러의 개별 역할과 관계를 충분히 반영해야 한다. 해당 협의의 골자를 정보주체에 제공해야 한다.

Conexiuni

3. 제1항의 협의의 조건과 관계없이, 정보주체는 본 규정에 따라 각 컨트롤러와 관련하여, 그리고 이들에 반대하여 본인의 권리를 행사할 수 있다.

유럽연합 일반 데이터 보호 규칙(EU GDPR)

Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6

Comentariu ISO 27701 Considerentele Orientările & Case Law Lasa un comentariu

Comentariu

(EN) The expression “joint controller” is one of the most difficult to grasp in practice. It is nonetheless essential to delimit the role of the parties involved in the processing of personal data to determine their responsibilities under the General Data Protection Regulation (GDPR).

…

Conectare
pentru a accesa textul integral

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to articles 26(1), 26(2), and 26(3) GDPR:

7.2.7 Joint PII controller

Control

The organization should determine respective roles and responsibilities for the processing of PII (including PII protection and security requirements) with any joint PII controller.

Implementation guidance

Roles and responsibilities for the processing of PII should be determined in a transparent manner.

…

Conectare
pentru a accesa textul integral

Considerentele

(79) 감독기관의 모니터링 및 조치와 관련하여서도, 정보주체의 권리와 자유에 대한 보호 및 컨트롤러와 프로세서의 책임에 대한, 본 규정에 따른 명확한 책임 분배가 필요하다. 여기에는 컨트롤러가 다른 컨트롤러와 공동으로 처리의 목적과 수단을 결정할 수 있는 경우나 컨트롤러를 대신하여 처리작업을 수행할 수 있는 경우가 포함된다.

Orientările & Case Law

(EN)

Documents

Article 29 Working Party, Opinion 1/2010 on the concepts of „controller” and „processor” (2010).

EDPS, Guidelines on the Concepts of Controller, Processor and Joint Controllership Under Regulation (EU) 2018/1725 (2019).

EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2021).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

ICO, Right of Access (2020).

ICO, Data sharing: a code of practice (2020).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).

Case Law

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018).

CJEU, Tietosuojavaltuutettu v Jehovan todistajat, C-25/17 (2018):

The existence of joint responsibility does not necessarily imply equal responsibility of the various operators involved in the processing of personal data. On the contrary, those operators may be involved at different stages of that processing of personal data and to different degrees, so that the level of responsibility of each of them must be assessed with regard to all the relevant circumstances of the particular case. Actual access to personal data is not a prerequisite for joint responsibility (p. 68-72).

CJEU, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV, C-40/17 (2019).

Lasa un comentariu

[js-disqus]

Articolul 25. Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

Articolul 27. Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în Uniune