Навигация
GDPR > Статья 27. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе
Скачать в PDF

Статья 27 GDPR. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе

1. В случаях, указанных в Статье 3 (2), контролёр или процессор должны письменно назначить представителя в Союзе.

Связанные статьи

2. Обязательство, изложенное в параграфе 1 настоящей статьи, не распространяется на:

(a) обработку, которая носит нерегулярный характер, не включает обработку в большом масштабе специальных категорий данных, указанных в статье 9(1), или обработку персональных данных, касающихся судимостей и правонарушений, указанных в статье 10, и которая с малой долей вероятности может с учетом своего характера, контекста, масштаба и целей привести к риску для прав и свобод физических лиц; или

Связанные статьи

(b) государственные органы или учреждения.

Связанные статьи

3. Представитель должен базироваться в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением товаров или услуг, или чье поведение наблюдается.

Связанные статьи

4. Представитель должен быть уполномочен контролёром или процессором действовать в качестве контактного лица вместо контролёра или процессора или в наряду с ними по всем вопросам, связанным с обработкой в целях обеспечения соблюдения настоящего Регламента, к которому могут обращаться, в частности, надзорные органы и субъекты данных.

5. Назначение представителя контролёром или процессором не исключает юридических действий, которые могут быть инициированы против контролёра или процессора.

ISO 27701 Преамбулы Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 27 GDPR:

6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

Руководство по внедрению 

Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).


для доступа к полному тексту

Преамбулы

(80) Если контролёр или процессор, не имеющий организационной единицы в Союзе, обрабатывает персональные данные субъектов данных, находящихся в Союзе, и его деятельность связана с предложением товаров или услуг субъектам данных, находящимся в Союзе (независимо от того, требуется ли от субъектов данных оплата) или с отслеживанием их поведения (конкретно, поведения на территории Союза), то контролёр или процессор должен назначить представителя, за исключением случаев, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработку персональных данных, относящихся к уголовным судимостям и преступлениям, и вряд ли приведет к риску для прав и свобод физических лиц с учетом характера, контекста, масштаба и целей обработки, или когда контролёр является государственным органом или учреждением. Представитель должен действовать от имени контролёра или процессора, и к нему может обратиться любой надзорный орган. Представитель должен быть в явной форме уполномочен, посредством письменного предписания контролёра или процессора, действовать от его имени в отношении его обязанностей по настоящему Регламенту. Назначение представителя не влияет на юридическую или материальную ответственность контролёра или процессора по данному Регламенту. Такой представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или процессора, в том числе сотрудничать с компетентными надзорными органами в отношении любых действий, предпринятых в целях обеспечения соответствия настоящему Регламенту. В случае несоответствия контролёра или процессора Регламенту, к назначенному представителю применяется исполнительное производство.

Оставить комментарий
[js-disqus]