第 3 條 GDPR. 領土適用範圍
[…]
2. 本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境 內之資料主體所為涉及如下事項之個人資料處理:
(a) 對歐盟境內之資料主體提供商品或服務,不問是否需要資料主體 付款;
(b) 對於資料主體於歐盟內所為行為之監控。
[…]
(80) 非設立於歐盟之控管者或處理者處理歐盟內資料主體之個人資 料,且其處理活動涉及提供貨品或服務時,不問是否需要資料主體付 款,對該等資料主體或對就其發生於歐盟內行為之監控,控管者或處 理者皆應指定其代表,但該處理係出於偶然、不含括大規模涉及特殊類型之個人資料處理、或涉及前科及犯罪之個人資料的處理,且考量 處理之本質、過程、範圍與目的,其不會對當事人之權利與自由造成 風險、或控管者是公務機關或機構者,不在此限。該代表應代表控管 者或處理者,且得受任何監管機關之監管。控管者或處理者應明確以 書面委託該代表履行其依照本規則所負之義務。該指定不影響控管者 或處理者基於本規則之責任或義務。該代表應依據控管者或處理者之 委託執行其任務,包括為確保符合本規則而須與主管機關合作之任何 作為。於控管者或處理者不守法時,受指定之代表應為執行程序之對 象。
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 27 GDPR:
6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Руководство по внедрению
Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
…
Войти
для доступа к полному тексту