Статья 27 📖 GDPR. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе

Статья 27 GDPR. Представители контролёров или процессоров, не имеющих организационной единицы в Союзе

Article 27 GDPR. Representatives of controllers or processors not established in the Union

1. В случаях, указанных в Статье 3 (2), контролёр или процессор должны письменно назначить представителя в Союзе.

1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.

Связанные статьи

Статья 3 GDPR. Территориальная сфера действия

Article 3 GDPR. Territorial scope

[…]

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

[…]

2. Обязательство, изложенное в параграфе 1 настоящей статьи, не распространяется на:

2. The obligation laid down in paragraph 1 of this Article shall not apply to:

(a) обработку, которая носит нерегулярный характер, не включает обработку в большом масштабе специальных категорий данных, указанных в статье 9(1), или обработку персональных данных, касающихся судимостей и правонарушений, указанных в статье 10, и которая с малой долей вероятности может с учетом своего характера, контекста, масштаба и целей привести к риску для прав и свобод физических лиц; или

(a) processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or

Связанные статьи

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Article 10 GDPR. Processing of personal data relating to criminal convictions and offences

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

2.1.3 «КРУПНЫЙ МАСШТАБ»

2.1.3 ‘LARGE SCALE’

WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:

In any event, the WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

• количество субъектов данных — точное количество либо доля численности населения соответствующего региона

• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population

• объем обрабатываемых данных или их элементов

• the volume of data and/or the range of different data items being processed

• продолжительность или постоянство обработки персональных данных

• the duration, or permanence, of the data processing activity

• географический охват обработки.

• the geographical extent of the processing activity.

Примерами крупномасштабной обработки являются, в частности:

Examples of large-scale processing include:

• регулярная обработка данных пациента больницей

• processing of patient data in the regular course of business by a hospital

• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)

• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)

• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг

• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in providing these services

• обработка данных клиентов в рамках обычной деятельности страховой компании или банка

• processing of customer data in the regular course of business by an insurance company or a bank

• обработка данных для целей поведенческой рекламы с помощью поисковой системы

• processing of personal data for behavioural advertising by a search engine

• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.

• processing of data (content, traffic, location) by telephone or internet service providers.

Крупномасштабная обработка данных отсутствует, в частности, в следующих случаях:

Examples that do not constitute large-scale processing include:

• обработка персональных данных, осуществляемая индивидуальным врачом

• processing of patient data by an individual physician

• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.

• processing of personal data relating to criminal convictions and offences by an individual lawyer.

(b) государственные органы или учреждения.

(b) a public authority or body.

Связанные статьи

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

2.1.1 ‘PUBLIC AUTHORITY OR BODY’

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

The GDPR does not define what constitutes a ‘public authority or body’. The WP29 considers that such a notion is to be determined under national law. Accordingly, public authorities and bodies include national, regional and local authorities, but the concept, under the applicable national laws, typically also includes a range of other bodies governed by public law [12]. In such cases, the designation of a DPO is mandatory.

_{[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).}

_{[12] See, e.g. the definition of ‘public sector body’ and ‘body governed by public law’ in Article 2(1) and (2) of Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public-sector information (OJ L 345, 31.12.2003, p. 90).}

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

A public task may be carried out, and public authority may be exercised [13] not only by public authorities or bodies but also by other natural or legal persons governed by public or private law, in sectors such as, according to national regulation of each Member State, public transport services, water and energy supply, road infrastructure, public service broadcasting, public housing or disciplinary bodies for regulated professions.

_{[13] Статья 6(1)(е).}

_{[13] Article 6(1)(e).}

3. Представитель должен базироваться в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением товаров или услуг, или чье поведение наблюдается.

3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are.

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Offering of goods or services, irrespective of whether a payment of the data subject is required, to data subjects in the Union

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть — любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

The first activity triggering the application of Article 3(2) is the “offering of goods or services”, a concept which has been further addressed by EU law and case law, which should be taken into account when applying the targeting criterion. The offering of services also includes the offering of information society services, defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 [23] as “any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services”.

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

_{[23] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services.}

Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».

Another key element to be assessed in determining whether the Article 3(2)(a) targeting criterion can be met is whether the offer of goods or services is directed at a person in the Union, or in other words, whether the conduct on the part of the controller, which determines the means and purposes of processing, demonstrates its intention to offer goods or a services to a data subject located in the Union. Recital 23 of the GDPR indeed clarifies that “in order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.”

4. Представитель должен быть уполномочен контролёром или процессором действовать в качестве контактного лица вместо контролёра или процессора или в наряду с ними по всем вопросам, связанным с обработкой в целях обеспечения соблюдения настоящего Регламента, к которому могут обращаться, в частности, надзорные органы и субъекты данных.

4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.

5. Назначение представителя контролёром или процессором не исключает юридических действий, которые могут быть инициированы против контролёра или процессора.

5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбулы Оставить комментарий

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 27 GDPR:

6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

Руководство по внедрению

Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).

…

Войти
для доступа к полному тексту

Преамбулы

(80) Если контролёр или процессор, не имеющий организационной единицы в Союзе, обрабатывает персональные данные субъектов данных, находящихся в Союзе, и его деятельность связана с предложением товаров или услуг субъектам данных, находящимся в Союзе (независимо от того, требуется ли от субъектов данных оплата) или с отслеживанием их поведения (конкретно, поведения на территории Союза), то контролёр или процессор должен назначить представителя, за исключением случаев, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработку персональных данных, относящихся к уголовным судимостям и преступлениям, и вряд ли приведет к риску для прав и свобод физических лиц с учетом характера, контекста, масштаба и целей обработки, или когда контролёр является государственным органом или учреждением. Представитель должен действовать от имени контролёра или процессора, и к нему может обратиться любой надзорный орган. Представитель должен быть в явной форме уполномочен, посредством письменного предписания контролёра или процессора, действовать от его имени в отношении его обязанностей по настоящему Регламенту. Назначение представителя не влияет на юридическую или материальную ответственность контролёра или процессора по данному Регламенту. Такой представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или процессора, в том числе сотрудничать с компетентными надзорными органами в отношении любых действий, предпринятых в целях обеспечения соответствия настоящему Регламенту. В случае несоответствия контролёра или процессора Регламенту, к назначенному представителю применяется исполнительное производство.

(80) Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor.

Оставить комментарий

[js-disqus]