第 3 條 GDPR. 領土適用範圍
Article 3 GDPR. Territorial scope
[…]
[…]
2. 本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境 內之資料主體所為涉及如下事項之個人資料處理:
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) 對歐盟境內之資料主體提供商品或服務,不問是否需要資料主體 付款;
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) 對於資料主體於歐盟內所為行為之監控。
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
[…]
[…]
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 27 GDPR:
6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Руководство по внедрению
Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
…
Войти
для доступа к полному тексту