Навигация
GDPR > Статья 36. Предварительная консультация
Скачать в PDF

Статья 36 GDPR. Предварительная консультация

1. Контролёр должен проконсультироваться с надзорным органом перед обработкой, если оценка воздействия на защиту персональных данных согласно Статье 35 указывает на то, что обработка может привести к возникновению высокой степени риска при отсутствии мер, принятых контролёром для снижения риска.

Связанные статьи

2. Если надзорный орган полагает, что запланированная обработка согласно параграфу 1 может нарушить положения настоящего Регламента, в частности, если контролёр в недостаточной степени идентифицировал или снизил риск, надзорный орган в течение не более восьми недель с момента получения запроса о проведении консультации должен предоставить контролёру и в соответствующих случаях лицу, обрабатывающему данные, письменные рекомендации и может осуществлять полномочия, указанные в Статье 58. Указанный срок может быть увеличен на шесть недель с учетом сложности запланированной обработки. Надзорный орган должен проинформировать контролёра и в соответствующих случаях лицо, обрабатывающее данные, об указанном увеличении срока в течение месяца после получения запроса о проведении консультации и указать причины отсрочки. Указанные сроки могут быть приостановлены до тех пор, пока надзорный орган не получит информацию, запрашиваемую в целях консультации.

3. Консультируясь с надзорным органом в соответствии с параграфом 1, контролёр должен представить надзорному органу:

(a) когда это применимо, сведения о соответствующих обязанностях контролёра, со-контролёра и процессоров, участвующих в обработке, в частности, для обработки внутри группы компаний;

(b) сведения о целях и средствах предполагаемой обработки;

(c) сведения о мерах и средствах защиты прав и свобод субъектов данных в соответствии с настоящим Регламентом;

(d) если применимо, контактные данные инспектора по защите персональных данных;

(e) оценку воздействия на защиту персональных данных согласно Статье 35; и

Связанные статьи

(f) любую другую информацию, которую запросил надзорный орган.

4. Государства-члены должны консультироваться с надзорным органом при подготовке проекта законодательного акта, который должен быть принят национальным парламентом, или проекта акта надзорного органа, который базируется на таком законодательном акте, если проект касается обработки.

5. Независимо от параграфа 1 законодательство государства-члена ЕС может обязать контролёров проконсультироваться с надзорным органом, а также получить от него предварительное разрешение на обработку контролёром персональных данных для выполнения задачи в публичном интересе, в том числе при обработке в целях социальной защиты и общественного здравоохранения.

ISO 27701 Преамбулы Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 36 GDPR:

5.2.2 Понимание потребностей и ожиданий заинтересованных сторон

Организация должна включать в свои заинтересованные стороны те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, субъектов ПИИ.
ПРИМЕЧАНИЕ 1. В число других заинтересованных сторон могут входить клиенты (см. 4.4), контролирующие органы, другие контроллеры PII, процессоры ПИИ и их субподрядчики.


для доступа к полному тексту

Преамбулы

(94) В тех случаях, когда оценка воздействия на защиту персональных данных выявляет, что обработка при отсутствии гарантий, мер безопасности и механизмов снижения риска приведёт к высокой степени риска для прав и свобод физических лиц, и контролёр полагает, что риск не может быть уменьшен разумными средствами с точки зрения доступных технологий и затрат по реализации, необходимо проконсультироваться с надзорным органом до начала обработки. Такой высокий риск с большой вероятностью может быть связан с отдельными видами обработки, а также степенью и частотой обработки, которая может привести к нарушению или вмешательству в права и свободы физического лица. Надзорный орган должен отвечать на запрос о проведении консультаций в течение установленного срока. Однако отсутствие ответа надзорного органа в течение установленного срока не должно наносить ущерба любому вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом, включая полномочия запрета обработки данных. В рамках консультаций результаты оценки воздействия на защиту персональных данных, проводимой в отношении обработки, могут быть предоставлены надзорному органу, в том числе меры по смягчению риска для прав и свобод физических лиц.

(95) Процессор должен оказывать содействие контролёру, когда это необходимо, а также по его запросу, для обеспечения соблюдения обязательств, вытекающих из проведения оценки воздействия на защиту персональных данных, а также из предварительной консультации с надзорным органом.

(96) Консультацию с надзорным органом необходимо проводить также при подготовке законодательной или регулятивной меры предусматривающей обработку персональных данных, чтобы обеспечить соответствие планируемой обработки Регламенту и, в частности, минимизировать возможные риски для субъекта данных.

Оставить комментарий
[js-disqus]