Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 37 GDPR:
6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Руководство по внедрению
Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
Организация должна назначить одного или нескольких лиц, ответственных за разработку, внедрение, поддержание и мониторинг общеорганизационной программы управления и конфиденциальности, чтобы обеспечить соблюдение всех применимых законов и правил, касающихся обработки ПИИ.
Ответственное лицо должно в соответствующих случаях:
…
Войти
для доступа к полному тексту
(97) 於下述情形時,就資料保護之法律與實務有專業知識者應協助 控管者或處理者內部監督本規則之遵守,亦即:當資料處理係由除了 法院和獨立司法機關執行其司法權之公務機關執行時、於私部門之處 理係由核心活動包括需要經常且有體系的監控大規模資料主體的控 管者所為之處理活動、或於控管者及處理者之核心活動包括處理大規 模特殊類型之個人資料及涉及前科及犯罪之資料時。在私部門中,控 管者之核心活動係連結到其主要活動,而與作為輔助活動之個人資料 處理無關。專業知識所需程度尤應依據所執行之資料處理活動及由控 管者或處理者處理之個人資料所需之保護而定。該等資料保護員,不 問是否為控管者之雇員,都應以獨立之態度堅守職位以執行其任務。
В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).
В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:
В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама.
При определении большого объема обработки необходимо принимать во внимание следующие факторы:
Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.
…
Войти
для доступа к полному тексту