(a) обработку, которая носит нерегулярный характер, не включает обработку в большом масштабе специальных категорий данных, указанных в статье 9(1), или обработку персональных данных, касающихся судимостей и правонарушений, указанных в статье 10, и которая с малой долей вероятности может с учетом своего характера, контекста, масштаба и целей привести к риску для прав и свобод физических лиц; или
4. Представитель должен быть уполномочен контролёром или процессором действовать в качестве контактного лица вместо контролёра или процессора или в наряду с ними по всем вопросам, связанным с обработкой в целях обеспечения соблюдения настоящего Регламента, к которому могут обращаться, в частности, надзорные органы и субъекты данных.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(80) Если контролёр или процессор, не имеющий организационной единицы в Союзе, обрабатывает персональные данные субъектов данных, находящихся в Союзе, и его деятельность связана с предложением товаров или услуг субъектам данных, находящимся в Союзе (независимо от того, требуется ли от субъектов данных оплата) или с отслеживанием их поведения (конкретно, поведения на территории Союза), то контролёр или процессор должен назначить представителя, за исключением случаев, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработку персональных данных, относящихся к уголовным судимостям и преступлениям, и вряд ли приведет к риску для прав и свобод физических лиц с учетом характера, контекста, масштаба и целей обработки, или когда контролёр является государственным органом или учреждением. Представитель должен действовать от имени контролёра или процессора, и к нему может обратиться любой надзорный орган. Представитель должен быть в явной форме уполномочен, посредством письменного предписания контролёра или процессора, действовать от его имени в отношении его обязанностей по настоящему Регламенту. Назначение представителя не влияет на юридическую или материальную ответственность контролёра или процессора по данному Регламенту. Такой представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или процессора, в том числе сотрудничать с компетентными надзорными органами в отношении любых действий, предпринятых в целях обеспечения соответствия настоящему Регламенту. В случае несоответствия контролёра или процессора Регламенту, к назначенному представителю применяется исполнительное производство.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 27 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.
…
Logga in
för att komma åt hela textenу