(89) Директивою 95/46/ЄС передбачено загальний обов'язок повідомляти наглядові органи про опрацювання персональних даних. Незважаючи на те, що цей обов'язок породжує адміністративний та фінансовий тягарі, він необов'язково сприяв покращенню у сфері захисту персональних даних. Тому, такі недискримінаційні загальні обов'язки щодо надання повідомлення необхідно скасувати та замінити дієвими процедурами і механізмами, що, натомість, зосереджуються на тих типах операцій опрацювання, які ймовірно створять високий ризик для прав і свобод фізичних осіб в силу їхньої специфіки, масштабу, контексту та цілей. Такими типами операцій опрацювання можуть бути операції, які, зокрема, передбачають використання нових технологій або є новими і такими, щодо яких контролер раніше не проводив жодного оцінювання впливу на захист даних, або такими, що стають необхідними в аспекті часу, що минув з моменту первинного опрацювання.
(90) У таких випадках контролер повинен провести оцінювання впливу на захист даних до моменту опрацювання для того, щоб визначити конкретну ймовірність і ступінь тяжкості високого ризику, враховуючи специфіку, обсяг, контекст і цілі опрацювання та джерела ризику. У такій оцінці необхідно вказати, зокрема, заходи, гарантії та механізми, передбачені для зниження такого ризику, які забезпечують захист персональних даних і підтверджують відповідність цьому Регламенту.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to article 40 GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
(EN) […]
(EN) Sign in
to read the full text