查看更多
导航
第一章 總則 (1-4)
第 1 條. 主旨與立法目的第 2 條. 實體適用範圍第 3 條. 領土適用範圍第 4 條. 定義
第二章 原則 (5-11)
第 5 條. 個人資料處理原則第 6 條. 處理之合法性第七條. 同意條件第 8 條. 涉及資訊社會服務適用兒童同意之條件第 9 條. 特殊類型之個人資料處理第 10 條. 涉及前科及犯罪之個人資料處理第 11 條. 不須識別之處理
第三章 資料主體之權利 (12-23)
第 12 條. 資料主體為行使其權利之透明資訊、溝通及管道第 13 條. 蒐集資料主體之個人資料時所提供之資訊第 14 條. 尚未自資料主體取得個人資料時所應提供之資訊第 15 條. 資料主體之接近使用權第 16 條. 更正權第 17 條. 刪除權(「被遺忘權」)第 18 條. 限制處理權第 19 條. 關於更正或刪除個人資料或限制處理之通知義務第 20 條. 資料可攜性權利第 21 條. 拒絕權第 22 條. 個人化之自動決策,包括建檔第 23 條. 限制
第四章 控管者及處理者 (24-43)
第 24 條. 主旨與立法目的第 25 條. 設計及預設之資料保護第 26 條. 共同控管者第 27 條. 非設立於歐盟境內控管者或處理者之代表
第 28 條. 處理者
第 29 條. 控管者或處理者之處理權限第 30 條. 處理活動之紀錄第 31 條. 與監管機關之合作第 32 條. 處理之安全第 33 條. 向監管機關進行個人資料侵害之通報第 34 條. 向資料主體為個人資料侵害之溝通第 35 條. 資料保護影響評估第 36 條. 事前諮詢第 37 條. 資料保護員之指定第 38 條. 資料保護員之職位第 39 條. 資料保護員之職務第 40 條. 行為守則第 41 條. 經核准之行為守則之監管第 42 條. 認證第 43 條. 認證機構
第五章 個人資料移轉至第三國或國際組織 (44-50)
第 44 條. 移轉之一般原則第 45 條. 基於充足程度保護決定之移轉第 46 條. 須遵守適當保護措施之移轉第 47 條. 有拘束力之企業守則第 48 條. 未獲歐盟法授權之移轉或揭露第 49 條. 特定情形下之例外第 50 條. 個人資料保護之國際合作
第六章 獨立監管機關 (51-59)
第 51 條. 監管機關第 52 條. 獨立第 53 條. 監管機關成員之一般條款第 54 條. 監管機關設立之規則第 55 條. 權限第 56 條. 領導監管機關之權限第 57 條. 職務第 58 條. 權力第 59 條. 活動報告
第七章 合作及一致性 (60-70)
第 60 條. 領導監管機關與其他相關監管機關間之合作第 61 條. 互助第 62 條. 監管機關之聯合作業第 63 條. 一致性機制第 64 條. 委員會之意見第 65 條. 委員會之爭議解決第 66 條. 緊急程序第 67 條. 資訊交換第 68 條. 歐洲資料保護委員會第 69 條. 獨立性第 70 條. 委員會之任務第 71 條. 報告第 72 條. 程序第 73 條. 主席第 74 條. 主席之任務第 75 條. 秘書處第 76 條. 保密性
第 8 章 救濟、義務及處罰 (77-84)
第 77 條. 向監管機關提出申訴之權利第 78 條. 對監管機關提起有效司法救濟之權利第 79 條. 對於控管者或處理者提出有效司法救濟之權利第 80 條. 資料主體之代表第 81 條. 停止訴訟程序第 82 條. 賠償請求權及義務第 83 條. 裁處行政罰鍰之一般要件第 84 條. 罰則
第九章 特殊處理情況之規範 (85-91)
第 85 條. 處理與言論及資訊自由第 86 條. 官方文件之處理與公眾接近使用第 87 條. 國民身分證字號之處理第 88 條. 僱傭關係下之處理第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定第 90 條. 保密義務第 91 條. 教會及宗教組織現存之資料保護規定
第十章 授權法及施行法 (92-93)
第 92 條. 授權之行使第 93 條. 執委會之程序
第十一章 最終條款 (94-95)
第 94 條. 歐盟指令第 95/46/EU 號之廢止第 95 條. 與歐盟指令第 2002/58/EC 號之關係第 96 條. 與已締結之協議之關係第 97 條. 執委會報告第 98 條. 對其他資料保護歐盟法案之審查第 99 條. 生效及適用
GDPR > 第 28 條. 處理者
下载PDF

第 28 條 GDPR. 處理者

1. 處理係由控管者之代表所為者,控管者應僅得任用提供充足保證會實施適當之科技化且有組織的措施、使處理符合本規則要求、並確 保資料主體權利保障之處理者。

2. 未經控管者事先個案或一般書面授權者,處理者不得與其它處理 者相交涉。在一般書面授權情況下,處理者應通知控管者關於增加或 替換其他處理者之任何預期變化,從而給予控管者對該等變化提出異 議之機會。

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


访问全文

3. 處理者所為處理應受契約或歐盟法或會員國法之其他立法之拘束, 該等規定對於處理者及控管者具有拘束力,並規定處理標的及處理期 間、處理之本質與目的、個人資料之類型及資料主體之類別以及控管 者之義務及權利。該契約或其他立法尤其應規定處理者:

(a) 僅得依據控管者之書面指示處理個人資料,包括移轉個人資料至第三國或國際組織,但處理者受拘束之歐盟法或會員國法要求其應為 者不在此限;於此情形,除法律基於公共利益之重要理由禁止提供資 訊者外,處理者於處理前應通知控管者該法定要求;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization’s purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.


访问全文

(b) 確保被授權處理個人資料之人已承諾保密或具備適當之法定保 密義務;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.


访问全文

(c) 依第 32 條規定採取所有必要之保護措施;

相关文章
相关文章

(d) 遵守第 2 項及第 4 項所定任用其它處理者之要件;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.

 


访问全文

(e) 考量到處理之本質,以適當之科技化且有組織的措施,在可能之 情況下,協助控管者履行其回應資料主體行使第三章所定權利之請求 之義務;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.


访问全文

(f) 考量到處理之本質及處理者可知資訊,協助控管者確保遵守第 32 條至第 36 條所定之義務;

相关文章
相关文章

(g) 在提供與處理有關之服務結束後,依控管者之選擇,向控管者刪 除或移轉所有個人資料,並刪除現有副本,但歐盟法或會員國法要求 儲存該等個人資料者,不在此限;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.


访问全文

(h) 向控管者提供證明遵守本條所定義務所需之一切資訊,並允許及 促進由控管者或控管者委任之其他審計師進行查核,包括檢查。

ISO 27701
ISO 27701

關於第一款第 h 點,如處理者認為某指令是否違反本規則或其他歐盟 或會員國資料保護規定者,應立即通知控管者。

4. 當處理者代表控管者與他處理者聯合進行特定之處理活動時,第 3 項所定控管者與處理者間之契約或其他立法規定之相同資料保護義 務,應透過契約或歐盟法或會員國法所定之其他立法,使他處理者亦有其適用,尤其是提供充分保證其將實施適當之科技化且有組織的措 施,使其處理符合本規則之要求。如他處理者未能履行其資料保護義 務,則原處理者應就他處理者義務之履行對控管者負完全責任。

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


访问全文

5. 處理者遵守第 40 條所定經核准之行為守則或第 42 條所定經核准 之認證機制者,得作為本條第 1 項及第 4 項所定充分保證之證明。

相关文章
相关文章

6. 於無損及控管者及處理者間個別性契約之情況下,本條第 3 項及 第 4項所定契約或其他立法得全部或一部基於第 7項及第 8項所定之 定型化契約條款,包括當其係依據第 42 條及第 43 條所定授予控管者 或處理者認證之一部分時。

相关文章
相关文章

7. 執委會得就本條第 3 項及第 4 項所定事項擬定定型化契約條款, 並遵守第 93 條第 2 項所定之檢驗程序。

相关文章
相关文章

8. 監管機關得就本條第3項及第4項所定事項採用定型化契約條款, 並遵守第 63 條所定之一致性機制。

相关文章
相关文章

9. 第 3 項及第 4 項所定契約或其他立法應以書面為之,包括電子形 式。

10. 於無損及第 82 條、第 83 條及第 84 條規定之情況下,如處理者 決定處理之目的與方式違反本規則者,該處理者應被視為係該處理之 控管者。

相关文章
相关文章
通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

專家評論 ISO 27701 献技 指南和案例法 发表评论
專家評論

(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.


访问全文

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


访问全文

献技

(81) 為確保處理者代控管者執行處理活動時遵循本規則,當委託處 理者處理活動時,控管者應只委託具有足夠保證(尤其是就專業知識、 可信度與資源而言)之處理者,以符合本規則之要求而執行科技化與 組織化之措施,包括處理之安全性。處理者採取經核准的行為守則或 認證機制可用以證明其有遵循控管者之義務。處理者就處理之執行應 受到契約或符合歐盟法或會員國法之其他法規控管,將處理者結合至 控管者、明列主體事項及處理持續之時間、處理之本質與目的、個人 資料之類型及資料主體之分類,並考慮所欲執行之處理脈絡下處理者 之特定任務與責任,以及資料主體之權利與自由的風險。控管者與處 理者得選擇使用個別性契約或定型化契約條款,該條款須或為執委會 所直接採用,或經監管機關以一致性機制再由執委會所採用者。代表 控管者完成處理後,基於控管者之選擇,處理者應返還或刪除個人資 料,除非處理者所受拘束之歐盟法或會員國法要求處理者儲存個人資 料。

指南和案例法 发表评论
[js-disqus]