除歐盟法或會員國法另有規定外,處理者及基於控管者或處理者權限 而接近使用個人資料之任何行為人,非基於控管者之指示者,不得處 理該等個人資料。
The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.
Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.
(EN)
EDPB, Guidelines 7/2020 on the Concepts of Controller and Processor in the GDPR (2020).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
(RU)
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 29 GDPR:
8.2.2 Цели организации
Средство управления
Организация должна обеспечить, чтобы ПИИ, обработанные от имени клиента, обрабатывались только для целей, указанных в документированных инструкциях клиента.
Руководство по внедрению
Контракт между организацией и клиентом должен включать, но не ограничиваться, целью и временными рамками, которые должны быть достигнуты услугой.
…
登入
访问全文