查看更多
导航
第一章 總則 (1-4)
第 1 條. 主旨與立法目的第 2 條. 實體適用範圍第 3 條. 領土適用範圍第 4 條. 定義
第二章 原則 (5-11)
第 5 條. 個人資料處理原則第 6 條. 處理之合法性第七條. 同意條件第 8 條. 涉及資訊社會服務適用兒童同意之條件第 9 條. 特殊類型之個人資料處理第 10 條. 涉及前科及犯罪之個人資料處理第 11 條. 不須識別之處理
第三章 資料主體之權利 (12-23)
第 12 條. 資料主體為行使其權利之透明資訊、溝通及管道第 13 條. 蒐集資料主體之個人資料時所提供之資訊第 14 條. 尚未自資料主體取得個人資料時所應提供之資訊第 15 條. 資料主體之接近使用權第 16 條. 更正權第 17 條. 刪除權(「被遺忘權」)第 18 條. 限制處理權第 19 條. 關於更正或刪除個人資料或限制處理之通知義務第 20 條. 資料可攜性權利第 21 條. 拒絕權第 22 條. 個人化之自動決策,包括建檔第 23 條. 限制
第四章 控管者及處理者 (24-43)
第 24 條. 主旨與立法目的第 25 條. 設計及預設之資料保護第 26 條. 共同控管者第 27 條. 非設立於歐盟境內控管者或處理者之代表第 28 條. 處理者第 29 條. 控管者或處理者之處理權限第 30 條. 處理活動之紀錄第 31 條. 與監管機關之合作第 32 條. 處理之安全第 33 條. 向監管機關進行個人資料侵害之通報第 34 條. 向資料主體為個人資料侵害之溝通第 35 條. 資料保護影響評估
第 36 條. 事前諮詢
第 37 條. 資料保護員之指定第 38 條. 資料保護員之職位第 39 條. 資料保護員之職務第 40 條. 行為守則第 41 條. 經核准之行為守則之監管第 42 條. 認證第 43 條. 認證機構
第五章 個人資料移轉至第三國或國際組織 (44-50)
第 44 條. 移轉之一般原則第 45 條. 基於充足程度保護決定之移轉第 46 條. 須遵守適當保護措施之移轉第 47 條. 有拘束力之企業守則第 48 條. 未獲歐盟法授權之移轉或揭露第 49 條. 特定情形下之例外第 50 條. 個人資料保護之國際合作
第六章 獨立監管機關 (51-59)
第 51 條. 監管機關第 52 條. 獨立第 53 條. 監管機關成員之一般條款第 54 條. 監管機關設立之規則第 55 條. 權限第 56 條. 領導監管機關之權限第 57 條. 職務第 58 條. 權力第 59 條. 活動報告
第七章 合作及一致性 (60-70)
第 60 條. 領導監管機關與其他相關監管機關間之合作第 61 條. 互助第 62 條. 監管機關之聯合作業第 63 條. 一致性機制第 64 條. 委員會之意見第 65 條. 委員會之爭議解決第 66 條. 緊急程序第 67 條. 資訊交換第 68 條. 歐洲資料保護委員會第 69 條. 獨立性第 70 條. 委員會之任務第 71 條. 報告第 72 條. 程序第 73 條. 主席第 74 條. 主席之任務第 75 條. 秘書處第 76 條. 保密性
第 8 章 救濟、義務及處罰 (77-84)
第 77 條. 向監管機關提出申訴之權利第 78 條. 對監管機關提起有效司法救濟之權利第 79 條. 對於控管者或處理者提出有效司法救濟之權利第 80 條. 資料主體之代表第 81 條. 停止訴訟程序第 82 條. 賠償請求權及義務第 83 條. 裁處行政罰鍰之一般要件第 84 條. 罰則
第九章 特殊處理情況之規範 (85-91)
第 85 條. 處理與言論及資訊自由第 86 條. 官方文件之處理與公眾接近使用第 87 條. 國民身分證字號之處理第 88 條. 僱傭關係下之處理第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定第 90 條. 保密義務第 91 條. 教會及宗教組織現存之資料保護規定
第十章 授權法及施行法 (92-93)
第 92 條. 授權之行使第 93 條. 執委會之程序
第十一章 最終條款 (94-95)
第 94 條. 歐盟指令第 95/46/EU 號之廢止第 95 條. 與歐盟指令第 2002/58/EC 號之關係第 96 條. 與已締結之協議之關係第 97 條. 執委會報告第 98 條. 對其他資料保護歐盟法案之審查第 99 條. 生效及適用
GDPR > 第 36 條. 事前諮詢
下载PDF

第 36 條 GDPR. 事前諮詢

1. 當資料保護影響評估依第 35條顯現若控管者未採取降低風險之措 施,該處理將導致高風險時,控管者應於處理前諮詢監管機關。

相关文章
相关文章

2. 當監管機關認為第 1 項所稱之處理將違反本規則,尤其是當控管 者未能完全指出或減低風險時,監管機關應於收受諮詢請求後 8 周內, 提供書面意見予控管者並視情形予處理者,並得行使其於第 58 條所 載之任何權力。該期間可因處理之複雜程度再延長 6 周。監管機關應 於收受諮詢請求後 1 個月內通知控管者並視情形通知處理者上開延 期情況及延期原因。該等期間得中止至監管機關取得提供諮詢所需之 資訊。

相关文章
相关文章

3. 依第 1 項諮詢監管機關時,控管者應提供監管機關:

(a) 於可適用時,涉及處理之控管者、共同控管者及處理者分別之責 任,尤其是在企業集團內所為之處理;

(b) 該處理之目的及方法;

(c) 依本規則保護資料主體權利及自由之措施及保護方式;

(d) 於可適用時,資料保護員之詳細聯絡方式;

(e) 依第 35 條提供之資料保護影響評估;及

相关文章
相关文章

(f) 其他任何監管機關要求之資訊。

4. 會員國應於提出將由國會採納之立法措施建議之準備期間,或依 該立法措施之管制措施的準備期間,視何者與處理有關,而諮詢監管 機關。

5. 會員國法得不受第 1 項之拘束,要求控管者針對由控管者為公共 利益履行任務之處理,包含與社會保護及公共健康有關之處理,諮詢 並自監管機關取得事前授權。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

ISO 27701 献技 发表评论
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 36 GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


访问全文

献技

(94) 當資料保護影響評估指出某處理在缺乏保護措施、安全措施及 機制以降低風險時可能導致對當事人之權利與自由有高風險,且控管 者同意該風險無法在可及技術及執行成本下以合理措施降低時,應於 處理活動開始前向監管機關諮詢。此種高風險可能肇因於某類型之處 理及處理之程度與頻率,也可能導致損害之實現與對當事人之權利與自由之干擾。監管機關應於特定期限內回應諮詢之請求。然而,監管 機關於一定期限內之不作為不應損及監管機關依照本規則所定之任 務與權力所為之任何介入。作為諮詢過程之一部分,為待決資料處理 所執行之資料保護影響評估結果得提交予監管機關,尤其是預定用以 降低對當事人權利與自由之風險的措施。

(95) 當有必要且受到請求時,處理者應協助控管者確實遵循衍生自 執行資料保護影響評估之義務及衍生自先前監管機關諮詢之義務。

(96) 規範個人資料處理之立法或行政措施之準備階段亦應進行監管 機關之諮詢,以確保所欲進行之處理遵循本規則,尤其要降低資料主 體所涉之風險。

发表评论
[js-disqus]