Waarom artikel 27 van de AVG van belang is: naleving garanderen voor bedrijven buiten de EU
GDPR Artikel 27 gaat grotendeels over het beschermen van de rechten van Britse (of EU-) burgers, in het geval dat hun gegevens worden verwerkt door organisaties buiten hun thuisland (of buiten hun plaatselijke politieke unie), grotendeels door de benoeming van een formele vertegenwoordiger.
AVG Artikel 27 Wettelijke tekst
EU AVG-versie
Vertegenwoordigers van verwerkingsverantwoordelijken of verwerkers die niet in de Unie zijn gevestigd
- Wanneer artikel 3, lid 2, van toepassing is, wijst de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de Unie aan.
- De in lid 1 van dit artikel vastgelegde verplichting is niet van toepassing op:
- Een incidentele verwerking omvat niet op grote schaal de verwerking van bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10, en het is onwaarschijnlijk dat dit zal gebeuren resulteren in een risico voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, context, omvang en doeleinden van de verwerking; of
- Een overheidsinstantie of -orgaan.
- De vertegenwoordiger is gevestigd in een van de lidstaten waar de betrokkenen, wier persoonsgegevens worden verwerkt in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gemonitord, zich bevinden.
- De vertegenwoordiger krijgt van de verwerkingsverantwoordelijke of de verwerker de opdracht om naast of in plaats van de verwerkingsverantwoordelijke of de verwerker door met name de toezichthoudende autoriteiten en de betrokkenen te worden aangesproken over alle kwesties die verband houden met de verwerking, teneinde de naleving van deze bepalingen te garanderen. Regulatie.
- De aanwijzing van een vertegenwoordiger door de verwerkingsverantwoordelijke of de verwerker laat eventuele rechtsvorderingen tegen de verwerkingsverantwoordelijke of de verwerker zelf onverlet.
Britse AVG-versie
Vertegenwoordigers van verwerkingsverantwoordelijken of verwerkers die niet in het Verenigd Koninkrijk zijn gevestigd
- Wanneer artikel 3, lid 2, van toepassing is, wijst de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in het Verenigd Koninkrijk aan.
- De in lid 1 van dit artikel vastgelegde verplichting is niet van toepassing op:
- Een incidentele verwerking omvat niet op grote schaal de verwerking van bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10, en het is onwaarschijnlijk dat dit zal gebeuren resulteren in een risico voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, context, omvang en doeleinden van de verwerking; of
- Een overheidsinstantie of -orgaan.
- De vertegenwoordiger krijgt van de verwerkingsverantwoordelijke of verwerker de opdracht om naast of in plaats van de verwerkingsverantwoordelijke of de verwerker door, in het bijzonder, de commissaris en de betrokkenen te worden aangesproken over alle kwesties die verband houden met de verwerking, met het oog op het waarborgen van de naleving van deze bepalingen. Regulatie.
- De aanwijzing van een vertegenwoordiger door de verwerkingsverantwoordelijke of de verwerker laat eventuele rechtsvorderingen tegen de verwerkingsverantwoordelijke of de verwerker zelf onverlet.
Technisch commentaar
Voortdurende naleving wordt in artikel 27 van de AVG gemeten op vier hoofdgebieden:
- De voorwaarden voor toepasselijkheid – dwz wie de verantwoordelijke voor de verwerking kan vertegenwoordigen, of dit nu een advocatenkantoor, adviesbureau of een particuliere onderneming is;
- Vrijstellingen;
- Waar de vertegenwoordigers zich moeten bevinden;
- De verplichtingen en verantwoordelijkheden van de vertegenwoordigers.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.3.1.1 (Informatiebeveiligingsrollen en verantwoordelijkheden) en EU AVG Artikel 27
In deze sectie praten we over AVG-artikelen 27 (1), (2)(a), (2)(b), (3), (4) en (5)
Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.
Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, waaronder:
- De bescherming van PII en alle privacygerelateerde activa;
- Het uitvoeren van privacybeschermingsprocedures;
- PII-gerelateerde risicobeheeractiviteiten, inclusief herstelmaatregelen;
- Iedereen die gebruik maakt van de informatie en gegevens van de organisatie, inclusief het gebruik van ICT-middelen;
- Individuen met de hoogste verantwoordelijkheid voor de bescherming van de privacy die taken aan anderen delegeren.
ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.
Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.
Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 paragraaf 7.3.2).
Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.
Ondersteunende ISO 27701-clausules
- ISO 27701 Clausule 7.3.2
Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 27 (1) tot (5) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Hoe ISMS.online helpt
We hebben eenvoudig te gebruiken functies waarmee u aan de slag kunt gaan met gegevensprivacy zodra u zich aanmeldt, ongeacht of u een beginneling bent of een expert die meerdere standaarden en voorschriften wil integreren.
Data mapping is eenvoudig met onze PIMS-oplossing. Met behulp van onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten kunt u alles eenvoudig vastleggen en bekijken.
Als u werkt aan privacynormen of -regelgeving, moet u aantonen dat u Data Subject Rights Requests (DRR) goed beheert. Onze beveiligde DRR-ruimte bewaart alles op één plek en ondersteunt het met geautomatiseerde rapportage en inzicht.
Lees hoe we u kunnen helpen bereik uw AVG-doelen door een demo van 30 minuten te boeken.
