Таблиця перехресних посилань (Cross-reference matrix) вимог Стандарту ISO/IEC 27701 для імплементації Статті 36 GDPR щодо проведення попередніх консультацій з уповноваженим органом із ЗПД (Prior consultation) з метою оцінювання впливу на захист ПД (відповідно до вимог статті 35 GDPR Data protection impact assessment) ISO/IEC 27701 (в частині доповнення розділу 4.2 ISO/IEC 27001) 5.2.2 Understanding the needs and expectations of interested parties The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals
5.2.2 Розуміння потреб та очікувань зацікавлених сторін Організація повинна включати до переліку зацікавлених сторін (див. ISO/IEC 27001: 2013, 4.2) усіх суб’єктів відносин, пов’язаних з ПД при їх обробці, відповідно до принципів обробки ПД.
ПРИМІТКА 1 Інші зацікавлені сторони можуть включати замовників (див. 4.4 ISO 27701), контролюючих органів, інших контролерів PII, процесорів PII та їх субпідрядників Requirements relevant to the ПРИМІТКА 2 Вимоги, пов'язані з processing of PII can be determined обробкою ПД, можуть визначатися by legal and regulatory requirements, законодавчими та нормативними by contractual obligations and by self- вимогами, договірними imposed organizational objectives. зобов'язаннями та цілями обробки, The privacy principles set out in які визначаються в організації. ISO/IEC 29100 provide guidance Принципи приватності, викладені в concerning the processing of PII ISO/IEC 29100, дають вказівки щодо обробки PII As an element to demonstrate ПРИМІТКА 3. Як елемент, що compliance to the organization’s демонструє дотримання зобов'язань obligations, some interested parties в організації, деякі зацікавлені Other interested parties can include customers (see 4.4 ISO 27701), supervisory authorities, other PII controllers, PII processors and their subcontractors
GDPR Ст. 36 Попередня консультація 1. Контролер повинен провести консультацію з наглядовим органом до початку обробки ПД у разі, якщо оцінка впливу на захист ПД, передбачена Ст. 35 свідчить про те, що обробка призведе до виникнення високого ризику в разі відсутності заходів, які вживає контролер для зниження ризику. 2. Якщо наглядовий орган вважає, що оцінювання, вказане в п.1, може порушити Регламент, зокрема, якщо контролер недостатньо ідентифікував або знизив ризик, наглядовий орган, протягом періоду до восьми тижнів після отримання запиту на консультацію, повинен надати контролеру письмові рекомендації та, в разі необхідності, процесору, а також може використовувати будь-які інщі повноваження, передбачені в Ст. 58. Цей період може бути подовжено на шість тижнів, з огляду на складність обробки ПД, що планується. Наглядовий орган інформує контролера та, в разі
Art. 36 Prior consultation 1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk. 2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the
can expect that the organization be in conformity with specific standards, such as the Management System specified in this document, and/or any relevant set of specifications. These parties can call for independently audited compliance to these standards. ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers
сторони можуть очікувати, що організація відповідає конкретним стандартам, таким як Система управління, зазначена в цьому стандарті, та/або будь-який відповідний набір специфікацій. Ці сторони можуть проходити процедуру незалежної аудиторської перевірки відповідності цим стандартам. ISO/IEC 27701, прийнятий у 2019 році, додав додаткові рекомендації до ISO/IEC 27002 для контролерів PII
Here is the relevant paragraph to article 36 GDPR
Ще один відповідний параграф до статті 36 GDPR
7.2.5 Privacy impact assessment Control The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned
7.2.5 Оцінка впливу на приватність Контроль Організація повинна оцінити необхідність та здійснити, де це необхідно, оцінку впливу на приватність до початку нової обробки ПД або зміна існуючої обробки ПД
Implementation guidance
Рекомендації щодо впровадження
PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment Some jurisdictions define cases for which a privacy impact assessment is mandated
Обробка ПД створює ризики для принципів обробки ПД. Ці ризики слід оцінювати за допомогою оцінки впливу на приватність В деяких випадках оцінка впливу на приватність передбачена на правовому рівні
необхідності процесора, про будьяке таке подовження протягом одного місяця з дати отримання запиту на консультацію разом з інформацією про причини такої затримки. Такі періоди може бути призупинено до отримання наглядовим органом інформації, яку він запитував для цілей консультації.
controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.
3. При проходженні процедури проведення консультацій відповідно до параграфа 1, контролер повинен надати наглядовому органу: (a) в разі необхідності, інформацію про відповідні обов’язки контролера, об’єднаних контролерів і процесорів, залучених до обробки, зокрема, для обробки в межах групи підприємств;
3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with: (a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;
(b) цілі та засоби запланованої обробки ПД; (c) засоби та гарантії, передбачені для захисту прав і свобод суб’єктів ПД;
(b) the purposes and means of the intended processing; (c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation (d) where applicable, the contact details of the data protection officer;
(d) в разі необхідності, контактні дані співробітника з питань захисту даних;
Criteria can include automated decision making which produces legal effects on PII principals, large scale processing of special categories of PII (e.g. health-related information, racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, genetic data or biometric data), or systematic monitoring of a publicly accessible area on a large scale
Критерії оцінювання можуть включати автоматизоване прийняття рішень, яке може мати правові наслідки для принципів обробки ПД, масштабну обробку спеціальних категорій ПД (наприклад, інформацію, пов’язану зі станом здоров’ям, расовим чи етнічним походженням, участь у політичних партіях, релігійні чи філософські переконання, членство в профспілках, генетичні дані або біометричні дані) або систематичний моніторинг загальнодоступної території у значному обсязі.
(e) оцінку впливу на захист даних, передбачену в статті 35; і
The organization should determine the elements that are necessary for the completion of a privacy impact assessment. These can include a list of the types of PII processed, where the PII is stored and where it can be transferred
Організація повинна самостійно визначити елементи, необхідні для проведення оцінки впливу на приватність. Вони можуть включати перелік категорій ПД, що обробляється, елементи та процедури в організації, що задіяні при реалізації процедур зберігання та передачі ПД Діаграми потоку даних та Карти даних також можуть бути корисними в цьому контексті (див. Детальну інформацію про обробку PII, яка може повідомити про вплив на приватність або іншу оцінку ризику)
5. Без обмеження дії п.1, законодавство держав-членів ЄС може вимагати від контролерів проводити консультації та отримувати попередній дозвіл від наглядового органу щодо опрацювання контролером для реалізації завдання, яке виконує контролер для цілей суспільного інтересу, в тому числі, опрацювання в сфері соціального захисту і охорони суспільного здоров’я.
Data flow diagrams and data maps can also be helpful in this context (see 7.2.8 for details of records of the processing of PII that can inform a privacy impact or other risk assessment)
(f) будь-яку іншу інформацію, яку запитує наглядовий орган. 4. Держави-члени ЄС повинні консультуватися з наглядовим органом під час підготовки пропозиції для змін законодавства або нормативного забезпечення у питаннях обробки ПД.
(e) the data protection impact assessment provided for in Article 35; and (f) any other information requested by the supervisory authority. 4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.
5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.
Додатково: При імплементації заходів щодо оцінки впливу на приватність при обробці ПД стандарт ISO/IEC також рекомендує використовувати вимоги стандарту ISO/IEC 29134