Navigace
ONOOÚ (GDPR) > Статья 38. Должность инспектора по защите персональных данных
Stáhnout

Статья 38 GDPR. Должность инспектора по защите персональных данных

1. Контролёр и процессор гарантируют, что инспектор по защите персональных данных принимает надлежащее и оперативное участие во всех вопросах, связанных с защитой персональных данных.

2. Контролёр и процессор должны оказывать поддержку инспектору по защите персональных данных в выполнении его/ее задач, упомянутых в Статье 39, посредством предоставления ресурсов, необходимых для осуществления указанных задач, и доступа к персональным данным и процессу обработки, а также ресурсов, необходимых для поддержания его/ее экспертных знаний.

Související texty

3. Контролёр и процессор гарантируют, что инспектор по защите персональных данных не получает никаких инструкций при выполнении своих задач. Он/она не может быть уволен или наказан контролёром или процессором за выполнение своих обязанностей. Инспектор по защите персональных данных отчитывается непосредственно перед высшим руководством контролёра или процессора.

Související texty

4. Субъекты данных могут обращаться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно настоящему Регламенту.

5. Инспектор по защите персональных данных при выполнении своих задач обязан соблюдать тайну или конфиденциальность в соответствии с правом Союза или государства-члена.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 5(1)(f) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.

 

(EN) […]


to read the full text

6. Инспектор по защите персональных данных может выполнять и другие задачи и обязанности. Контролёр или процессор гарантируют, что выполнение таких задач не приводит к конфликту интересов.

Související texty
Odborný komentář ISO 27701 Body odůvodnění Pokyny & Case Law Zanechat komentář
Odborný komentář

(EN) Article 38 describes the specifics of the position of the Data Protection Officer (DPO). In particular, the emphasis is on the fact that DPO performs its work independently, while the responsibility for their timely and quality performance lies partly with the company itself (the controller or processor). Therefore, the text emphasizes that the company provides DPO with the necessary resources and access on the one hand, and is responsible for the independence of the DPO, not having the right to give them any instructions on the other.

In order to provide DPO with support, the company is recommended to ensure the following:

  • DPO is actively and timely involved in all data protection issues; DPO is invited to participate regularly in senior and middle management meetings when decisions with data protection implications are being made

(EN) […]


to read the full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 38 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

(EN) […]


to read the full text

Body odůvodnění

(97) В случае, когда обработка осуществляется государственным органом, за исключением судов или независимых судебных органов, действующих в рамках своей судейской дееспособности, если в частном секторе обработка осуществляется контролёром, центральная деятельность которого состоит в обработке, требующей регулярного и систематического мониторинга субъектов данных в большом объеме, либо когда центральная деятельность контролёра или процессора состоит в масштабной обработке специальных категорий персональных данных (чувствительных данных) и данных, связанных с судимостями и правонарушениями, лицо, обладающее экспертными знаниями в области законодательства в сфере защиты персональных данных и практики его применения, должно содействовать контролёру или процессору в осуществлении внутреннего мониторинга соблюдения настоящего Регламента. В частном секторе центральная деятельность контролёра относится к его основному виду деятельности и не относится к обработке персональных данных как вспомогательного вида деятельности. Необходимый уровень экспертных знаний должен определяться, в том числе, в соответствии с выполняемыми операциями по обработке и защитой, которая требуется для обрабатываемых контролёром или процессором персональных данных. Такие инспекторы по защите персональных данных, независимо от того, являются ли они работниками контролёра или нет, должны быть в состоянии исполнять свои обязанности и задачи независимо.

Pokyny & Case Law Zanechat komentář
[js-disqus]