4. Kitais 1 dalyje nenurodytais atvejais duomenų valdytojas arba duomenų tvarkytojas, arba asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams, gali paskirti arba, jei to reikalaujama Sąjungos ar valstybės narės teisėje, paskiria duomenų apsaugos pareigūną. Duomenų pareigūnas gali veikti tokių asociacijų ir kitų įstaigų, atstovaujančių duomenų valdytojams arba duomenų tvarkytojams, vardu.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 37 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
(EN) […]
(EN) Sign in
to read the full text
(97) kai duomenis tvarko valdžios institucija, išskyrus teismus ar nepriklausomas teismines institucijas, vykdančias savo teisminius įgaliojimus, kai privačiajame sektoriuje duomenis tvarko duomenų valdytojas, kurio pagrindinę veiklą sudaro duomenų tvarkymo operacijos, kurioms atlikti reikia reguliariai ir sistemingai stebėti duomenų subjektus dideliu mastu, arba kai duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu ir duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas, duomenų valdytojui ar duomenų tvarkytojui stebėti, kaip viduje laikomasi šio reglamento, turėtų padėti asmuo, turintis ekspertinių duomenų apsaugos teisės ir praktikos žinių. Privačiajame sektoriuje duomenų valdytojo pagrindinė veikla yra susijusi su jo svarbiausia veikla ir nesusijusi su asmens duomenų tvarkymu kaip papildoma veikla. Būtinas ekspertinių žinių lygis turėtų būti nustatomas visų pirma atsižvelgiant į atliekamas duomenų tvarkymo operacijas ir duomenų valdytojo arba duomenų tvarkytojo tvarkomų asmens duomenų reikiamą apsaugą. Tokie duomenų apsaugos pareigūnai, nepriklausomai nuo to, ar jie yra duomenų valdytojo darbuotojai, savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai;
(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:
(EN) […]
(EN) Sign in
to read the full text