Accueil > Article 37. Désignation du délégué à la protection des données
Télécharger le PDF

Article 37 RGPD. Désignation du délégué à la protection des données

Article 37 GDPR. Designation of the data protection officer

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

1. The controller and the processor shall designate a data protection officer in any case where:

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

Paragraphes connexes

2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

Paragraphes connexes

6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

Explication ISO 27701 Considérants Lignes directrices & Jurisprudence Leave a comment
Explication

(RU) В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).

В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:

  1. если обработка данных производится гос.органами (за исключением судов);
  2. если основная деятельность компании (контролера или процессора) требует регулярного и систематического контроля субъектов данных, включая в себя обработку больших объемов персональных данных, либо сама природа обработки подразумевает постоянный контроль субъектов данных. Например, сервис такси типа Uber использует большие массивы информации как о пассажирах (геолокация, адреса, платежные данные), так и водителей (рейтинг, маршруты, данные об авто и т.п.), что является систематическим мониторингом субъектов данных, следовательно, DPO необходим; 
  3. если основной деятельностью компании (контролера или процессора), является обработка в большом объеме специальных категорий данных или данных, касающихся осужденных по уголовным делам и правонарушений (о специальных категориях данных речь идет в статье 9. Это, например, данные о здоровье, о расовой или этнической принадлежности, о сексуальной ориентации и т.п.). Например, страховая компания обрабатывает широкий спектр персональных данных о большом количестве людей, включая медицинские показания и другую медицинскую информацию. Это можно рассматривать как крупномасштабную обработку данных специальных категорий, соответственно, необходимо назначить DPO.

В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама. 

При определении большого объема обработки необходимо принимать во внимание следующие факторы:

  • число субъектов данных;
  • объем обрабатываемых персональных данных;
  • диапазон обрабатываемых различных элементов данных;
  • географические масштабы обработки; и
  • продолжительность или постоянство обработки.

Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.

[…]


lire le texte complet

Auteur
Maria Arnst CIPM, TÜV
Consultante RGPD
ISO 27701
Considérants

(97) Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

Lignes directrices & Jurisprudence Leave a comment