Заключение 2/2017 об обработке данных в рабочее время

В настоящем Заключении используется термин «работник», однако WP29 не намерена ограничивать сферу применения этого термина только лицами, заключившими трудовой договор, признанный таковым в соответствии с применимым трудовым законодательством. За последние десятилетия все более широкое распространение получили новые бизнес-модели, обслуживаемые различными видами трудовых отношений, и в частности занятость на внештатной основе (freelance basis). Это Заключение призвано охватить все ситуации, в которых существуют трудовые отношения, независимо от того, основываются ли эти отношения на трудовом договоре.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

4.1. Контроль за соблюдением GDPR

В рамках обязанности по контролю за соблюдением Регламента DPO может, в частности:

• собирать информацию для выявления обработки персональных данных

• анализировать и проверять соответствие деятельности по обработке требованиям GDPR

• информировать, консультировать и давать рекомендации контролеру или процессору.

Контроль за соблюдением GDPR не означает, что DPO несет персональную ответственность при обнаружении несоблюдения требований Регламента. GDPR подчеркивает, что не DPO, а именно контролер «принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом» (статья 24 (1)). Соблюдение законодательства о защите персональных данных является корпоративной ответственностью контролера, а не DPO.

Статья 35 GDPR. Оценка воздействия на защиту персональных данных

Руководство по инспекторам по защите персональных данных ( «DPOs»)

4.2. Роль DPO в оценке воздействия на защиту персональных данных

WP29 рекомендует контролерам обращаться за консультацией к DPO, среди прочего, по следующим вопросам [35]:

_{[35] Статья 39 (1) упоминает о задачах DPO и указывает на то, что DPO должны иметь «по крайней мере» следующие задачи. Таким образом, ничто не мешает контролеру возлагать на DPO другие задачи помимо тех, которые упомянуты в статье 39 (1), или указывать эти задачи более подробно.}

• проводить или не проводить DPIA

• какой методологией руководствоваться при проведении DPIA

• следует ли проводить DPIA самостоятельно или доверить его на аутсорс

• какие меры (в том числе технические и организационные меры) применять для минимизации любых рисков для прав и интересов субъектов данных

• правильно ли проведена оценка воздействия на защиту персональных данных и соответствует ли ее заключение (продолжать ли обработку данных и какие меры применять) требованиям GDPR.

Если контролер не согласен с советом, предоставленным DPO, документация по DPIA должна содержать конкретное письменное обоснование, почему совет не был принят во внимание [36].

Статья 36 GDPR. Предварительная консультация

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

2.1.3.3 «характер, масштаб, контекст и цели обработки»

27. Иными словами, характер можно понимать как неотъемлемую[11] характеристику обработки. «Сфера действия» относится к размеру и направлению обработки. «Контекст» относится к обстоятельствам обработки, которые могут влиять на ожидания субъекта данных, в то время как «цель« относится к целям обработки.

_{[11] Примерами являются специальные категории персональных данных, автоматизированное принятие решений, дисбаланс властных отношений, непредсказуемая обработка, трудности для субъекта данных в осуществлении прав и т.д.}