Nawigacja
RODO > Artyku艂 37. Wyznaczenie inspektora ochrony danych
Pobierz jako plik PDF

Artyku艂 37 RODO. Wyznaczenie inspektora ochrony danych

Article 37 GDPR. Designation of the data protection officer

1. Administrator i podmiot przetwarzaj膮cy wyznaczaj膮 inspektora ochrony danych, zawsze gdy:

1. The controller and the processor shall designate a data protection officer in any case where:

a) przetwarzania dokonuj膮 organ lub podmiot publiczny, z wyj膮tkiem s膮d贸w w zakresie sprawowania przez nie wymiaru sprawiedliwo艣ci;

(a)聽the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

Powi膮zane teksty

b) g艂贸wna dzia艂alno艣膰 administratora lub podmiotu przetwarzaj膮cego polega na operacjach przetwarzania, kt贸re ze wzgl臋du na sw贸j charakter, zakres lub cele wymagaj膮 regularnego i systematycznego monitorowania os贸b, kt贸rych dane dotycz膮, na du偶膮 skal臋; lub

(b)聽the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

Powi膮zane teksty

c) g艂贸wna dzia艂alno艣膰 administratora lub podmiotu przetwarzaj膮cego polega na przetwarzaniu na du偶膮 skal臋 szczeg贸lnych kategorii danych osobowych, o kt贸rych mowa w art. 9 ust. 1, oraz danych osobowych dotycz膮cych wyrok贸w skazuj膮cych i narusze艅 prawa, o czym mowa w art. 10.

(c)聽the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article聽9 or personal data relating to criminal convictions and offences referred to in Article聽10.

Powi膮zane teksty

2. Grupa przedsi臋biorstw mo偶e wyznaczy膰 jednego inspektora ochrony danych, o ile mo偶na b臋dzie 艂atwo nawi膮za膰 z nim kontakt z ka偶dej jednostki organizacyjnej.

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

Powi膮zane teksty

3. Je偶eli administrator lub podmiot przetwarzaj膮cy s膮 organem lub podmiotem publicznym, dla kilku takich organ贸w lub podmiot贸w mo偶na wyznaczy膰 鈥 z uwzgl臋dnieniem ich struktury organizacyjnej i wielko艣ci 鈥 jednego inspektora ochrony danych.

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

Powi膮zane teksty

4. W przypadkach innych ni偶 te, o kt贸rych mowa w ust. 1, administrator, podmiot przetwarzaj膮cy, zrzeszenia lub inne podmioty reprezentuj膮ce okre艣lone kategorie administrator贸w lub podmiot贸w przetwarzaj膮cych mog膮 wyznaczy膰 lub je偶eli wymaga tego prawo Unii lub prawo pa艅stwa cz艂onkowskiego, wyznaczaj膮 inspektora ochrony danych. Inspektor ochrony danych mo偶e dzia艂a膰 w imieniu takich zrzesze艅 i innych podmiot贸w reprezentuj膮cych administrator贸w lub podmioty przetwarzaj膮ce.

4. In cases other than those referred to in paragraph聽1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczeg贸lno艣ci wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiej臋tno艣ci wype艂nienia zada艅, o kt贸rych mowa w art. 39.

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article聽39.

Powi膮zane teksty

6. Inspektor ochrony danych mo偶e by膰 cz艂onkiem personelu administratora lub podmiotu przetwarzaj膮cego lub wykonywa膰 zadania na podstawie umowy o 艣wiadczenie us艂ug.

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

7. Administrator lub podmiot przetwarzaj膮cy publikuj膮 dane kontaktowe inspektora ochrony danych i zawiadamiaj膮 o nich organ nadzorczy.

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:

  • if data processing is performed by state authorities (except for courts)


aby uzyska膰 dost臋p do pe艂nego tekstu

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(97) Je偶eli przetwarzania dokonuje organ publiczny z wyj膮tkiem s膮d贸w lub niezale偶nych organ贸w wymiaru sprawiedliwo艣ci w ramach sprawowania wymiaru sprawiedliwo艣ci lub je偶eli w sektorze prywatnym przetwarzania dokonuje administrator, kt贸rego g艂贸wna dzia艂alno艣膰 polega na operacjach przetwarzania wymagaj膮cych regularnego i systematycznego monitorowania os贸b, kt贸rych dane dotycz膮, na du偶膮 skal臋 lub je偶eli g艂贸wna dzia艂alno艣膰 administratora lub podmiotu przetwarzaj膮cego polega na przetwarzaniu na du偶膮 skal臋 szczeg贸lnych kategorii danych osobowych oraz danych osobowych dotycz膮cych wyrok贸w skazuj膮cych i narusze艅 prawa, to w monitorowaniu wewn臋trznego przestrzegania niniejszego rozporz膮dzenia administrator lub podmiot przetwarzaj膮cy powinni by膰 wspomagani przez osob臋 dysponuj膮c膮 wiedz膮 fachow膮 na temat prawa i praktyk w dziedzinie ochrony danych. W sektorze prywatnym przetwarzanie danych osobowych jest g艂贸wn膮 dzia艂alno艣ci膮 administratora, je偶eli oznacza jego zasadnicze, a nie poboczne czynno艣ci. Niezb臋dny poziom wiedzy fachowej nale偶y ustali膰 w szczeg贸lno艣ci w 艣wietle prowadzonych operacji przetwarzania danych oraz ochrony, kt贸rej wymagaj膮 dane osobowe przetwarzane przez administratora lub podmiot przetwarzaj膮cy. Tacy inspektorzy ochrony danych 鈥 bez wzgl臋du na to, czy s膮 pracownikami administratora 鈥 powinni by膰 w stanie wykonywa膰 swoje obowi膮zki i zadania w spos贸b niezale偶ny.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

Wytyczne & Case Law zostaw komentarz
[js-disqus]