Nawigacja
RODO > Artyku艂 39. Zadania inspektora ochrony danych
Pobierz jako plik PDF

Artyku艂 39 RODO. Zadania inspektora ochrony danych

Article 39 GDPR. Tasks of the data protection officer

1. Inspektor ochrony danych ma nast臋puj膮ce zadania:

1. The data protection officer shall have at least the following tasks:

a) informowanie administratora, podmiotu przetwarzaj膮cego oraz pracownik贸w, kt贸rzy przetwarzaj膮 dane osobowe, o obowi膮zkach spoczywaj膮cych na nich na mocy niniejszego rozporz膮dzenia oraz innych przepis贸w Unii lub pa艅stw cz艂onkowskich o ochronie danych i doradzanie im w tej sprawie;

(a)聽to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

Powi膮zane teksty

b) monitorowanie przestrzegania niniejszego rozporz膮dzenia, innych przepis贸w Unii lub pa艅stw cz艂onkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzaj膮cego w dziedzinie ochrony danych osobowych, w tym podzia艂 obowi膮zk贸w, dzia艂ania zwi臋kszaj膮ce 艣wiadomo艣膰, szkolenia personelu uczestnicz膮cego w operacjach przetwarzania oraz powi膮zane z tym audyty;

(b)聽to monitor compliance with this Regulation, with other Union or Member聽State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

ISO 27701
Powi膮zane teksty

c) udzielanie na 偶膮danie zalece艅 co do oceny skutk贸w dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

(c)聽to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article聽35;

Powi膮zane teksty

d) wsp贸艂praca z organem nadzorczym;

(d)聽to cooperate with the supervisory authority;

e) pe艂nienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach zwi膮zanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o kt贸rych mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

(e)聽to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article聽36, and to consult, where appropriate, with regard to any other matter.

2. Inspektor ochrony danych wype艂nia swoje zadania z nale偶ytym uwzgl臋dnieniem ryzyka zwi膮zanego z operacjami przetwarzania, maj膮c na uwadze charakter, zakres, kontekst i cele przetwarzania.

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

Powi膮zane teksty
Komentarz eksperta ISO 27701 Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) Article 39 lists the main (but not all) tasks that fall under the remit of the Data Protection Officer (DPO). Among them, there are three main functions (although DPO competences are not necessarily limited to them):

  1. Consulting (39.1a, c),
  2. Control / monitoring (39.1b),
  3. Relationship with the supervising authorities (39.1d, e).

1. The consulting function means that the DPO provides information and explanations about the GDPR and its compliance to the controller and processor as well as to the employees of the controller and processor who are involved in the processing of personal data. In particular the role of DPO is important in the context of Data Protection Impact Assessment (DPIA), because DPO advises and monitors its implementation according to Article 35 of the GDPR. WP29 recommends that the controller seeks the advice of the DPO, e.g. on the following issues:

  • whether or not to conduct a DPIA


aby uzyska膰 dost臋p do pe艂nego tekstu

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 39 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law zostaw komentarz
[js-disqus]