Nawigacja
RODO > Artykuł 39. Zadania inspektora ochrony danych
Pobierz jako plik PDF

Artykuł 39 RODO. Zadania inspektora ochrony danych

Article 39 GDPR. Tasks of the data protection officer

1. Inspektor ochrony danych ma następujące zadania:

1. The data protection officer shall have at least the following tasks:

a)informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

Powiązane teksty

b)monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

ISO 27701
Powiązane teksty

c)udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

Powiązane teksty

d)współpraca z organem nadzorczym;

(d) to cooperate with the supervisory authority;

e)pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

Powiązane teksty
Komentarz eksperta ISO 27701 Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(RU) Статья 39 перечисляет список основных (но не всех) задач, которые входят в спектр обязанностей инспектора по защите данных (DPO). Среди них можно выделить три главных функции (хотя компетенции DPO не обязательно ограничиваются только ими): 

  1. Консультирование (39.1a, c),
  2. Контроль / мониторинг (39.1b),
  3. Связь с надзорным органом (39.1d, e).

1. Функция консультирование заключается в том, что DPO предоставляет информацию и пояснения о GDPR и его соблюдении контролеру и процессору, а также сотрудникам контролера и процессора, которые вовлечены в обработку персональных данных. В частности, роль DPO важна при проведении оценки воздействия на защиту персональных данных (DPIA), так как DPO консультирует и контролирует ее осуществление в соответствии со Статьей 35 GDPR. WP29 рекомендует контроллеру обращаться за консультацией к DPO, например, по следующим вопросам:

  • проводить или не проводить DPIA;
  • какой методологией следует руководствоваться при проведении DPIA;
  • проводить DPIA собственными силами или передавать его на внешний подряд;
  • какие гарантии (включая технические и организационные меры) следует применять для смягчения любых последствий;
  • риски для прав и интересов субъектов персональных данных;
  • была ли проведена оценка воздействия на защиту данных правильно и соответствуют ли ее выводы GDPR (следует ли продолжать обработку и какие меры предосторожности следует применять).

2. Что касается контролирующей (мониторинговой) функции DPO, то здесь имеется ввиду контроль соблюдения законодательства о защите данных и внутренних нормативных актов по защите персональных данных, а также повышение осведомленности по вопросам защиты данных, обучение персонала и проведение внутреннего аудита. В рамках этих обязанностей по контролю за соблюдением требований DPO могут, в частности, делать следующее:

  • собирать информацию для выявления  деятельности по обработке персональных данных;
  • анализировать и проверять соответствия этой деятельности;
  • информирование, консультирование и выдача рекомендаций контроллеру или процессору по конкретным процессам и обработкам и т.п.

Следует также уточнить, что наличие мониторинговой функции у DPO не означает, что именно DPO несет личную ответственность в случаях несоблюдения. В  GDPR четко указано, что именно контролер обязан „принимать надлежащие технические и организационные меры для обеспечения и демонстрации того, что обработка осуществляется в соответствии с настоящим регламентом” (Статья 24(1)). Соблюдение требований по защите данных является корпоративной ответственностью владельца данных, а не DPO. 

3. Кроме того, DPO также сотрудничает с надзорным органом и является первым контактным лицом для контролирующих органов и для лиц, чьи данные обрабатываются. Можно сказать, что у DPO роль координатора или фасилитатора, о чем надзорные органы говорят в некоторых своих руководствах (Guidelines). Например, DPO выступает в качестве контактного пункта, чтобы облегчить надзорному органу  доступ к документам и информации для выполнения задач, упомянутых в Статье 57, а также для осуществления своих следственных, корректирующих, разрешающих и консультационных полномочий, упомянутых в Статье 58. Как известно из Статьи 38, DPO обязан соблюдать профессиональную тайну при выполнении своих обязанностей. Однако обязанность соблюдать тайну/конфиденциальность не запрещает DPO связываться с надзорным органом и обращаться за советом к нему.


aby uzyskać dostęp do pełnego tekstu

(EN) Author
(EN) Maria Arnst CIPM, TÜV
(EN) GDPR Consultant
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 39 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


aby uzyskać dostęp do pełnego tekstu

Wytyczne & Case Law zostaw komentarz