Article 37 📖 GDPR. Designation of the data protection officer

Статья 37 GDPR. Назначение инспектора по защите персональных данных

Article 37 GDPR. Designation of the data protection officer

1. Контролёр и процессор должны назначить инспектора по защите персональных данных в любом из следующих случаев:

1. The controller and the processor shall designate a data protection officer in any case where:

(a) обработка осуществляется государственным органом или учреждением, за исключением судов при осуществлении правосудия;

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

2.1.1 ‘PUBLIC AUTHORITY OR BODY’

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

The GDPR does not define what constitutes a ‘public authority or body’. The WP29 considers that such a notion is to be determined under national law. Accordingly, public authorities and bodies include national, regional and local authorities, but the concept, under the applicable national laws, typically also includes a range of other bodies governed by public law [12]. In such cases, the designation of a DPO is mandatory.

_{[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).}

_{[12] See, e.g. the definition of ‘public sector body’ and ‘body governed by public law’ in Article 2(1) and (2) of Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public-sector information (OJ L 345, 31.12.2003, p. 90).}

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

A public task may be carried out, and public authority may be exercised [13] not only by public authorities or bodies but also by other natural or legal persons governed by public or private law, in sectors such as, according to national regulation of each Member State, public transport services, water and energy supply, road infrastructure, public service broadcasting, public housing or disciplinary bodies for regulated professions.

_{[13] Статья 6(1)(е).}

_{[13] Article 6(1)(e).}

(b) основная деятельность контролёра или процессора состоит из операций по обработке данных, которые в силу своего характера, объема и/или целей, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

3. Что означает «крупномасштабный»?

3. What does ‘large scale’ mean?

GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:

The GDPR does not define what constitutes large-scale processing. The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

• количество субъектов данных – в виде определенного числа или доли населения соответствующего региона

• the number of data subjects concerned – either as a specific number or as a proportion of the relevant population

• объем обрабатываемых данных и/или диапазон различных элементов обрабатываемых данных

• the volume of data and/or the range of different data items being processed

• длительность или постоянство деятельности по обработке персональных данных

• the duration, or permanence, of the data processing activity

• географические масштабы деятельности по обработке персональных данных.

• the geographical extent of the processing activity.

Примеры крупномасштабной обработки включают в себя:

Examples of large scale processing include:

• обработку данных о пациенте в ходе обычной деятельности больницы

• processing of patient data in the regular course of business by a hospital

• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)

• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)

• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности

• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities

• обработку данных клиента в ходе обычной деятельности страховой компании или банка

• processing of customer data in the regular course of business by an insurance company or a bank

• обработку персональных данных для поведенческой рекламы с помощью поисковой системы

• processing of personal data for behavioural advertising by a search engine

• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.

• processing of data (content, traffic, location) by telephone or internet service providers.

Примеры, которые не составляют крупномасштабную обработку, включают в себя:

Examples that do not constitute large-scale processing include:

• обработку данных пациента, осуществляемую индивидуальным врачом

• processing of patient data by an individual physician

• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.

• processing of personal data relating to criminal convictions and offences by an individual lawyer.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

2.1.2 «ОСНОВНАЯ ДЕЯТЕЛЬНОСТЬ»

2.1.2 ‘CORE ACTIVITIES’

Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.

Article 37(1)(b) and (c) of the GDPR refers to the ‘core activities of the controller or processor’. Recital 97 specifies that the core activities of a controller relate to ‘primary activities and do not relate to the processing of personal data as ancillary activities’. ‘Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals.

Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.

However, ‘core activities’ should not be interpreted as excluding activities where the processing of data forms an inextricable part of the controller’s or processor’s activity. For example, the core activity of a hospital is to provide health care. However, a hospital could not provide healthcare safely and effectively without processing health data, such as patients’ health records. Therefore, processing these data should be considered to be one of any hospital’s core activities and hospitals must therefore designate DPOs.

2.1.4 «РЕГУЛЯРНЫЙ И СИСТЕМАТИЧЕСКИЙ МОНИТОРИНГ»

2.1.4 ‘REGULAR AND SYSTEMATIC MONITORING’

WP29 толкует слово «регулярный» в следующих значениях:

WP29 interprets ‘regular’ as meaning one or more of the following:

• происходящий с определенными интервалами в определенный период

• ongoing or occurring at particular intervals for a particular period

• повторяющийся в определенное время

• recurring or repeated at fixed times

• постоянно или периодически происходящий.

• constantly or periodically taking place.

WP29 трактует «систематический» в следующих значениях:

WP29 interprets ‘systematic’ as meaning one or more of the following:

• происходящий в соответствии с системой

• occurring according to a system

• заранее организованный или методичный

• pre-arranged, organised or methodical

• происходящий в рамках общего плана по сбору данных

• taking place as part of a general plan for data collection

• проводимый в рамках стратегии.

• carried out as part of a strategy.

(c) основная деятельность контролёра или процессора заключается в обработке специальных категорий данных в больших масштабах согласно статье 9 и персональных данных, касающихся судимостей и правонарушений согласно статье 10.

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. Параграф 1 не применяется, в одном из следующих случаев:

2. Paragraph 1 shall not apply if one of the following applies:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Article 10 GDPR. Processing of personal data relating to criminal convictions and offences

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.