Статья 39 GDPR. Задачи инспектора по защите персональных данных

1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:

(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;

(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;

(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;

(d) сотрудничать с надзорным органом;

(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.

2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

3.2. Необходимые ресурсы

Статья 38 (2) GDPR требует от организаций оказывать поддержку своим DPO посредством «предоставления ресурсов, необходимых для выполнения [их] задач и доступа к персональным данным и операциям по их обработке, а также ресурсов, необходимых для поддержания его или ее экспертных знаний». В частности, следует рассматривать следующие составляющие:

• активную поддержку деятельности DPO со стороны высшего руководства (например, на уровне совета директоров)

• время, достаточное для выполнения DPO своих обязанностей. Это особенно важно, когда внутренний DPO работает неполный рабочий день или когда внешний DPO занимается вопросами защиты персональных данных в дополнение к другим обязанностям. В противном случае конфликтующие приоритеты могут привести к пренебрежению обязанностями DPO. Поэтому наличие достаточного времени, которое можно посвятить задачам DPO, имеет первостепенное значение. Хорошей практикой является установление процента времени, отводимого для выполнения функций DPO в условиях частичной занятости. Хорошей практикой также является определение времени, необходимого для выполнения функций DPO, соответствующего уровня приоритета для обязанностей DPO, а также составление плана работы самим DPO или организацией

• адекватную поддержку с точки зрения финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях

• официальное уведомление всех сотрудников о назначении DPO для того, чтобы гарантировать, что о его существовании и функциях известно в пределах организации

• необходимый доступ к другим ресурсам, например, кадрам, правовой помощи, IT, безопасности и т.д. для того, чтобы DPO мог получать существенную поддержку и информацию

• непрерывное обучение. DPO должна быть предоставлена ​​возможность идти в ногу со временем в области защиты персональных данных. Цель должна состоять в постоянном повышении уровня знаний DPO, и их следует стимулировать к участию в учебных курсах по защите персональных данных и других формах профессионального развития, таких, как участие в форумах по приватности, круглых столах и т.д.

• учитывая размер и структуру организации, может потребоваться создать команду DPO (сам DPO и его сотрудники). В таких случаях необходимо четко прописывать внутреннюю структуру команды, задачи и обязанности каждого из ее членов. Точно так же, когда функция DPO осуществляется внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда, под ответственность назначенного главного контактного лица для клиента.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

3.3. Указания и “выполнение обязанностей и задач в независимом порядке”

Это означает, что при выполнении своих задач в соответствии со статьей 39 DPO не должен получать указания, как разрешить тот или иной вопрос, например, какой результат должен быть достигнут, каким образом изучать жалобу или консультироваться ли с надзорным органом. Кроме того, нельзя указывать DPO придерживаться определенного взгляда на вопрос, связанный с законодательством о защите персональных данных, например, особого толкования закона.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

3.5. Конфликт интересов

Как правило, конфликтующие позиции внутри организации могут включать в себя высокие руководящие должности (например, директор, начальник операционного отдела, начальник финансового отдела, главный врач, начальник отдела маркетинга, начальник отдела кадров или начальник IT-отдела), а также более низкие должности в организационной структуре, если такие должности приводят к определению целей и средств обработки. Кроме того, конфликт интересов может возникнуть, например, если внешнего DPO просят представлять интересы контролера или процессора в судах в делах, связанных с вопросами защиты персональных данных.