Статья 39 GDPR. Задачи инспектора по защите персональных данных
1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:
(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;
(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;
(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;
(d) сотрудничать с надзорным органом;
(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.
2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.
3.2. Необходимые ресурсы
Статья 38 (2) GDPR требует от организаций оказывать поддержку своим DPO посредством «предоставления ресурсов, необходимых для выполнения [их] задач и доступа к персональным данным и операциям по их обработке, а также ресурсов, необходимых для поддержания его или ее экспертных знаний». В частности, следует рассматривать следующие составляющие:
• активную поддержку деятельности DPO со стороны высшего руководства (например, на уровне совета директоров)
• время, достаточное для выполнения DPO своих обязанностей. Это особенно важно, когда внутренний DPO работает неполный рабочий день или когда внешний DPO занимается вопросами защиты персональных данных в дополнение к другим обязанностям. В противном случае конфликтующие приоритеты могут привести к пренебрежению обязанностями DPO. Поэтому наличие достаточного времени, которое можно посвятить задачам DPO, имеет первостепенное значение. Хорошей практикой является установление процента времени, отводимого для выполнения функций DPO в условиях частичной занятости. Хорошей практикой также является определение времени, необходимого для выполнения функций DPO, соответствующего уровня приоритета для обязанностей DPO, а также составление плана работы самим DPO или организацией
• адекватную поддержку с точки зрения финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях
• официальное уведомление всех сотрудников о назначении DPO для того, чтобы гарантировать, что о его существовании и функциях известно в пределах организации
• необходимый доступ к другим ресурсам, например, кадрам, правовой помощи, IT, безопасности и т.д. для того, чтобы DPO мог получать существенную поддержку и информацию
• непрерывное обучение. DPO должна быть предоставлена возможность идти в ногу со временем в области защиты персональных данных. Цель должна состоять в постоянном повышении уровня знаний DPO, и их следует стимулировать к участию в учебных курсах по защите персональных данных и других формах профессионального развития, таких, как участие в форумах по приватности, круглых столах и т.д.
• учитывая размер и структуру организации, может потребоваться создать команду DPO (сам DPO и его сотрудники). В таких случаях необходимо четко прописывать внутреннюю структуру команды, задачи и обязанности каждого из ее членов. Точно так же, когда функция DPO осуществляется внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда, под ответственность назначенного главного контактного лица для клиента.
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 5(1)(f) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
[…]
Sign in
to read the full text