Статья 39 GDPR. Задачи инспектора по защите персональных данных
Article 39 GDPR. Tasks of the data protection officer
1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:
1. The data protection officer shall have at least the following tasks:
(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;
(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;
(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;
(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;
(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;
(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;
(d) сотрудничать с надзорным органом;
(d) to cooperate with the supervisory authority;
(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.
(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.
2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.
2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.
3.2. Необходимые ресурсы
3.2. Necessary resources
Статья 38 (2) GDPR требует от организаций оказывать поддержку своим DPO посредством «предоставления ресурсов, необходимых для выполнения [их] задач и доступа к персональным данным и операциям по их обработке, а также ресурсов, необходимых для поддержания его или ее экспертных знаний». В частности, следует рассматривать следующие составляющие:
Article 38(2) of the GDPR requires the organisation to support its DPO by ‘providing resources necessary to carry out [their] tasks and access to personal data and processing operations, and to maintain his or her expert knowledge’. The following items, in particular, are to be considered:
• активную поддержку деятельности DPO со стороны высшего руководства (например, на уровне совета директоров)
• active support of the DPO’s function by senior management (such as at board level)
• время, достаточное для выполнения DPO своих обязанностей. Это особенно важно, когда внутренний DPO работает неполный рабочий день или когда внешний DPO занимается вопросами защиты персональных данных в дополнение к другим обязанностям. В противном случае конфликтующие приоритеты могут привести к пренебрежению обязанностями DPO. Поэтому наличие достаточного времени, которое можно посвятить задачам DPO, имеет первостепенное значение. Хорошей практикой является установление процента времени, отводимого для выполнения функций DPO в условиях частичной занятости. Хорошей практикой также является определение времени, необходимого для выполнения функций DPO, соответствующего уровня приоритета для обязанностей DPO, а также составление плана работы самим DPO или организацией
• sufficient time for DPOs to fulfil their duties. This is particularly important where an internal DPO is appointed on a part-time basis or where the external DPO carries out data protection in addition to other duties. Otherwise, conflicting priorities could result in the DPO’s duties being neglected. Having sufficient time to devote to DPO tasks is paramount. It is a good practice to establish a percentage of time for the DPO function where it is not performed on a full-time basis. It is also good practice to determine the time needed to carry out the function, the appropriate level of priority for DPO duties, and for the DPO (or the organisation) to draw up a work plan
• адекватную поддержку с точки зрения финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях
• adequate support in terms of financial resources, infrastructure (premises, facilities, equipment) and staff where appropriate
• официальное уведомление всех сотрудников о назначении DPO для того, чтобы гарантировать, что о его существовании и функциях известно в пределах организации
• official communication of the designation of the DPO to all staff to ensure that their existence and function are known within the organisation
• необходимый доступ к другим ресурсам, например, кадрам, правовой помощи, IT, безопасности и т.д. для того, чтобы DPO мог получать существенную поддержку и информацию
• necessary access to other services, such as Human Resources, legal, IT, security, etc., so that DPOs can receive essential support, input and information from those other services
• непрерывное обучение. DPO должна быть предоставлена возможность идти в ногу со временем в области защиты персональных данных. Цель должна состоять в постоянном повышении уровня знаний DPO, и их следует стимулировать к участию в учебных курсах по защите персональных данных и других формах профессионального развития, таких, как участие в форумах по приватности, круглых столах и т.д.
• continuous training. DPOs must be given the opportunity to stay up to date with regard to developments within the field of data protection. The aim should be to constantly increase the level of expertise of DPOs and they should be encouraged to participate in training courses on data protection and other forms of professional development, such as participation in privacy fora, workshops, etc.
• учитывая размер и структуру организации, может потребоваться создать команду DPO (сам DPO и его сотрудники). В таких случаях необходимо четко прописывать внутреннюю структуру команды, задачи и обязанности каждого из ее членов. Точно так же, когда функция DPO осуществляется внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда, под ответственность назначенного главного контактного лица для клиента.
• given the size and structure of the organisation, it may be necessary to set up a DPO team (a DPO and his/her staff). In such cases, the internal structure of the team and the tasks and responsibilities of each of its members should be clearly drawn up. Similarly, when the function of the DPO is exercised by an external service provider, a team of individuals working for that entity may effectively carry out the tasks of a DPO as a team, under the responsibility of a designated lead contact for the client.
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 5(1)(f) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
[…]
Sign in
to read the full text