Article 39 GDPR. Tasks of the data protection officer
(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;
(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;
General Data Protection Regulation (EU GDPR)
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.
Explanation
ISO 27701
Guidelines & Case Law
Leave a comment
(RU) Статья 39 перечисляет список основных (но не всех) задач, которые входят в спектр обязанностей инспектора по защите данных (DPO). Среди них можно выделить три главных функции (хотя компетенции DPO не обязательно ограничиваются только ими):
- Консультирование (39.1a, c),
- Контроль / мониторинг (39.1b),
- Связь с надзорным органом (39.1d, e).
1. Функция консультирование заключается в том, что DPO предоставляет информацию и пояснения о GDPR и его соблюдении контролеру и процессору, а также сотрудникам контролера и процессора, которые вовлечены в обработку персональных данных. В частности, роль DPO важна при проведении оценки воздействия на защиту персональных данных (DPIA), так как DPO консультирует и контролирует ее осуществление в соответствии со Статьей 35 GDPR. WP29 рекомендует контроллеру обращаться за консультацией к DPO, например, по следующим вопросам:
- проводить или не проводить DPIA;
- какой методологией следует руководствоваться при проведении DPIA;
- проводить DPIA собственными силами или передавать его на внешний подряд;
- какие гарантии (включая технические и организационные меры) следует применять для смягчения любых последствий;
- риски для прав и интересов субъектов персональных данных;
- была ли проведена оценка воздействия на защиту данных правильно и соответствуют ли ее выводы GDPR (следует ли продолжать обработку и какие меры предосторожности следует применять).
2. Что касается контролирующей (мониторинговой) функции DPO, то здесь имеется ввиду контроль соблюдения законодательства о защите данных и внутренних нормативных актов по защите персональных данных, а также повышение осведомленности по вопросам защиты данных, обучение персонала и проведение внутреннего аудита. В рамках этих обязанностей по контролю за соблюдением требований DPO могут, в частности, делать следующее:
- собирать информацию для выявления деятельности по обработке персональных данных;
- анализировать и проверять соответствия этой деятельности;
- информирование, консультирование и выдача рекомендаций контроллеру или процессору по конкретным процессам и обработкам и т.п.
Следует также уточнить, что наличие мониторинговой функции у DPO не означает, что именно DPO несет личную ответственность в случаях несоблюдения. В GDPR четко указано, что именно контролер обязан “принимать надлежащие технические и организационные меры для обеспечения и демонстрации того, что обработка осуществляется в соответствии с настоящим регламентом” (Статья 24(1)). Соблюдение требований по защите данных является корпоративной ответственностью владельца данных, а не DPO.
3. Кроме того, DPO также сотрудничает с надзорным органом и является первым контактным лицом для контролирующих органов и для лиц, чьи данные обрабатываются. Можно сказать, что у DPO роль координатора или фасилитатора, о чем надзорные органы говорят в некоторых своих руководствах (Guidelines). Например, DPO выступает в качестве контактного пункта, чтобы облегчить надзорному органу доступ к документам и информации для выполнения задач, упомянутых в Статье 57, а также для осуществления своих следственных, корректирующих, разрешающих и консультационных полномочий, упомянутых в Статье 58. Как известно из Статьи 38, DPO обязан соблюдать профессиональную тайну при выполнении своих обязанностей. Однако обязанность соблюдать тайну/конфиденциальность не запрещает DPO связываться с надзорным органом и обращаться за советом к нему.
[…]
Login
to read the full text
Author
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 39 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.
The responsible person should, where appropriate:
— be independent and report directly to the appropriate management level of the organization in order to ensure effective management of privacy risks;
— be involved in the management of all issues which relate to the processing of PII;
— be expert in data protection legislation, regulation and practice;
— act as a contact point for supervisory authorities;
— inform top-level management and employees of the organization of their obligations with respect to the processing of PII;
— provide advice in respect of privacy impact assessments conducted by the organization.
NOTE Such a person is called a data protection officer in some jurisdictions, which define when such a position is required, along with their position and role. This position can be fulfilled by a staff member or outsourced.
Document
Article 29 Working Party, Guidelines on Data Protection Officers (DPOs) (2017).
Url-link to highlighted text was copied to the clipboard!
Preparing download...
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 7.2.2.
Here is the relevant paragraphs to article 39(1)(b) GDPR:
6.4.2.2 Information security awareness, education and training
Implementation guidance
Measures should be put in place, including awareness of incident reporting, to ensure that relevant staff are aware of the possible consequences to the organization (e.g. legal consequences, loss of business and brand or reputational damage), to the staff member (e.g. disciplinary consequences) and to the PII principal (e.g. physical, material and emotional consequences) of breaching privacy or security rules and procedures, especially those addressing the handling of PII.
NOTE Such measures can include the use of appropriate periodic training for personnel having access to PII.