созданная в соответствии с Директивой 95/46/EC Европейского Парламента и Совета от 24 октября 1995 года, с учетом статей 29 и 30 данной директивы, с учетом своего Процедурного Регламента,
set up by Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, having regard to Articles 29 and 30 thereof, having regard to its Rules of Procedure,
Общий регламент защиты персональных данных ( «GDPR») [1], который вступит в силу 25 мая 2018 года, устанавливает современную, основанную на началах ответственности систему требований в области защиты персональных данных в Европе. Инспекторы по защите персональных данных («DPO») будут в центре нового правового поля для многих организаций, поскольку будут помогать им соблюдать положения GDPR.
The General Data Protection Regulation (‘GDPR’) [1], due to come into effect on 25 May 2018, provides a modernised, accountability-based compliance framework for data protection in Europe. Data Protection Officers (‘DPO’s) will be at the heart of this new legal framework for many organisations, facilitating compliance with the provisions of the GDPR.
[1] Регламент (ЕС) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном движении таких данных, и об отмене Директивы 95/46/EC (Общий регламент защиты персональных данных), (OJ L 119, 4.5.2016). GDPR распространяется на территорию ЕЭЗ и будет применяться после его включения в Соглашение о ЕЭЗ.
[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), (OJ L 119, 4.5.2016). The GDPR is relevant for the EEA and will apply after its incorporation into the EEA Agreement.
Согласно GDPR, некоторые контролеры и процессоры обязаны назначить DPO [2]. Это будет обязательно для всех государственных органов (независимо от того, какие данные они обрабатывают), а также для других организаций, которые в рамках основной деятельности осуществляют систематический мониторинг лиц в крупных масштабах либо обрабатывают специальные категории персональных данных в крупных масштабах.
Under the GDPR, it is mandatory for certain controllers and processors to designate a DPO [2]. This will be the case for all public authorities and bodies (irrespective of what data they process), and for other organisations that — as a core activity — monitor individuals systematically and on a large scale, or that process special categories of personal data on a large scale.
[2] Назначение DPO также является обязательным для компетентных органов в соответствии со статьей 32 Директивы (ЕС) 2016/680 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных компетентными органами для целей предупреждения, расследования, выявления или преследования преступлений или исполнения уголовных наказаний, и о свободном движении таких данных, и об отмене Рамочного решения Совета 2008/977/JHA (OJ L 119, 4.5. 2016, стр. 89-131), а также в соответствии с национальным имплементационным законодательством. Хотя настоящее Руководство описывает связанные с DPO вопросы согласно GDPR, оно также имеет отношение к DPO, назначенным в соответствии с Директивой 2016/680, в отношении аналогичных положений.
[2] The appointment of a DPO is also mandatory for competent authorities under Article 32 of Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89–131), and national implementing legislation. While these guidelines focus on DPOs under the GDPR, the guidance is also relevant regarding DPOs under Directive 2016/680, with respect to their similar provisions.
Даже когда GDPR конкретно не требует назначать DPO, для организаций может иногда оказаться полезным назначить DPO на добровольной основе. Рабочая группа статьи 29 по защите физических лиц при обработке персональных данных («WP29») поощряет эти добровольные усилия.
Even when the GDPR does not specifically require the appointment of a DPO, organisations may sometimes find it useful to designate a DPO on a voluntary basis. The Article 29 Data Protection Working Party (‘WP29’) encourages these voluntary efforts.
Понятие DPO не является новым. Хотя Директива 95/46/EC [3] не требовала от какой-либо организации назначать DPO, практика его назначения, тем не менее, по прошествии многих лет сформировалась в ряде государств-членов.
The concept of DPO is not new. Although Directive 95/46/EC [3] did not require any organisation to appoint a DPO, the practice of appointing a DPO has nevertheless developed in several Member States over the years.
[3] Директива 95/46/ЕС Европейского Парламента и Совета от 24 октября 1995 года о защите физических лиц при обработке персональных данных и о свободном движении таких данных (OJ L 281, 23.11.1995, стр . 31).
[3] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31).
Перед принятием GDPR WP29 обсуждала тот факт, что DPO является краеугольным камнем в части ответственности в области защиты персональных данных и что назначение DPO может обеспечить соблюдение требований законодательства о защите персональных данных и, более того, стать конкурентным преимуществом для бизнесов [4]. Помимо содействия соблюдению обязательных требований посредством внедрения инструментов подотчетности (например, проведение оценки воздействия на защиту данных или аудита), DPO выступают в качестве посредников между соответствующими заинтересованными сторонами (например, надзорными органами, субъектами данных и бизнес-подразделениями внутри организации).
Before the adoption of the GDPR, the WP29 argued that the DPO is a cornerstone of accountability and that appointing a DPO can facilitate compliance and furthermore, become a competitive advantage for businesses [4]. In addition to facilitating compliance through the implementation of accountability tools (such as facilitating data protection impact assessments and carrying out or facilitating audits), DPOs act as intermediaries between relevant stakeholders (e.g. supervisory authorities, data subjects, and business units within an organisation).
[4] См. http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary_en.pdf
[4] See http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary_en.pdf
DPO не несут персональную ответственность за несоблюдение бизнесом требований GDPR. Регламент четко закрепил, что такую ответственность несут контролер или процессор, которые должны обеспечить соответствие осуществляемых обработок персональных данных требованиям GDPR, а также доказывать это соответствие (статья 24(1)). Ответственность за соблюдение требований в области защиты персональных данных лежит на контролере или процессоре.
DPOs are not personally responsible in case of non-compliance with the GDPR. The GDPR makes it clear that it is the controller or the processor who is required to ensure and to be able to demonstrate that the processing is performed in accordance with its provisions (Article 24(1)). Data protection compliance is a responsibility of the controller or the processor.
Контролер или процессор также играют существенную роль в обеспечении эффективности выполнения DPO своих задач. Назначение DPO – это первый шаг, однако такому сотруднику также необходимо предоставить существенные автономию и ресурсы для эффективного выполнения возложенных на него задач.
The controller or the processor also has a crucial role in enabling the effective performance of the DPO’s tasks. Appointing a DPO is a first step but DPOs must also be given sufficient autonomy and resources to carry out their tasks effectively.
GDPR признает DPO в качестве ключевого субъекта в новой системе управления данными и предусматривает условия для его назначения, его положение и задачи. Цель настоящего Руководства – разъяснить соответствующие положения GDPR с целью помочь контролерам и процессорам в соблюдении его требований и содействии DPO в исполнении своей роли. Руководство также содержит рекомендательные лучшие примеры из практики, разработанные в некоторых государствах-членах ЕС. WP29 будет наблюдать за внедрением положений настоящего Руководства и может дополнять их в будущем в случае необходимости.
The GDPR recognises the DPO as a key player in the new data governance system and lays down conditions for his or her appointment, position and tasks. The aim of these guidelines is to clarify the relevant provisions in the GDPR in order to help controllers and processors to comply with the law, but also to assist DPOs in their role. The guidelines also provide best practice recommendations, building on the experience gained in some EU Member States. The WP29 will monitor the implementation of these guidelines and may complement them with further details as appropriate.
Статья 37(1) GDPR требует назначать DPO в трех конкретных случаях [5]:
Article 37(1) of the GDPR requires the designation of a DPO in three specific cases [5]:
[5] Обратите внимание, что, согласно статье 37(4), законодательство Союза или государств-членов может требовать назначения DPO также и в других случаях.
[5] Note that under Article 37(4), Union or Member State law may require the designation of DPOs in other situations as well.
a) когда обработка персональных данных осуществляется государственным органом [6];
a) where the processing is carried out by a public authority or body [6];
[6] Исключением являются судебные органы при осуществлении правосудия. См. статью 32 Директивы (ЕС) 2016/680.
[6] Except for courts acting in their judicial capacity. See Article 32 of Directive (EU) 2016/680.
b) когда основная деятельность контролера или процессора включает в себя операции по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в крупных масштабах; или
b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or
c) когда основная деятельность контролера или процессора включает в себя обработку в крупных масштабах специальных категорий персональных данных [7] или [8] персональных данных, касающихся судимостей и правонарушений [9].
c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data [7] or [8] personal data relating to criminal convictions and offences [9].
[7] В соответствии со статьей 9, к таким случаям относится обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.
[7] Pursuant to Article 9 these include personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation.
[8] Статья 37(1)(с) использует союз ,em>«и». См. Раздел 2.1.5 ниже с разъяснением о применении союза «или» вместо «и».
[8] Article 37(1)(c) uses the word ‘and’. See Section 2.1.5 below for explanation on the use of ‘or’ instead of ‘and’.
В нижеследующих подразделах WP29 приводит разъяснение критериев и терминологии, используемых в статье 37(1).
In the following subsections, the WP29 provides guidance with regard to the criteria and terminology used in Article 37(1).
За исключением случаев, когда отсутствие необходимости в назначении DPO является очевидным, WP29 рекомендует контролерам и процессорам документировать внутренний анализ, который проводится с целью определить необходимость назначения DPO, чтобы иметь возможность продемонстрировать надлежащий учет соответствующих факторов [10]. Этот анализ является частью процесса документирования в соответствии с принципом подотчетности. Результаты анализа могут быть истребованы надзорным органом и должны обновляться по мере необходимости, например, если контролеры или процессоры начали оказывать новые услуги, которые могут подпадать под случаи, перечисленные в статье 37(1).
Unless it is obvious that an organisation is not required to designate a DPO, the WP29 recommends that controllers and processors document the internal analysis carried out to determine whether or not a DPO is to be appointed, in order to be able to demonstrate that the relevant factors have been taken into account properly [10]. This analysis is part of the documentation under the accountability principle. It may be required by the supervisory authority and should be updated when necessary, for example if the controllers or the processors undertake new activities or provide new services that might fall within the cases listed in Article 37(1).
Если организация назначает DPO на добровольной основе, то требования, предусмотренные статьями 37-39, будут применяться к его назначению, положению в организации и задачам так, как если бы его назначение было обязательным.
When an organisation designates a DPO on a voluntary basis, the requirements under Articles 37 to 39 will apply to his or her designation, position and tasks as if the designation had been mandatory.
Ничто не мешает организации, которой необязательно назначать DPO и которая не желает назначать его добровольно, нанимать сотрудников или внешних консультантов для поручения задач, связанных с защитой персональных данных. В таком случае важно обеспечить отсутствие путаницы в их должностях, статусе, роли и задачах. То есть должно быть четко обозначено, что при взаимодействии с сотрудниками компании, надзорными органами, субъектами данных и общественностью в целом данный сотрудник или консультант не является DPO [11].
Nothing prevents an organisation, which is not legally required to designate a DPO and does not wish to designate a DPO on a voluntary basis to nevertheless employ staff or outside consultants with tasks relating to the protection of personal data. In this case it is important to ensure that there is no confusion regarding their title, status, position and tasks. Therefore, it should be made clear, in any communications within the company, as well as with data protection authorities, data subjects, and the public at large, that the title of this individual or consultant is not a data protection officer (DPO) [11].
[11] Указанное верно и для ведущих инспекторов по вопросам приватности («CPOs») и других профессионалов в области приватности, которые в настоящий момент работают в некоторых компаниях и не соответствуют требованиям GDPR. Например, у них могут отсутствовать необходимое количество ресурсов и гарантии независимости при выполнении своих задач. В таких ситуациях их нельзя считать DPO.
[11] This is also relevant for chief privacy officers (‘CPO’s) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs.
DPO, независимо от того, назначен ли он в обязательном или добровольном порядке, имеет дело со всеми операциями по обработке, осуществляемыми контролером или процессором.
The DPO, whether mandatory or voluntary, is designated for all the processing operations carried out by the controller or the processor.
GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.
The GDPR does not define what constitutes a ‘public authority or body’. The WP29 considers that such a notion is to be determined under national law. Accordingly, public authorities and bodies include national, regional and local authorities, but the concept, under the applicable national laws, typically also includes a range of other bodies governed by public law [12]. In such cases, the designation of a DPO is mandatory.
[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).
[12] See, e.g. the definition of ‘public sector body’ and ‘body governed by public law’ in Article 2(1) and (2) of Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public-sector information (OJ L 345, 31.12.2003, p. 90).
Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.
A public task may be carried out, and public authority may be exercised [13] not only by public authorities or bodies but also by other natural or legal persons governed by public or private law, in sectors such as, according to national regulation of each Member State, public transport services, water and energy supply, road infrastructure, public service broadcasting, public housing or disciplinary bodies for regulated professions.
В таких случаях персональные данные субъектов данных могут обрабатываться государственными органами для целей этих секторов. При этом субъекты данных часто не имеют возможности выбирать, будут ли обрабатываться их персональные данные, и если да, то какие. В связи с этим им может потребоваться дополнительная защита, которую может обеспечить назначение DPO.
In these cases, data subjects may be in a very similar situation to when their data are processed by a public authority or body. In particular, data can be processed for similar purposes and individuals often have similarly little or no choice over whether and how their data will be processed and may thus require the additional protection that the designation of a DPO can bring.
Даже в случаях, когда назначение DPO не является обязательным, WP29 рекомендует в качестве хорошей практики назначать его частным организациям, осуществляющим публичные функции. Деятельность DPO охватывает все осуществляемые операции по обработке персональных данных, в том числе и те, которые не относятся к выполнению публичных задач или общественного долга (например, управление базой данных сотрудников).
Even though there is no obligation in such cases, the WP29 recommends, as a good practice, that private organisations carrying out public tasks or exercising public authority designate a DPO. Such a DPO’s activity covers all processing operations carried out, including those that are not related to the performance of a public task or exercise of official duty (e.g. the management of an employee database).
Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.
Article 37(1)(b) and (c) of the GDPR refers to the ‘core activities of the controller or processor’. Recital 97 specifies that the core activities of a controller relate to ‘primary activities and do not relate to the processing of personal data as ancillary activities’. ‘Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals.
Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.
However, ‘core activities’ should not be interpreted as excluding activities where the processing of data forms an inextricable part of the controller’s or processor’s activity. For example, the core activity of a hospital is to provide health care. However, a hospital could not provide healthcare safely and effectively without processing health data, such as patients’ health records. Therefore, processing these data should be considered to be one of any hospital’s core activities and hospitals must therefore designate DPOs.
Приведем другой пример. Частное охранное предприятие осуществляет наблюдение на территории ряда частных магазинов и общественных мест. Такое наблюдение является основной деятельностью предприятия и при этом неразрывно связано с обработкой персональных данных. Следовательно, такому предприятию также необходимо назначить DPO.
As another example, a private security company carries out the surveillance of a number of private shopping centres and public spaces. Surveillance is the core activity of the company, which in turn is inextricably linked to the processing of personal data. Therefore, this company must also designate a DPO.
С другой стороны, все организации осуществляют такую деятельность, как выплата заработной платы сотрудникам и поддержка IT-систем. Подобная деятельность выполняет функцию необходимой поддержки основной деятельности организации. И хотя она и является необходимой и существенной, однако обычно относится к вспомогательной функции, а не основной деятельности.
On the other hand, all organisations carry out certain activities, for example, paying their employees or having standard IT support activities. These are examples of necessary support functions for the organisation’s core activity or main business. Even though these activities are necessary or essential, they are usually considered ancillary functions rather than the core activity.
Пункты (b) и (с) статьи 37 (1) GDPR предписывают, что DPO необходимо назначать в случае, когда обработка персональных данных осуществляется в крупных масштабах. GDPR не разъясняет, когда обработка персональных данных признается крупномасштабной, хотя некоторое руководство на этот счет содержится в Преамбуле 91 [14].
Article 37(1)(b) and (c) requires that the processing of personal data be carried out on a large scale in order for the designation of a DPO to be triggered. The GDPR does not define what constitutes large-scale processing, though recital 91 provides some guidance [14].
[14] Согласно Преамбуле, такая обработка, в частности, имеет место в случае, когда есть «крупномасштабные операции, нацеленные на обработку значительного объема персональных данных на региональном, национальном или супранациональном уровне, которые могут оказать влияние на большое количество субъектов данных и способны привести к возникновению больших рисков». С другой стороны, Преамбула подчеркивает, что «обработку персональных данных не следует признавать крупномасштабной, если она касается персональных данных пациентов и клиентов, обрабатываемых индивидуальным врачом, иным профессионалом в области медицины или юристом». Важно отметить, что, хотя Преамбула и приводит примеры границ масштабов обработки (от обработки, осуществляемой индивидуальным врачом, до обработки данных со всей страны или по всей Европе), существует большая серая зона между этими границами. Более того, следует помнить, что данная преамбула касается оценки воздействия на защиту персональных данных. Это означает, что некоторые элементы могут зависеть от контекста и необязательно применимы тем же образом к назначению DPO.
[14] According to the recital, ‘large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk’ would be included, in particular. On the other hand, the recital specifically provides that ‘the processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer’. It is important to consider that while the recital provides examples at the extremes of the scale (processing by an individual physician versus processing of data of a whole country or across Europe); there is a large grey zone in between these extremes. In addition, it should be borne in mind that this recital refers to data protection impact assessments. This implies that some elements might be specific to that context and do not necessarily apply to the designation of DPOs in the exact same way.
Действительно, установить точный и применимый к любой ситуации показатель в отношении количества обрабатываемых данных или количества субъектов данных не представляется возможным. Однако это не исключает возможности того, что со временем будет выработана стандартная практика определения качественных и (или) количественных показателей «крупного масштаба» в отношении некоторых типичных обработок. WP29 также планирует внести вклад в развитие такой практики посредством опубликования примеров возможных минимальных порогов, влекущих необходимость назначить DPO.
Indeed, it is not possible to give a precise number either with regard to the amount of data processed or the number of individuals concerned, which would be applicable in all situations. This does not exclude the possibility, however, that over time, a standard practice may develop for identifying in more specific and/or quantitative terms what constitutes ‘large scale’ in respect of certain types of common processing activities. The WP29 also plans to contribute to this development, by way of sharing and publicising examples of the relevant thresholds for the designation of a DPO.
WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:
In any event, the WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:
• количество субъектов данных — точное количество либо доля численности населения соответствующего региона
• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population
• объем обрабатываемых данных или их элементов
• the volume of data and/or the range of different data items being processed
• продолжительность или постоянство обработки персональных данных
• the duration, or permanence, of the data processing activity
Примерами крупномасштабной обработки являются, в частности:
Examples of large-scale processing include:
• регулярная обработка данных пациента больницей
• processing of patient data in the regular course of business by a hospital
• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)
• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)
• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг
• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in providing these services
• обработка данных клиентов в рамках обычной деятельности страховой компании или банка
• processing of customer data in the regular course of business by an insurance company or a bank
• обработка данных для целей поведенческой рекламы с помощью поисковой системы
• processing of personal data for behavioural advertising by a search engine
• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.
• processing of data (content, traffic, location) by telephone or internet service providers.
Крупномасштабная обработка данных отсутствует, в частности, в следующих случаях:
Examples that do not constitute large-scale processing include:
• обработка персональных данных, осуществляемая индивидуальным врачом
• processing of patient data by an individual physician
• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.
• processing of personal data relating to criminal convictions and offences by an individual lawyer.
Понятие регулярного и систематического мониторинга субъектов данных не дано в GDPR, однако понятие «мониторинг поведения субъектов данных» упоминается в Преамбуле 24 [15] и четко включает в себя все формы отслеживания и профилирования в Интернете, в том числе для целей поведенческой рекламы.
The notion of regular and systematic monitoring of data subjects is not defined in the GDPR, but the concept of ‘monitoring of the behaviour of data subjects’ is mentioned in recital 24 [15] and clearly includes all forms of tracking and profiling on the internet, including for the purposes of behavioural advertising.
[15] «Для того чтобы определить, является ли деятельность по обработке мониторингом поведения субъектов данных, необходимо проверить, отслеживаются ли физические лица в Интернете, в том числе посредством потенциального последующего использования методов обработки персональных данных, нацеленных на профилирование физического лица, в частности, для принятия решений, касающихся этого лица, или для предсказания его личных предпочтений и поведения».
[15] ‘In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes’.
Однако понятие мониторинга не ограничивается онлайн-средой, и онлайн-трекинг следует рассматривать только в качестве примера мониторинга поведения субъектов данных [16].
However, the notion of monitoring is not restricted to the online environment and online tracking should only be considered as one example of monitoring the behaviour of data subjects [16].
[16] Следует отметить, что Преамбула 24 посвящена экстерриториальному применению GDPR. Кроме того, существует разница между формулировками «мониторинг поведения» (статья 3(2)(b)) и «регулярный и систематический мониторинг субъектов данных» (статья 37(1)(b)), которые, следовательно, могут рассматриваться как разные понятия.
[16] Note that Recital 24 focuses on the extra-territorial application of the GDPR. In addition, there is also a difference between the wording ‘monitoring of their behaviour’ (Article 3(2)(b)) and ‘regular and systematic monitoring of data subjects’ (Article 37(1)(b)) which could therefore be seen as constituting a different notion.
WP29 толкует слово «регулярный» в следующих значениях:
WP29 interprets ‘regular’ as meaning one or more of the following:
• происходящий с определенными интервалами в определенный период
• ongoing or occurring at particular intervals for a particular period
WP29 трактует «систематический» в следующих значениях:
WP29 interprets ‘systematic’ as meaning one or more of the following:
• происходящий в рамках общего плана по сбору данных
• taking place as part of a general plan for data collection
Примеры видов деятельности, представляющих собой регулярный и систематический мониторинг субъектов данных: управление телекоммуникационной сетью; предоставление телекоммуникационных услуг; ретаргетинг по электронной почте; основанная на обработке персональных данных маркетинговая деятельность; профилирование и скоринг для целей оценки рисков (например, для целей кредитного скоринга, установления страховых премий, предотвращения мошенничества, обнаружения отмывания денег); отслеживание местоположения, например, с помощью мобильных приложений; программы лояльности; поведенческая реклама; мониторинг спортивных и медицинских данных через носимые устройства; кабельное телевидение; подключаемые устройства, например, умные счетчики, умные автомобили, домашняя автоматизация и т.д.
Examples of activities that may constitute a regular and systematic monitoring of data subjects: operating a telecommunications network; providing telecommunications services; email retargeting; data-driven marketing activities; profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering); location tracking, for example, by mobile apps; loyalty programs; behavioural advertising; monitoring of wellness, fitness and health data via wearable devices; closed circuit television; connected devices e.g. smart meters, smart cars, home automation, etc.
2.1.5 СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ДАННЫХ И ДАННЫЕ О СУДИМОСТЯХ И ПРАВОНАРУШЕНИЯХ
2.1.5 SPECIAL CATEGORIES OF DATA AND DATA RELATING TO CRIMINAL CONVICTIONS AND OFFENCES
Статья 37(1)(с) регулирует обработку специальных категорий данных в соответствии со статьей 9, а также персональных данных, касающихся судимостей и правонарушений, в соответствии со статьей 10. Хотя положения этой статьи используют союз «и», но при этом отсутствуют основания для их применения лишь при наличии обоих критериев. Таким образом, текст следует читать так, будто он использует союз «или».
Article 37(1)(c) addresses the processing of special categories of data pursuant to Article 9, and personal data relating to criminal convictions and offences set out in in Article 10. Although the provision uses the word ‘and’, there is no policy reason for the two criteria having to be applied simultaneously. The text should therefore be read to say ‘or’.
Статья 37 применяется как к контролерам [17], так и к процессорам [18] при назначении DPO. В зависимости от того, кто отвечает критериям обязательного назначения DPO, последнее может быть обязательным только для контролера или только для процессора, а может быть обязательным и для контролера, и для процессора (в таком случае их DPO должны сотрудничать друг с другом).
Article 37 applies to both controllers [17] and processors [18] with respect to the designation of a DPO. Depending on who fulfils the criteria on mandatory designation, in some cases only the controller or only the processor, in other cases both the controller and its processor are required to appoint a DPO (who should then cooperate with each other).
[17] Контролер определяется статьей 4(7) как физическое лицо или организация, которые определяют цели и средства обработки.
[17] The controller is defined by Article 4(7) as the person or body, which determines the purposes and means of the processing.
[18] Процессор определяется статьей 4(8) как физическое лицо или организация, которые обрабатывают данные от имени контролера и по его поручению.
[18] The processor is defined by Article 4(8) as the person or body, which processes data on behalf of the controller.
Важно подчеркнуть, что даже если контролер подпадает под критерии обязательного назначения DPO, его процессору не обязательно тоже назначать его. Однако это можно считать хорошей практикой.
It is important to highlight that even if the controller fulfils the criteria for mandatory designation its processor is not necessarily required to appoint a DPO. This may, however, be a good practice.
• Небольшой семейный бизнес, занимающийся распродажей бытовой техники в одном городе, пользуется услугами процессора, чья основная деятельность заключается в предоставлении веб-аналитики и помощи с таргетированной рекламой и маркетингом. Деятельность семейного бизнеса и его клиенты не приводят к возникновению крупных масштабов обработки данных, учитывая небольшое количество клиентов и относительную ограниченность такой деятельности. Однако деятельность процессора, имеющего много таких же клиентов, как это малое предприятие, вместе взятых, приводит к возникновению крупномасштабной обработки. Поэтому процессор должен назначить DPO в соответствии со статьей 37(1)(b). В то же время, сам семейный бизнес не обязан назначать DPO.
• A small family business active in the distribution of household appliances in a single town uses the services of a processor whose core activity is to provide website analytics services and assistance with targeted advertising and marketing. The activities of the family business and its customers do not generate processing of data on a ‘large scale’, considering the small number of customers and the relatively limited activities. However, the activities of the processor, having many customers like this small enterprise, taken together, are carrying out large-scale processing. The processor must therefore designate a DPO under Article 37(1)(b). At the same time, the family business itself is not under an obligation to designate a DPO.
• Фирма среднего размера по производству плитки заказывает услуги по охране труда у внешнего процессора, который имеет большое количество подобных клиентов. Процессор назначает DPO в соответствии со статьей 37(1)(с) при условии, что обработка производится в крупных масштабах. Тем не менее, производитель может быть не обязан назначить DPO.
• A medium-size tile manufacturing company subcontracts its occupational health services to an external processor, which has a large number of similar clients. The processor shall designate a DPO under Article 37(1)(c) provided that the processing is on a large scale. However, the manufacturer is not necessarily under an obligation to designate a DPO.
DPO, назначенный процессором, также осуществляет надзор за деятельностью, осуществляемой организацией-процессором в качестве самостоятельного контролера (например, HR, IT, логистика).
The DPO designated by a processor also oversees activities carried out by the processor organisation when acting as a data controller in its own right (e.g. HR, IT, logistics).
2.3. Назначение единого DPO для нескольких организаций
2.3. Designation of a single DPO for several organisations
Статья 37(2) позволяет группе предприятий назначить единого DPO при условии, что он «легко доступен из каждой организационной единицы». Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных [19], надзорного органа [20], а также внутри самой организации, поскольку в задачи DPO входит «информировать и консультировать контролера, процессора и осуществляющих обработку сотрудников по вопросам об их обязанностях в соответствии с настоящим Регламентом» [21].
Article 37(2) allows a group of undertakings to designate a single DPO provided that he or she is ‘easily accessible from each establishment’. The notion of accessibility refers to the tasks of the DPO as a contact point with respect to data subjects [19], the supervisory authority [20] but also internally within the organisation, considering that one of the tasks of the DPO is ‘to inform and advise the controller and the processor and the employees who carry out processing of their obligations pursuant to this Regulation’ [21].
[19] Статья 38(4): «субъекты данных могут обратиться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно настоящему Регламенту».
[19] Article 38(4): ‘data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation’.
[20] Статья 39(1)(е): «выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой персональных данных, в том числе в рамках предварительной консультации, упомянутой в статье 36, и при необходимости консультироваться по любому другому вопросу».
[20] Article 39(1)(e): ‘act as a contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36 and to consult, where appropriate, with regard to any other matter’.
Для того чтобы гарантировать, что DPO, будь то внутренний или внешний, является доступным, важно убедиться, что имеются их контактные данные в соответствии с требованиями GDPR [22].
In order to ensure that the DPO, whether internal or external, is accessible it is important to make sure that their contact details are available in accordance with the requirements of the GDPR [22].
Он или она (если необходимо — с помощью команды) должны быть в состоянии эффективно взаимодействовать с субъектами данных [23] и сотрудничать [24] с надзорными органами. Это также означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одном уровне с остальными сотрудниками, по горячей линии или посредством иного безопасного средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.
He or she, with the help of a team if necessary, must be in a position to efficiently communicate with data subjects [23] and cooperate [24] with the supervisory authorities concerned. This also means that this communication must take place in the language or languages used by the supervisory authorities and the data subjects concerned. The availability of a DPO (whether physically on the same premises as employees, via a hotline or other secure means of communication) is essential to ensure that data subjects will be able to contact the DPO.
[23] Статья 12(1): «Контролер принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка, — особенно когда информация адресована ребенку».
[23] Article 12(1): ’The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child’.
[24] Статья 39(1)(d): «сотрудничать с надзорным органом»
[24] Article 39(1)(d) : ‘to cooperate with the supervisory authority’
В соответствии со статьей 37(3), единый DPO может быть назначен для нескольких государственных органов с учетом их организационной структуры и размера. Применяются те же самые соображения в отношении ресурсов и связей. Учитывая, что DPO отвечает за множество задач, контролер или процессор должны гарантировать, что единый DPO (при необходимости — с помощью команды) сможет выполнять эти задачи эффективно, несмотря на то, что он назначен несколькими государственными органами.
According to Article 37(3), a single DPO may be designated for several public authorities or bodies, taking account of their organisational structure and size. The same considerations with regard to resources and communication apply. Given that the DPO is in charge of a variety of tasks, the controller or the processor must ensure that a single DPO, with the help of a team if necessary, can perform these efficiently despite being designated for several public authorities and bodies.
В соответствии с Разделом 4 GDPR, доступность DPO должна быть действительной.
According to Section 4 of the GDPR, the accessibility of the DPO should be effective.
Для того чтобы гарантировать, что DPO доступен, WP29 рекомендует DPO находиться в пределах Европейского Союза, независимо от того, находится ли там контролер или процессор.
To ensure that the DPO is accessible, the WP29 recommends that the DPO be located within the European Union, whether or not the controller or the processor is established in the European Union.
Тем не менее, нельзя исключать, что в некоторых ситуациях, когда контролер или процессор не имеет организационной единицы в рамках Европейского Союза [25], DPO может быть в состоянии действовать более эффективно, если он находится за пределами ЕС.
However, it cannot be excluded that, in some situations where the controller or the processor has no establishment within the European Union [25], a DPO may be able to carry out his or her activities more effectively if located outside the EU.
[25] См. статью 3 GDPR о территориальной сфере действия.
[25] See Article 3 of the GDPR on the territorial scope.
Статья 37(5) предусматривает, что DPO «должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в области защиты персональных данных, а также способности выполнять задачи, указанные в статье 39». Преамбула 97 предусматривает, что необходимый уровень экспертных знаний должен определяться в соответствии с выполняемыми операциями по обработке персональных данных и защитой, которая требуется для обрабатываемых контролером или процессором персональных данных.
Article 37(5) provides that the DPO ‘shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39’. Recital 97 provides that the necessary level of expert knowledge should be determined according to the data processing operations carried out and the protection required for the personal data being processed.
Необходимый уровень знаний не является строго определенным, но он должен быть соизмерим с чувствительностью, сложностью и объемом данных, обрабатываемых организацией. Например, когда деятельность по обработке данных является особенно сложной или когда в нее вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки. Существует также разница в зависимости от того, передает ли организация персональные данные за пределы Европейского Союза регулярно или эпизодично. Таким образом, кандидата на должность DPO следует тщательно подбирать с учетом вопросов относительно защиты персональных данных, которые возникают в рамках организации.
The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes. For example, where a data processing activity is particularly complex, or where a large amount of sensitive data is involved, the DPO may need a higher level of expertise and support. There is also a difference depending on whether the organisation systematically transfers personal data outside the European Union or whether such transfers are occasional. The DPO should thus be chosen carefully, with due regard to the data protection issues that arise within the organisation.
Хотя статья 37 (5) не определяет профессиональные качества, которые следует учитывать при назначении DPO, важным является наличие у DPO знания национальных и европейских законов и практики в области защиты персональных данных, в том числе углубленного понимания GDPR. Также является полезным предоставление надзорными органами адекватного и регулярного обучения для DPO.
Although Article 37(5) does not specify the professional qualities that should be considered when designating the DPO, it is a relevant element that DPOs must have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR. It is also helpful if the supervisory authorities promote adequate and regular training for DPOs.
Полезно знать деловой сектор и организационные процессы контролера. DPO должен также иметь хорошее понимание операций по обработке персональных данных, а также информационных систем и потребностей в области безопасности и защиты данных контролера.
Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have a good understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.
В случае с государственным органом DPO также должен иметь хорошие знания административных норм и процедур внутри такой организации.
In the case of a public authority or body, the DPO should also have a sound knowledge of the administrative rules and procedures of the organisation.
Способность выполнять задачи, возложенные на DPO, должна толковаться со ссылкой как на их личные качества и знания, так и на их положение в организации. Личные качества должны включать в себя честность и верность высокой профессиональной этике; основной заботой DPO должно быть обеспечение соблюдения требований GDPR. DPO играет ключевую роль в развитии культуры защиты персональных данных в рамках организации и помогает реализовать такие существенные элементы GDPR, как, например, принципы обработки данных [26], права субъектов данных [27], защита персональных данных спроектированная и по умолчанию [28], учет деятельности по обработке персональных данных [29], безопасность обработки [30], а также направление уведомлений и коммуникация по вопросам о нарушении безопасности персональных данных [31].
Ability to fulfil the tasks incumbent on the DPO should be interpreted as both referring to their personal qualities and knowledge, but also to their position within the organisation. Personal qualities should include for instance integrity and high professional ethics; the DPO’s primary concern should be enabling compliance with the GDPR. The DPO plays a key role in fostering a data protection culture within the organisation and helps to implement essential elements of the GDPR, such as the principles of data processing [26], data subjects’ rights [27], data protection by design and by default [28], records of processing activities [29], security of processing [30], and notification and communication of data breaches [31].
Функции DPO также могут осуществляться на основании договора оказания услуг, заключенного с физическим лицом или организацией, не относящимися к организации контролера или процессора. В этом случае очень важно, чтобы каждый сотрудник организации, осуществляющей функции DPO, соответствовал всем применимым требованиям раздела 4 GDPR (например, очень важно, чтобы никто не имел конфликта интересов). Не менее важно, чтобы каждый такой сотрудник был защищен положениями GDPR (например, не допускается необоснованное прекращение договора оказания услуг за осуществление функций DPO, необоснованное увольнение любого отдельного сотрудника организации за выполнение задач DPO). В то же время индивидуальные навыки и сильные стороны нескольких сотрудников могут быть объединены для командной работы, в связи с чем организация может более эффективно обслуживать своих клиентов.
The function of the DPO can also be exercised on the basis of a service contract concluded with an individual or an organisation outside the controller’s/processor’s organisation. In this latter case, it is essential that each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR (e.g., it is essential that no one has a conflict of interests). It is equally important that each such member be protected by the provisions of the GDPR (e.g. no unfair termination of service contract for activities as DPO but also no unfair dismissal of any individual member of the organisation carrying out the DPO tasks). At the same time, individual skills and strengths can be combined so that several individuals, working in a team, may more efficiently serve their clients.
Для целей юридической ясности, хорошей организации процесса и предотвращения конфликтов интересов среди членов команды рекомендуется четко распределять задачи внутри команды DPO и назначать одного человека в качестве главного контактного лица, «ответственного» за каждого клиента. Целесообразно указывать эти пункты в договоре оказания услуг.
For the sake of legal clarity and good organisation and to prevent conflicts of interests for the team members, it is recommended to have a clear allocation of tasks within the DPO team and to assign a single individual as a lead contact and person ‘in charge’ for each client. It would generally also be useful to specify these points in the service contract.
2.6. Публикация и передача контактных данных DPO
2.6. Publication and communication of the DPO’s contact details
Статья 37 (7) GDPR обязывает контролера или процессора:
Article 37(7) of the GDPR requires the controller or the processor:
передавать контактные данные DPO соответствующим надзорным органам.
to communicate the contact details of the DPO to the relevant supervisory authorities.
Цель этих требований — обеспечить, чтобы субъекты данных (как внутри оганизации, так и вне ее) и надзорные органы могли легко и непосредственно связаться с DPO без необходимости связываться с другими подразделениями организации. Не менее важна и конфиденциальность: например, сотрудники могут неохотно направлять свои жалобы DPO, если конфиденциальность их общения не гарантируется.
The objective of these requirements is to ensure that data subjects (both inside and outside of the organisation) and the supervisory authorities can easily and directly contact the DPO without having to contact another part of the organisation. Confidentiality is equally important: for example, employees may be reluctant to complain to the DPO if the confidentiality of their communications is not guaranteed.
DPO ограничен в своей деятельности требованием о секретности или конфиденциальности в отношении выполнения им своих задач в соответствии с законодательством Союза или государств-членов (статья 38(5)).
The DPO is bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law (Article 38(5)).
Контактные данные DPO должны включать в себя информацию, позволяющую субъектам данных и надзорным органам связаться с DPO простым способом (почтовый адрес, специальный телефонный номер и (или) специальный адрес электронной почты). При необходимости, для целей связи с общественностью, также могут быть предусмотрены другие средства связи, например, специальная горячая линия или специальный контактный формуляр на имя DPO на веб-сайте организации.
The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.
Статья 37(7) не требует включать в опубликованные контактные данные имя DPO. Хотя это может быть хорошей практикой, но именно контролер или процессор, а также DPO принимают решение о том, является ли это необходимым или полезным в конкретных обстоятельствах [32].
Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do so, it is for the controller or the processor and the DPO to decide whether this is necessary or helpful in the particular circumstances [32].
[32] Следует отметить, что статья 33 (3)(b), описывающая информацию, которую необходимо предоставлять надзорным органам и субъектам данных в случае нарушения безопасности персональных данных, в отличие от статьи 37 (7), дополнительно требует указывать имя (а не только контактные данные) DPO.
[32] It is notable that Article 33(3)(b), which describes information that must be provided to the supervisory authority and to the data subjects in case of a personal data breach, unlike Article 37(7), specifically also requires the name (and not only the contact details) of the DPO to be communicated.
Тем не менее, сообщение имени DPO надзорному органу является существенным для того, чтобы DPO мог служить в качестве контактного лица между организацией и надзорным органом (статья 39 (1)(е)).
However, communication of the name of the DPO to the supervisory authority is essential in order for the DPO to serve as contact point between the organisation and the supervisory authority (Article 39(1)(e)).
В качестве хорошей практики WP29 также рекомендует организациям информировать своих сотрудников об имени и контактных данных DPO. Например, имя и контактные данные DPO могут быть опубликованы во внутренней Интернет-сети организации, внутренней телефонной сети и организационных материалах.
As a matter of good practice, the WP29 also recommends that an organisation informs its employees of the name and contact details of the DPO. For example, the name and contact details of the DPO could be published internally on organisation’s intranet, internal telephone directory, and organisational charts.
3.1. Участие DPO во всех вопросах, касающихся защиты персональных данных
3.1. Involvement of the DPO in all issues relating to the protection of personal data
Статья 38 GDPR предусматривает, что контролер и процессор должны гарантировать, что DPO «надлежащим образом и своевременно вовлечен в участие во всех вопросах, касающихся защиты персональных данных».
Article 38 of the GDPR provides that the controller and the processor shall ensure that the DPO is ‘involved, properly and in a timely manner, in all issues which relate to the protection of personal data’.
Очень важно, чтобы DPO или его/ее команда как можно раньше принимали участие во всех вопросах, касающихся защиты персональных данных. Что касается оценки воздействия на защиту персональных данных, то GDPR четко предусматривает раннее участие DPO и указывает, что контролер должен обращаться за консультацией к DPO при проведении такой оценки [33]. Обеспечение информирования DPO и консультирования с ним будет способствовать соблюдению GDPR, продвигать подход спроектированной защиты персональных данных, поэтому такой подход должен быть стандартной процедурой в рамках управления организацией. Кроме того, важно, чтобы DPO рассматривался в качестве партнера для переговоров в организации и чтобы он являлся частью соответствующих рабочих групп, занимающихся обработкой персональных данных в рамках организации.
It is crucial that the DPO, or his/her team, is involved from the earliest stage possible in all issues relating to data protection. In relation to data protection impact assessments, the GDPR explicitly provides for the early involvement of the DPO and specifies that the controller shall seek the advice of the DPO when carrying out such impact assessments [33]. Ensuring that the DPO is informed and consulted at the outset will facilitate compliance with the GDPR, promote a privacy by design approach and should therefore be standard procedure within the organisation’s governance. In addition, it is important that the DPO be seen as a discussion partner within the organisation and that he or she be part of the relevant working groups dealing with data processing activities within the organisation.
Следовательно, организация должна обеспечить, например, что:
Consequently, the organisation should ensure, for example, that:
DPO предлагается регулярно участвовать в совещаниях высшего и среднего звена
the DPO is invited to participate regularly in meetings of senior and middle management
его или ее присутствие рекомендуется, когда принимаются решения, имеющие воздействие на защиту персональных данных. Вся необходимая информация должна быть передана DPO своевременно для того, чтобы он мог предоставить надлежащую консультацию
his or her presence is recommended where decisions with data protection implications are taken. All relevant information must be passed on to the DPO in a timely manner in order to allow him or her to provide adequate advice
мнению DPO всегда уделяется должное внимание. В случае несогласия WP29 рекомендует в качестве хорошей практики документировать причины несоблюдения консультаций DPO
the opinion of the DPO must always be given due weight. In case of disagreement, the WP29 recommends, as good practice, to document the reasons for not following the DPO’s advice
с DPO необходимо незамедлительно проконсультироваться в случае нарушения безопасности персональных данных или другого инцидента.
the DPO must be promptly consulted once a data breach or another incident has occurred.
В случае необходимости, контролер или процессор могут разработать руководство или программу по защите персональных данных, которые уточняют случаи, когда необходимо проконсультироваться с DPO.
Where appropriate, the controller or processor could develop data protection guidelines or programmes that set out when the DPO must be consulted.
Статья 38 (2) GDPR требует от организаций оказывать поддержку своим DPO посредством «предоставления ресурсов, необходимых для выполнения [их] задач и доступа к персональным данным и операциям по их обработке, а также ресурсов, необходимых для поддержания его или ее экспертных знаний». В частности, следует рассматривать следующие составляющие:
Article 38(2) of the GDPR requires the organisation to support its DPO by ‘providing resources necessary to carry out [their] tasks and access to personal data and processing operations, and to maintain his or her expert knowledge’. The following items, in particular, are to be considered:
• активную поддержку деятельности DPO со стороны высшего руководства (например, на уровне совета директоров)
• active support of the DPO’s function by senior management (such as at board level)
• время, достаточное для выполнения DPO своих обязанностей. Это особенно важно, когда внутренний DPO работает неполный рабочий день или когда внешний DPO занимается вопросами защиты персональных данных в дополнение к другим обязанностям. В противном случае конфликтующие приоритеты могут привести к пренебрежению обязанностями DPO. Поэтому наличие достаточного времени, которое можно посвятить задачам DPO, имеет первостепенное значение. Хорошей практикой является установление процента времени, отводимого для выполнения функций DPO в условиях частичной занятости. Хорошей практикой также является определение времени, необходимого для выполнения функций DPO, соответствующего уровня приоритета для обязанностей DPO, а также составление плана работы самим DPO или организацией
• sufficient time for DPOs to fulfil their duties. This is particularly important where an internal DPO is appointed on a part-time basis or where the external DPO carries out data protection in addition to other duties. Otherwise, conflicting priorities could result in the DPO’s duties being neglected. Having sufficient time to devote to DPO tasks is paramount. It is a good practice to establish a percentage of time for the DPO function where it is not performed on a full-time basis. It is also good practice to determine the time needed to carry out the function, the appropriate level of priority for DPO duties, and for the DPO (or the organisation) to draw up a work plan
• адекватную поддержку с точки зрения финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях
• adequate support in terms of financial resources, infrastructure (premises, facilities, equipment) and staff where appropriate
• официальное уведомление всех сотрудников о назначении DPO для того, чтобы гарантировать, что о его существовании и функциях известно в пределах организации
• official communication of the designation of the DPO to all staff to ensure that their existence and function are known within the organisation
• необходимый доступ к другим ресурсам, например, кадрам, правовой помощи, IT, безопасности и т.д. для того, чтобы DPO мог получать существенную поддержку и информацию
• necessary access to other services, such as Human Resources, legal, IT, security, etc., so that DPOs can receive essential support, input and information from those other services
• непрерывное обучение. DPO должна быть предоставлена возможность идти в ногу со временем в области защиты персональных данных. Цель должна состоять в постоянном повышении уровня знаний DPO, и их следует стимулировать к участию в учебных курсах по защите персональных данных и других формах профессионального развития, таких, как участие в форумах по приватности, круглых столах и т.д.
• continuous training. DPOs must be given the opportunity to stay up to date with regard to developments within the field of data protection. The aim should be to constantly increase the level of expertise of DPOs and they should be encouraged to participate in training courses on data protection and other forms of professional development, such as participation in privacy fora, workshops, etc.
• учитывая размер и структуру организации, может потребоваться создать команду DPO (сам DPO и его сотрудники). В таких случаях необходимо четко прописывать внутреннюю структуру команды, задачи и обязанности каждого из ее членов. Точно так же, когда функция DPO осуществляется внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда, под ответственность назначенного главного контактного лица для клиента.
• given the size and structure of the organisation, it may be necessary to set up a DPO team (a DPO and his/her staff). In such cases, the internal structure of the team and the tasks and responsibilities of each of its members should be clearly drawn up. Similarly, when the function of the DPO is exercised by an external service provider, a team of individuals working for that entity may effectively carry out the tasks of a DPO as a team, under the responsibility of a designated lead contact for the client.
В целом, чем более сложными и (или) чувствительными являются операции по обработке персональных данных, тем больше ресурсов требуется DPO. Функция защиты персональных данных должна осуществляться эффективно и снабжаться достаточно хорошими ресурсами по отношению к осуществляемым операциям по обработке персональных данных.
In general, the more complex and/or sensitive the processing operations, the more resources must be given to the DPO. The data protection function must be effective and sufficiently well-resourced in relation to the data processing being carried out.
3.3. Указания и «выполнение обязанностей и задач в независимом порядке»
3.3. Instructions and ‘performing their duties and tasks in an independent manner’
Статья 38 (3) устанавливает основные гарантии, чтобы обеспечить способность DPO выполнять свои задачи с достаточной степенью автономии в рамках своей организации. В частности, контролеры/процессоры должны гарантировать, что DPO «не будет получать никаких указаний относительно выполнения им своих задач». Преамбула 97 дополняет, что DPO, «независимо от того, является ли он сотрудником контролера, должен быть в состоянии выполнять свои обязанности и задачи в независимом порядке».
Article 38(3) establishes some basic guarantees to help ensure that DPOs are able to perform their tasks with a sufficient degree of autonomy within their organisation. In particular, controllers/processors are required to ensure that the DPO ‘does not receive any instructions regarding the exercise of [his or her] tasks’. Recital 97 adds that DPOs, ‘whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner’.
Это означает, что при выполнении своих задач в соответствии со статьей 39 DPO не должен получать указания, как разрешить тот или иной вопрос, например, какой результат должен быть достигнут, каким образом изучать жалобу или консультироваться ли с надзорным органом. Кроме того, нельзя указывать DPO придерживаться определенного взгляда на вопрос, связанный с законодательством о защите персональных данных, например, особого толкования закона.
This means that, in fulfilling their tasks under Article 39, DPOs must not be instructed how to deal with a matter, for example, what result should be achieved, how to investigate a complaint or whether to consult the supervisory authority. Furthermore, they must not be instructed to take a certain view of an issue related to data protection law, for example, a particular interpretation of the law.
Однако автономия DPO не означает, что они имеют полномочия для принятия решений, выходящих за рамки их задач, перечисленных в статье 39.
The autonomy of DPOs does not, however, mean that they have decision-making powers extending beyond their tasks pursuant to Article 39.
Контролер или процессор несут ответственность за соблюдение законодательства о защите персональных данных и должны быть в состоянии продемонстрировать его соблюдение [34]. Если контролер или процессор принимают решения, которые несовместимы с требованиями GDPR и консультациями DPO, последний должен иметь возможность четко изложить свое особое мнение высшему руководству и принимающим решения лицам. В связи с этим, статья 38(3) предусматривает, что DPO «должен непосредственно отчитываться на самом высоком уровне управления контролера или процессора». Такая прямая отчетность гарантирует, что высшее руководство (например, совет директоров) будет в курсе консультаций и рекомендаций, предоставленных DPO в рамках его миссии по информированию и консультированию контролера или процессора. Другим примером прямой подотчетности является составление годового отчета о деятельности DPO, который направляется высшему руководству.
The controller or processor remains responsible for compliance with data protection law and must be able to demonstrate compliance [34]. If the controller or processor makes decisions that are incompatible with the GDPR and the DPO’s advice, the DPO should be given the possibility to make his or her dissenting opinion clear to the highest management level and to those making the decisions. In this respect, Article 38(3) provides that the DPO ‘shall directly report to the highest management level of the controller or the processor’. Such direct reporting ensures that senior management (e.g. board of directors) is aware of the DPO’s advice and recommendations as part of the DPO’s mission to inform and advise the controller or the processor. Another example of direct reporting is the drafting of an annual report of the DPO’s activities provided to the highest management level.
3.4. Увольнение или наказание за выполнение DPO своих задач
3.4. Dismissal or penalty for performing DPO tasks
Статья 38 (3) гласит, что DPO «не должен подвергаться увольнению или иному наказанию контролером или процессором за выполнение [своих] задач».
Article 38(3) requires that DPOs should ‘not be dismissed or penalised by the controller or the processor for performing [their] tasks’.
Это требование укрепляет автономию DPO и помогает гарантировать, что он может действовать независимо и обладать достаточной защитой при выполнении своих задач по защите персональных данных.
This requirement strengthens the autonomy of DPOs and helps ensure that they act independently and enjoy sufficient protection in performing their data protection tasks.
Наказание DPO запрещается GDPR только в случае, если оно налагается за выполнение им своих обязанностей. Например, DPO мог посчитать, что определенная обработка может с большой вероятностью привести к высокому риску, и посоветовал контролеру или процессору провести оценку воздействия на защиту персональных данных, но контролер или процессор не согласен с оценкой DPO. В такой ситуации DPO не может быть уволен за предоставление этой рекомендации.
Penalties are only prohibited under the GDPR if they are imposed as a result of the DPO carrying out his or her duties as a DPO. For example, a DPO may consider that a particular processing is likely to result in a high risk and advise the controller or the processor to carry out a data protection impact assessment but the controller or the processor does not agree with the DPO’s assessment. In such a situation, the DPO cannot be dismissed for providing this advice.
Наказание может принимать различные формы и быть прямым или косвенным. Оно может состоять, например, в отсутствии или задержке повышения; предотвращении продвижения по карьерной лестнице; отказе в предоставлении преимуществ, которые другие сотрудники получают. Не обязательно, чтобы эти наказания фактически исполнялись, самой их угрозы достаточно, если они используются, чтобы наказать DPO по причинам, связанным с его/ее деятельностью.
Penalties may take a variety of forms and may be direct or indirect. They could consist, for example, of absence or delay of promotion; prevention from career advancement; denial from benefits that other employees receive. It is not necessary that these penalties be actually carried out, a mere threat is sufficient as long as they are used to penalise the DPO on grounds related to his/her DPO activities.
В рамках обычной нормы управления и, как это было бы в случае любого другого сотрудника или подрядчика в соответствии с применимым национальным договором, трудовым или уголовным правом, DPO все еще может быть законно уволен по причинам, не связанным с выполнением им своих задач в качестве DPO (например, в случае кражи, физического, психологического или сексуального домогательства или иного подобного грубого нарушения правил поведения).
As a normal management rule and as it would be the case for any other employee or contractor under, and subject to, applicable national contract or labour and criminal law, a DPO could still be dismissed legitimately for reasons other than for performing his or her tasks as a DPO (for instance, in case of theft, physical, psychological or sexual harassment or similar gross misconduct).
В этом контексте следует отметить, что GDPR не определяет, как и когда DPO может быть уволен или заменен другим лицом. Тем не менее, чем стабильнее договор с DPO и чем больше гарантий существует против необоснованного увольнения, тем более вероятно, что он будет иметь возможность действовать независимым образом. Таким образом, WP29 будет приветствовать усилия организаций на этот счет.
In this context it should be noted that the GDPR does not specify how and when a DPO can be dismissed or replaced by another person. However, the more stable a DPO’s contract is, and the more guarantees exist against unfair dismissal, the more likely they will be able to act in an independent manner. Therefore, the WP29 would welcome efforts by organisations to this effect.
Статья 38 (6) позволяет DPO «выполнять другие задачи и обязанности». Однако от организаций требуется гарантировать, что «выполнение таких задач не приводит к конфликту интересов».
Article 38(6) allows DPOs to ‘fulfil other tasks and duties’. It requires, however, that the organisation ensure that ‘any such tasks and duties do not result in a conflict of interests’.
Отсутствие конфликта интересов тесно связано с требованием действовать независимым образом. Хотя DPO разрешено осуществлять другие функции, они могут быть возложены на него только в рамках других задач и обязанностей и при условии, что они не приводят к конфликту интересов. Это влечет за собой, в частности, невозможность для DPO занимать такую должность в организации, которая ведет к определению им целей и средств обработки персональных данных. В силу специфики организационной структуры в каждой организации это должно рассматриваться в каждом отдельном случае.
The absence of conflict of interests is closely linked to the requirement to act in an independent manner. Although DPOs are allowed to have other functions, they can only be entrusted with other tasks and duties provided that these do not give rise to conflicts of interests. This entails in particular that the DPO cannot hold a position within the organisation that leads him or her to determine the purposes and the means of the processing of personal data. Due to the specific organisational structure in each organisation, this has to be considered case by case.
Как правило, конфликтующие позиции внутри организации могут включать в себя высокие руководящие должности (например, директор, начальник операционного отдела, начальник финансового отдела, главный врач, начальник отдела маркетинга, начальник отдела кадров или начальник IT-отдела), а также более низкие должности в организационной структуре, если такие должности приводят к определению целей и средств обработки. Кроме того, конфликт интересов может возникнуть, например, если внешнего DPO просят представлять интересы контролера или процессора в судах в делах, связанных с вопросами защиты персональных данных.
As a rule of thumb, conflicting positions within the organisation may include senior management positions (such as chief executive, chief operating, chief financial, chief medical officer, head of marketing department, head of Human Resources or head of IT departments) but also other roles lower down in the organisational structure if such positions or roles lead to the determination of purposes and means of processing. In addition, a conflict of interests may also arise for example if an external DPO is asked to represent the controller or processor before the Courts in cases involving data protection issues.
В зависимости от деятельности, размера и структуры организации, для контролеров и процессоров может быть хорошей практикой:
Depending on the activities, size and structure of the organisation, it can be good practice for controllers or processors:
• определить должности, которые были бы несовместимы с функциями DPO
• to identify the positions which would be incompatible with the function of DPO
• разработать внутренние правила по этому вопросу с целью избежать конфликта интересов
• to draw up internal rules to this effect in order to avoid conflicts of interests
• включить более общее определение конфликта интересов
• to include a more general explanation about conflicts of interests
• заявить о том, что их DPO не имеет конфликта интересов в отношении его функций DPO, что является способом повышения осведомленности об этом требовании
• to declare that their DPO has no conflict of interests with regard to its function as a DPO, as a way of raising awareness of this requirement
• включить гарантии во внутренние правила организации и обеспечить, чтобы уведомление о вакансии на должность DPO или договор оказания услуг были достаточно точными и детализированными для того, чтобы избежать конфликта интересов. В этом контексте следует также иметь в виду, что конфликт интересов может принимать различные формы в зависимости от того, является ли DPO штатным или внештатным сотрудником.
• to include safeguards in the internal rules of the organisation and to ensure that the vacancy notice for the position of DPO or the service contract is sufficiently precise and detailed in order to avoid a conflict of interests. In this context, it should also be borne in mind that conflicts of interests may take various forms depending on whether the DPO is recruited internally or externally.
Статья 39 (1)(b) возлагает на DPO, помимо прочего, обязанность следить за соблюдением GDPR. Преамбула 97 далее указывает, что DPO «должен помогать контролеру или процессору осуществлять контроль за внутренним соблюдением настоящего Регламента».
Article 39(1)(b) entrusts DPOs, among other duties, with the duty to monitor compliance with the GDPR. Recital 97 further specifies that DPO ‘should assist the controller or the processor to monitor internal compliance with this Regulation’.
В рамках обязанности по контролю за соблюдением Регламента DPO может, в частности:
As part of these duties to monitor compliance, DPOs may, in particular:
• собирать информацию для выявления обработки персональных данных
• collect information to identify processing activities
• анализировать и проверять соответствие деятельности по обработке требованиям GDPR
• analyse and check the compliance of processing activities
• информировать, консультировать и давать рекомендации контролеру или процессору.
• inform, advise and issue recommendations to the controller or the processor.
Контроль за соблюдением GDPR не означает, что DPO несет персональную ответственность при обнаружении несоблюдения требований Регламента. GDPR подчеркивает, что не DPO, а именно контролер «принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом» (статья 24 (1)). Соблюдение законодательства о защите персональных данных является корпоративной ответственностью контролера, а не DPO.
Monitoring of compliance does not mean that it is the DPO who is personally responsible where there is an instance of non-compliance. The GDPR makes it clear that it is the controller, not the DPO, who is required to ‘implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation’ (Article 24(1)). Data protection compliance is a corporate responsibility of the data controller, not of the DPO.
4.2. Роль DPO в оценке воздействия на защиту персональных данных
4.2. Role of the DPO in a data protection impact assessment
В соответствии со статьей 35 (1), в задачи контролера (а не DPO) входит осуществление, при необходимости, оценки воздействия на защиту персональных данных ( «DPIA»). Тем не менее, DPO может играть очень важную и полезную роль при оказании помощи контролеру. В соответствии с принципом встроенной защиты персональных данных, статья 35 (2) устанавливает, что контролер «должен проконсультироваться» с DPO при проведении DPIA. Статья 39 (1)(с), в свою очередь, возлагает на DPO задачу «предоставлять запрашиваемые рекомендации касательно [DPIA] и контролировать ее осуществление в соответствии со статьей 35».
According to Article 35(1), it is the task of the controller, not of the DPO, to carry out, when necessary, a data protection impact assessment (‘DPIA’). However, the DPO can play a very important and useful role in assisting the controller. Following the principle of data protection by design, Article 35(2) specifically requires that the controller ‘shall seek advice’ of the DPO when carrying out a DPIA. Article 39(1)(c), in turn, tasks the DPO with the duty to ‘provide advice where requested as regards the [DPIA] and monitor its performance pursuant to Article 35’.
WP29 рекомендует контролерам обращаться за консультацией к DPO, среди прочего, по следующим вопросам [35]:
The WP29 recommends that the controller should seek the advice of the DPO, on the following issues, amongst others [35]:
[35] Статья 39 (1) упоминает о задачах DPO и указывает на то, что DPO должны иметь «по крайней мере» следующие задачи. Таким образом, ничто не мешает контролеру возлагать на DPO другие задачи помимо тех, которые упомянуты в статье 39 (1), или указывать эти задачи более подробно.
[35] Article 39(1) mentions the tasks of the DPO and indicates that the DPO shall have ‘at least’ the following tasks. Therefore, nothing prevents the controller from assigning the DPO other tasks than those explicitly mentioned in Article 39(1), or specifying those tasks in more detail.
• какой методологией руководствоваться при проведении DPIA
• what methodology to follow when carrying out a DPIA
• следует ли проводить DPIA самостоятельно или доверить его на аутсорс
• whether to carry out the DPIA in-house or whether to outsource it
• какие меры (в том числе технические и организационные меры) применять для минимизации любых рисков для прав и интересов субъектов данных
• what safeguards (including technical and organisational measures) to apply to mitigate any risks to the rights and interests of the data subjects
• правильно ли проведена оценка воздействия на защиту персональных данных и соответствует ли ее заключение (продолжать ли обработку данных и какие меры применять) требованиям GDPR.
• whether or not the data protection impact assessment has been correctly carried out and whether its conclusions (whether or not to go ahead with the processing and what safeguards to apply) are in compliance with the GDPR.
Если контролер не согласен с советом, предоставленным DPO, документация по DPIA должна содержать конкретное письменное обоснование, почему совет не был принят во внимание [36].
If the controller disagrees with the advice provided by the DPO, the DPIA documentation should specifically justify in writing why the advice has not been taken into account [36].
[36] Статья 24 (1) предусматривает, что «принимая во внимание характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролер принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом. При необходимости эти меры пересматриваются и обновляются».
[36] Article 24(1) provides that ‘taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary’.
WP29 рекомендует контролеру четко определить, например, в договоре с DPO и в информации, предоставляемой сотрудникам и руководству (и другим заинтересованным сторонам в соответствующих случаях), точные задачи DPO и их объем, в частности, относительно проведения DPIA.
The WP29 further recommends that the controller clearly outline, for example in the DPO’s contract, but also in information provided to employees, management (and other stakeholders, where relevant), the precise tasks of the DPO and their scope, in particular with respect to carrying out the DPIA.
4.3. Сотрудничество с надзорным органом и деятельность в качестве контактного лица
4.3. Cooperating with the supervisory authority and acting as a contact point
В соответствии со статьей 39 (1)(d) и (e), DPO должен «сотрудничать с надзорным органом» и «действовать в качестве контактного лица для надзорного органа по вопросам, касающимся обработки, в том числе для предварительных консультаций, указанных в статье 36, а также консультироваться, в случае необходимости, по любому иному вопросу».
According to Article 39(1)(d) and (e), the DPO should ‘cooperate with the supervisory authority’ and ‘act as a contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter’.
Эти задачи относятся к роли DPO как «посредника», упомянутой во введении к настоящему Руководству. DPO выступает в качестве контактного лица для облегчения доступа надзорного органа к документам и информации для выполнения задач, указанных в статье 57, а также для осуществления своих расследовательских, исправительных, разрешительных и консультативных полномочий, упомянутых в статье 58. Как уже упоминалось, DPO ограничен в своей деятельности требованием о секретности или конфиденциальности в отношении выполнения своих задач в соответствии с законодательством Союза или государств-членов (статья 38 (5)). Однако требование о секретности/конфиденциальности не запрещает DPO контактировать и консультироваться с надзорным органом. Статья 39 (1)(е) предусматривает, что DPO может при необходимости обращаться к надзорному органу по любому другому вопросу.
These tasks refer to the role of ‘facilitator’ of the DPO mentioned in the introduction to these Guidelines. The DPO acts as a contact point to facilitate access by the supervisory authority to the documents and information for the performance of the tasks mentioned in Article 57, as well as for the exercise of its investigative, corrective, authorisation, and advisory powers mentioned in Article 58. As already mentioned, the DPO is bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law (Article 38(5)). However, the obligation of secrecy/confidentiality does not prohibit the DPO from contacting and seeking advice from the supervisory authority. Article 39(1)(e) provides that the DPO can consult the supervisory authority on any other matter, where appropriate.
Статья 39(2) требует, чтобы DPO «уделял должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки».
Article 39(2) requires that the DPO ‘have due regard to the risk associated with the processing operations, taking into account the nature, scope, context and purposes of processing’.
Эта статья содержит в себе принцип здравого смысла, который может быть актуальным для многих ежедневных рабочих аспектов деятельности DPO. По существу, она требует, чтобы DPO отдавали приоритет своей деятельности и сосредотачивали свои усилия на вопросах, представляющих более высокие риски для защиты персональных данных. Это вовсе не означает, что они должны пренебрегать контролем за соответствием GDPR тех операций по обработке, которые имеют сравнительно низкий уровень рисков, однако это свидетельствует о том, что они должны сосредотачиваться, в первую очередь, на участках повышенного риска.
This article recalls a general and common sense principle, which may be relevant for many aspects of a DPO’s day-to-day work. In essence, it requires DPOs to prioritise their activities and focus their efforts on issues that present higher data protection risks. This does not mean that they should neglect monitoring compliance of data processing operations that have comparatively lower level of risks, but it does indicate that they should focus, primarily, on the higher-risk areas.
Такой избирательный и прагматичный подход должен помочь DPO при консультировании контролера по вопросам о том, какую методологию использовать при проведении DPIA, какие области должны быть предметом внутреннего или внешнего аудита защиты персональных данных, какие внутренние обучающие мероприятия проводить для персонала или руководства, ответственного за обработку персональных данных, и каким операциям по обработке уделять больше времени и ресурсов.
This selective and pragmatic approach should help DPOs advise the controller what methodology to use when carrying out a DPIA, which areas should be subject to an internal or external data protection audit, which internal training activities to provide to staff or management responsible for data processing activities, and which processing operations to devote more of his or her time and resources to.
В соответствии с пунктами (1) и (2) статьи 30, контролер или процессор (но не DPO) «ведут реестр деятельности по обработке, за которую ответственны» или «ведут реестр всех видов деятельности по обработке, выполняемых от имени контролера».
Under Article 30(1) and (2), it is the controller or the processor, not the DPO, who is required to ‘maintain a record of processing operations under its responsibility’ or ‘maintain a record of all categories of processing activities carried out on behalf of a controller’.
На практике DPO часто проводят инвентаризацию и ведут реестр обработок персональных данных на основе информации, предоставленной им различными департаментами организации, которые ответственны за обработку персональных данных. Такая практика сформировалась в рамках многих существующих национальных законов и норм о защите персональных данных, применимых к учреждениям и органам ЕС [37].
In practice, DPOs often create inventories and hold a register of processing operations based on information provided to them by the various departments in their organisation responsible for the processing of personal data. This practice has been established under many current national laws and under the data protection rules applicable to the EU institutions and bodies [37].
Статья 39(1) предусматривает перечень задач, которые DPO должен иметь как минимум. Таким образом, ничто не мешает контролеру или процессору возложить на DPO задачу по ведению реестра обработок персональных данных под ответственность контролера или процессора. Такой реестр должен рассматриваться в качестве одного из инструментов, позволяющих DPO выполнять свои задачи по контролю за соблюдением GDPR, информированию и консультированию контролера или процессора.
Article 39(1) provides for a list of tasks that the DPO must have as a minimum. Therefore, nothing prevents the controller or the processor from assigning the DPO with the task of maintaining the record of processing operations under the responsibility of the controller or the processor. Such a record should be considered as one of the tools enabling the DPO to perform its tasks of monitoring compliance, informing and advising the controller or the processor.
В любом случае, такой реестр, который необходимо хранить в соответствии со статьей 30, также следует рассматривать в качестве инструмента, позволяющего контролеру и надзорному органу по требованию последнего иметь обзор всей деятельности по обработке персональных данных, осуществляемой организацией. Таким образом, реестр является предпосылкой для соблюдения GDPR и эффективной мерой подотчетности.
In any event, the record required to be kept under Article 30 should also be seen as a tool allowing the controller and the supervisory authority, upon request, to have an overview of all the personal data processing activities an organisation is carrying out. It is thus a prerequisite for compliance, and as such, an effective accountability measure.
Цель настоящего приложения заключается в том, чтобы в упрощенном и удобном для чтения формате ответить на некоторые из ключевых вопросов, которые могут иметь организации относительно новых требований Общего регламента защиты персональных данных (GDPR) о назначении DPO.
The objective of this annex is to answer, in a simplified and easy-to-read format, some of the key questions that organisations may have regarding the new requirements under the General Data Protection Regulation (GDPR) to appoint a DPO.
• если обработка осуществляется государственным органом (независимо от того, какие данные обрабатываются)
• if the processing is carried out by a public authority or body (irrespective of what data is being processed)
• если основная деятельность контролера или процессора включает в себя операции по обработке персональных данных, которые требуют регулярного и систематического мониторинга субъектов данных, в крупных масштабах
• if the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale
• если основная деятельность контролера или процессора включает в себя обработку в крупных масштабах специальных категорий персональных данных или персональных данных, касающихся судимостей и правонарушений.
• if the core activities of the controller or the processor consist of processing on a large scale of special categories of data or personal data relating to criminal convictions and offences.
Обратите внимание, что законодательство Союза или государств-членов может требовать назначения DPO и в других случаях. Наконец, даже если назначение DPO не является обязательным, для организаций может иногда оказаться полезным назначить DPO на добровольной основе. Рабочая группа статьи 29 по защите физических лиц при обработке персональных данных ( «WP29») поощряет эти добровольные усилия. Если организация назначает DPO на добровольной основе, к его назначению, положению и задачам будут применяться те же требования, как если бы он был назначен в обязательном порядке.
Note that Union or Member State law may require the designation of DPOs in other situations as well. Finally, even if the designation of a DPO is not mandatory, organisations may sometimes find it useful to designate a DPO on a voluntary basis. The Article 29 Data Protection Working Party (‘WP29’) encourages these voluntary efforts. When an organisation designates a DPO on a voluntary basis, the same requirements will apply to his or her designation, position and tasks as if the designation had been mandatory.
«Основную деятельность» можно рассматривать в качестве совокупности основных операций, необходимых для достижения целей контролера или процессора. Она также включает в себя все виды деятельности, в рамках которых обработка персональных данных является неразрывной частью деятельности контролера или процессора. Например, обработку таких данных о состоянии здоровья, как история болезни пациентов, следует рассматривать в качестве одного из основных направлений деятельности любой больницы, в связи с чем больницы должны назначать DPO.
‘Core activities’ can be considered as the key operations to achieve the controller’s or processor’s objectives. These also include all activities where the processing of data forms as inextricable part of the controller’s or processor’s activity. For example, processing health data, such as patient’s health records, should be considered as one of any hospital’s core activities and hospitals must therefore designate DPOs.
С другой стороны, все организации осуществляют такую деятельность, как выплата заработной платы сотрудникам и поддержка IT-систем. Подобная деятельность выполняет функцию необходимой поддержки основной деятельности организации. И хотя она и является необходимой и существенной, однако обычно относится к вспомогательной функции, а не основной деятельности.
On the other hand, all organisations carry out certain supporting activities, for example, paying their employees or having standard IT support activities. These are examples of necessary support functions for the organisation’s core activity or main business. Even though these activities are necessary or essential, they are usually considered ancillary functions rather than the core activity.
GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:
The GDPR does not define what constitutes large-scale processing. The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:
• количество субъектов данных — в виде определенного числа или доли населения соответствующего региона
• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population
• объем обрабатываемых данных и/или диапазон различных элементов обрабатываемых данных
• the volume of data and/or the range of different data items being processed
• длительность или постоянство деятельности по обработке персональных данных
• the duration, or permanence, of the data processing activity
• географические масштабы деятельности по обработке персональных данных.
• the geographical extent of the processing activity.
• обработку данных о пациенте в ходе обычной деятельности больницы
• processing of patient data in the regular course of business by a hospital
• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)
• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)
• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности
• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities
• обработку данных клиента в ходе обычной деятельности страховой компании или банка
• processing of customer data in the regular course of business by an insurance company or a bank
• обработку персональных данных для поведенческой рекламы с помощью поисковой системы
• processing of personal data for behavioural advertising by a search engine
• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.
• processing of data (content, traffic, location) by telephone or internet service providers.
Примеры, которые не составляют крупномасштабную обработку, включают в себя:
Examples that do not constitute large-scale processing include:
• обработку данных пациента, осуществляемую индивидуальным врачом
• processing of patient data by an individual physician
• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.
• processing of personal data relating to criminal convictions and offences by an individual lawyer.
4. Что означает «регулярный и систематический мониторинг»?
4. What does ‘regular and systematic monitoring’ mean?
Определение регулярного и систематического мониторинга субъектов данных не дается в GDPR, но, очевидно, включает в себя все формы отслеживания и профилирования в Интернете, в том числе для целей поведенческой рекламы. Однако понятие мониторинга не ограничивается онлайн-средой.
The notion of regular and systematic monitoring of data subjects is not defined in the GDPR, but clearly includes all forms of tracking and profiling on the internet, including for the purposes of behavioural advertising. However, the notion of monitoring is not restricted to the online environment.
Примеры видов деятельности, представляющих собой регулярный и систематический мониторинг субъектов данных: управление телекоммуникационной сетью; предоставление телекоммуникационных услуг; ретаргетинг по электронной почте; основанная на обработке персональных данных маркетинговая деятельность; профилирование и скоринг для целей оценки рисков (например, для целей кредитного скоринга, установления страховых премий, предотвращения мошенничества, обнаружения отмывания денег); отслеживание местоположения, например, с помощью мобильных приложений; программы лояльности; поведенческая реклама; мониторинг спортивных и медицинских данных через носимые устройства; кабельное телевидение; подключаемые устройства, например, умные счетчики, умные автомобили, домашняя автоматизация и т.д.
Examples of activities that may constitute a regular and systematic monitoring of data subjects: operating a telecommunications network; providing telecommunications services; email retargeting; data-driven marketing activities; profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering); location tracking, for example, by mobile apps; loyalty programs; behavioural advertising; monitoring of wellness, fitness and health data via wearable devices; closed circuit television; connected devices e.g. smart meters, smart cars, home automation, etc.
WP29 толкует «регулярный» следующим образом:
WP29 interprets ‘regular’ as meaning one or more of the following:
• происходящий в определенные промежутки времени в течение определенного периода
• ongoing or occurring at particular intervals for a particular period
WP29 трактует «систематический» следующим образом:
WP29 interprets ‘systematic’ as meaning one or more of the following:
• происходящий в рамках общего плана по сбору данных
• taking place as part of a general plan for data collection
5. Могут ли организации назначить DPO совместно? Если да, то при каких условиях?
5. Can organisations appoint a DPO jointly? If so, under what conditions?
Да, могут. Группа предприятий может назначить единого DPO при условии, что он «легко доступен из каждой организационной единицы». Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных, надзорного органа, а также внутренних подразделений организации. Для того чтобы обеспечить доступность DPO, будь он внутренним или внешним, важно убедиться, что их контактные данные доступны. DPO (при необходимости с помощью команды) должен быть в состоянии эффективно взаимодействовать с субъектами данных и сотрудничать с надзорными органами. Это означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одинаковых условиях с другими сотрудниками, через горячую линию или другие безопасные средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.
Yes. A group of undertakings may designate a single DPO provided that he or she is ‘easily accessible from each establishment’. The notion of accessibility refers to the tasks of the DPO as a contact point with respect to data subjects, the supervisory authority and also internally within the organisation. In order to ensure that the DPO is accessible, whether internal or external, it is important to make sure that their contact details are available. The DPO, with the help of a team if necessary, must be in a position to efficiently communicate with data subjects and cooperate with the supervisory authorities concerned. This means that this communication must take place in the language or languages used by the supervisory authorities and the data subjects concerned. The availability of a DPO (whether physically on the same premises as employees, via a hotline or other secure means of communication) is essential to ensure that data subjects will be able to contact the DPO.
Единый DPO может быть назначен для нескольких государственных органов с учетом их организационной структуры и размера. Применяются те же самые соображения в отношении ресурсов и связей. Учитывая, что DPO отвечает за множество задач, контролер или процессор должны гарантировать, что единый DPO (при необходимости — с помощью команды) сможет выполнять эти задачи эффективно, несмотря на то, что он назначен несколькими государственными органами.
A single DPO may be designated for several public authorities or bodies, taking account of their organisational structure and size. The same considerations with regard to resources and communication apply. Given that the DPO is in charge of a variety of tasks, the controller or the processor must ensure that a single DPO, with the help of a team if necessary, can perform these efficiently despite being designated for several public authorities and bodies.
Для того чтобы гарантировать, что DPO доступен, WP29 рекомендует DPO находиться в пределах Европейского Союза, независимо от того, находится ли там контролер или процессор. Тем не менее, нельзя исключать, что в некоторых ситуациях, когда контролер или процессор не имеет организационной единицы в Европейском Союзе, DPO может более эффективно осуществлять свою деятельность в случае, если он находится за пределами ЕС.
To ensure that the DPO is accessible, the WP29 recommends that the DPO be located within the European Union, whether or not the controller or the processor is established in the European Union. However, it cannot be excluded that, in some situations where the controller or the processor has no establishment within the European Union, a DPO may be able to carry out his or her activities more effectively if located outside the EU.
Да, можно. DPO может быть штатным сотрудником контролера или процессора (внутренний DPO) или выполнять задачи на основании договора оказания услуг. Это означает, что DPO может быть внештатным, и в этом случае его/ее функции могут осуществляться на основании договора оказания услуг, заключенного с физическим лицом или организацией.
Yes. The DPO may be a staff member of the controller or the processor (internal DPO) or fulfil the tasks on the basis of a service contract. This means that the DPO can be external, and in this case, his/her function can be exercised based on a service contract concluded with an individual or an organisation.
Когда функции DPO осуществляются внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда под руководством назначенного главного контактного лица, являющегося «ответственным» за клиента. В этом случае важно, чтобы каждый сотрудник внешней организации, осуществляющей функции DPO, соответствовал всем применимым требованиям GDPR.
When the function of the DPO is exercised by an external service provider, a team of individuals working for that entity may effectively carry out the DPO tasks as a team, under the responsibility of a designated lead contact and ‘person in charge’ of the client. In this case, it is essential that each member of the external organisation exercising the functions of a DPO fulfils all applicable requirements of the GDPR.
Ради юридической ясности, хорошей организации процесса и предотвращения конфликтов интересов для членов команды, Руководством рекомендуется указывать в договоре оказания услуг четкое распределение задач в рамках внешней команды DPO и назначать одного человека в качестве главного контактного лица, «ответственного» за клиента.
For the sake of legal clarity and good organisation and to prevent conflicts of interests for the team members, the Guidelines recommend to have, in the service contract, a clear allocation of tasks within the external DPO team and to assign a single individual as a lead contact and person ‘in charge’ of the client.
8. Какие профессиональные качества должны иметь DPO?
8. What are the professional qualities that the DPO should have?
DPO должен назначаться на основании профессиональных качеств и, в частности, экспертных знаний законодательства и практики в области защиты персональных данных, а также способности выполнять свои задачи.
The DPO shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil his or her tasks.
Необходимый уровень экспертных знаний должен быть определен в соответствии с выполняемыми операциями по обработке персональных данных и уровнем защиты, необходимой для обрабатываемых персональных данных. Например, когда деятельность по обработке персональных данных является особенно сложной или когда в обработку вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки.
The necessary level of expert knowledge should be determined according to the data processing operations carried out and the protection required for the personal data being processed. For example, where a data processing activity is particularly complex, or where a large amount of sensitive data is involved, the DPO may need a higher level of expertise and support.
• знание национального и европейского законодательства о защите персональных данных и практики его применения, включая углубленное понимание GDPR
• expertise in national and European data protection laws and practices including an in-depth understanding of the GDPR
• понимание выполняемых операций по обработке персональных данных
• understanding of the processing operations carried out
• понимание информационных технологий и информационной безопасности
• understanding of information technologies and data security
• способность содействовать формированию культуры защиты персональных данных в рамках организации.
• ability to promote a data protection culture within the organisation.
9. Какие ресурсы должны быть предоставлены DPO контролером или процессором?
9. What resources should be provided to the DPO by the controller or the processor?
DPO должны иметь необходимые ресурсы, чтобы быть в состоянии выполнять свои задачи.
The DPO must have the resources necessary to be able to carry out his or her tasks.
В зависимости от характера операций по обработке, а также деятельности и размера организации, следующие ресурсы должны быть предоставлены DPO:
Depending on the nature of the processing operations and the activities and size of the organisation, the following resources should be provided to the DPO:
• активная поддержка осуществления функций DPO со стороны высшего руководства
• active support of the DPO’s function by senior management
• адекватная поддержка в плане финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях
• adequate support in terms of financial resources, infrastructure (premises, facilities, equipment) and staff where appropriate
• официальное уведомление всех сотрудников о назначении DPO
• official communication of the designation of the DPO to all staff
• доступ к другим ресурсам в рамках организации для того, чтобы DPO мог получать существенную поддержку и информацию
• access to other services within the organisation so that DPOs can receive essential support, input or information from those other services
10. Каковы гарантии, позволяющие DPO выполнять ее/его задачи независимым образом? Что означает «конфликт интересов»?
10. What are the safeguards to enable the DPO to perform her/his tasks in an independent manner? What does ‘conflict of interests’ mean?
Существует несколько гарантий, позволяющих DPO действовать независимым образом:
Several safeguards exist in order to enable the DPO to act in an independent manner:
• отсутствие указаний со стороны контролера или процессора касательно выполнения DPO своих задач
• no instructions by the controllers or the processors regarding the exercise of the DPO’s tasks
• запрет на увольнение или иное наказание DPO со стороны контролера или процессора за выполнение DPO своих задач
• no dismissal or penalty by the controller for the performance of the DPO’s tasks
• отсутствие конфликта интересов с другими возможными задачами и обязанностями.
• no conflict of interest with possible other tasks and duties.
Наличие у DPO других задач и обязанностей не должно приводить к конфликту интересов. Это означает, что DPO не может занимать должность в организации, которая приводит к определению целей и средств обработки персональных данных. В силу специфики организационной структуры в каждой организации это должно рассматриваться в каждом отдельном случае.
The other tasks and duties of a DPO must not result in a conflict of interests. This means, first, that the DPO cannot hold a position within the organisation that leads him or her to determine the purposes and the means of the processing of personal data. Due to the specific organisational structure in each organisation, this has to be considered case by case.
Как правило, конфликтующие позиции внутри организации могут включать в себя высокие руководящие должности (например, директор, начальник операционного отдела, начальник финансового отдела, главный врач, начальник отдела маркетинга, начальник отдела кадров или начальник IT-отдела), а также более низкие должности в организационной структуре, если такие должности приводят к определению целей и средств обработки. Кроме того, конфликт интересов может возникнуть, например, если внешнего DPO просят представлять интересы контролера или процессора в судах в делах, связанных с вопросами защиты персональных данных.
As a rule of thumb, conflicting positions within the organisation may include senior management positions (such as chief executive, chief operating, chief financial, chief medical officer, head of marketing department, head of Human Resources or head of IT departments) but also other roles lower down in the organisational structure if such positions or roles lead to the determination of purposes and means of processing. In addition, a conflict of interests may also arise for example if an external DPO is asked to represent the controller or processor before the Courts in cases involving data protection issues.
В рамках обязанностей по контролю за соблюдением GDPR DPO может, в частности:
As part of these duties to monitor compliance, DPOs may, in particular:
• собирать информацию для выявления деятельности по обработке персональных данных
• collect information to identify processing activities
• анализировать и проверять соответствие деятельности по обработке персональных данных GDPR
• analyse and check the compliance of processing activities
• информировать, консультировать и давать рекомендации для контролера или процессора.
• inform, advise and issue recommendations to the controller or the processor.
12. Несет ли DPO персональную ответственность за несоблюдение требований по защите персональных данных?
12. Is the DPO personally responsible for non-compliance with data protection requirements?
Нет. DPO не несет персональную ответственность за несоблюдение требований по защите персональных данных. Именно от контролера или процессора требуется обеспечивать соответствие осуществляемых обработок персональных данных требованиям Регламента, а также доказывать это соответствие. Ответственность за соблюдение требований в области защиты персональных данных лежит на контролере или процессоре.
No. DPOs are not personally responsible for non-compliance with data protection requirements. It is the controller or the processor who is required to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Data protection compliance is the responsibility of the controller or the processor.
13. Какова роль DPO в части оценки воздействия на защиту персональных данных и ведения реестра обработок персональных данных?
13. What is the role of the DPO with respect to data protection impact assessments and records of processing activities?
В части оценки воздействия на защиту персональных данных контролер или процессор должен обратиться за консультацией к DPO при наличии, среди прочих, следующих вопросов:
As far as the data protection impact assessment is concerned, the controller or the processor should seek the advice of the DPO, on the following issues, amongst others:
• какой методологией руководствоваться при проведении DPIA
• what methodology to follow when carrying out a DPIA
• следует ли проводить DPIA самостоятельно или доверить это на аутсорс
• whether to carry out the DPIA in-house or whether to outsource it
• какие меры (в том числе технические и организационные меры) применять для минимизации любых рисков для прав и интересов субъектов данных
• what safeguards (including technical and organisational measures) to apply to mitigate any risks to the rights and interests of the data subjects
• правильно ли проведена оценка воздействия на защиту персональных данных и соответствует ли ее заключение (продолжать ли обработку данных и какие меры применять) требованиям законодательства о защите персональных данных.
• whether or not the data protection impact assessment has been correctly carried out and whether its conclusions (whether or not to go ahead with the processing and what safeguards to apply) are in compliance with data protection requirements.
Что касается ведения реестра обработок персональных данных, то именно на контролера или процессора возлагается обязанность по ведению такого реестра, а не на DPO. Однако ничто не мешает контролеру или процессору возложить на DPO задачу ведения реестра обработок персональных данных под ответственность контролера или процессора. Ведение такого реестра должно рассматриваться в качестве одного из инструментов, позволяющих DPO выполнять свои задачи по контролю за соблюдением требований законодательства о защите персональных данных, информированию и консультированию контролера или процессора.
As far as the records of processing activities are concerned, it is the controller or the processor, not the DPO, who is required to maintain records of processing operations. However, nothing prevents the controller or the processor from assigning the DPO with the task of maintaining the records of processing operations under the responsibility of the controller or the processor. Such records should be considered as one of the tools enabling the DPO to perform its tasks of monitoring compliance, informing and advising the controller or the processor.
