Статья 37 📖 GDPR. Назначение инспектора по защите персональных данных

Статья 37 GDPR. Назначение инспектора по защите персональных данных

Article 37 GDPR. Designation of the data protection officer

1. Контролёр и процессор должны назначить инспектора по защите персональных данных в любом из следующих случаев:

1. The controller and the processor shall designate a data protection officer in any case where:

(a) обработка осуществляется государственным органом или учреждением, за исключением судов при осуществлении правосудия;

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

(b) основная деятельность контролёра или процессора состоит из операций по обработке данных, которые в силу своего характера, объема и/или целей, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

(c) основная деятельность контролёра или процессора заключается в обработке специальных категорий данных в больших масштабах согласно статье 9 и персональных данных, касающихся судимостей и правонарушений согласно статье 10.

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

Связи

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. Параграф 1 не применяется, в одном из следующих случаев:

2. Paragraph 1 shall not apply if one of the following applies:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

(b) обработка необходима в целях исполнения обязательств и определенных прав контролёра или субъекта данных в сфере трудового права, права социального обеспечения и социальной защиты в той мере, насколько это допускается законодательством Союза или государства-члена или коллективным договором согласно законодательству государства-члена, предусматривающему соответствующие средства защиты фундаментальных прав и интересов субъекта данных;

(b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

(c) обработка необходима для защиты жизненных интересов субъекта данных, либо другого физического лица, когда субъект данных физически или юридически не способен дать согласие;

(c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

(d) обработка осуществляется в политических, философских, религиозных или профсоюзных целях в рамках легитимной деятельности фонда, объединения или некоммерческой организации с соблюдением соответствующих гарантий при условии, что обработка касается исключительно членов, бывших членов организации или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не разглашаются за пределы данного органа без согласия на это субъекта персональных данных;

(d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

(e) обработка касается персональных данных, которые субъект данных явным образом сделал публичными;

(e) processing relates to personal data which are manifestly made public by the data subject;

(f) обработка необходима для заявления, исполнения или защиты законных требований или в рамках осуществления правосудия судами;

(f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

(g) обработка необходима из соображений важного публичного интереса на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сути права на защиту персональных данных и предусматривать подходящие и конкретные меры для защиты фундаментальных прав и интересов субъекта данных;

(g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи или лечения или для управления системами и услугами здравоохранения и социального обеспечения на основании законодательства Союза или государства-члена или на основании договора с работником здравоохранения и в соответствии с условиями и гарантиями, указанными в параграфе 3.

(h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

(i) обработка необходима по причинам публичного интереса в области общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, на основании законодательства Союза или государства-члена, которое предусматривает приемлемые и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональной тайны;

(i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

(j) обработка необходима для архивных целей информации в публичном интересе, для научных или исторических исследовательских целей, либо для статистических целей в соответствии со Статьей 89(1) на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сущности права на защиту персональных данных и обеспечивать приемлемые и конкретные средства для защиты фундаментальных прав и интересов субъекта данных;

(j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда указанные данные обрабатываются специалистом, который обязан соблюдать профессиональную тайну согласно законодательству Союза или государства-члена или согласно нормам, установленным национальными компетентными органами, или когда обработка осуществляется иным лицом, которое также обязано соблюдать тайну согласно законодательству Союза или государства-члена или согласно правилам, установленным национальными компетентными органами.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

4. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных о здоровье.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Article 10 GDPR. Processing of personal data relating to criminal convictions and offences

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.

2. Группа компаний может назначить единого инспектора по защите персональных данных при условии, что инспектор по защите персональных данных легко доступен из каждой организационной единицы.

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

3. В случае если контролёр или процессор является государственным органом или учреждением, единый инспектор по защите персональных данных может быть назначен для нескольких таких органов или ведомств с учетом их организационной структуры и размера.

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

4. В случаях, отличных от указанных в параграфе 1, контролёр или процессор, или ассоциации и иные органы, представляющие категории контролёров или процессоров могут или, если этого требует законодательство Союза или государства-члена, должны назначить инспектора по защите персональных данных. Инспектор по защите персональных данных может действовать от лица указанных ассоциаций и иных органов, представляющих контролёров или процессоров.

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

5. Инспектор по защите персональных данных должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в сфере защиты персональных данных, а также способности выполнять задачи, указанные в статье 39.

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

Связи

Статья 39 GDPR. Задачи инспектора по защите персональных данных

Article 39 GDPR. Tasks of the data protection officer

1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:

1. The data protection officer shall have at least the following tasks:

(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

(d) сотрудничать с надзорным органом;

(d) to cooperate with the supervisory authority;

(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

6. Инспектор по защите персональных данных может являться сотрудником контролёра или процессора, либо выполнять задачи на основе договора об оказании услуг.

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

7. Контролёр или процессор публикует контактные данные инспектора по защите персональных данных и сообщает их надзорному органу.

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Офиц. документы и решения Оставьте комментарий

Комментарий эксперта

В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).

В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:

если обработка данных производится гос.органами (за исключением судов);
если основная деятельность компании (контролера или процессора) требует регулярного и систематического контроля субъектов данных, включая в себя обработку больших объемов персональных данных, либо сама природа обработки подразумевает постоянный контроль субъектов данных. Например, сервис такси типа Uber использует большие массивы информации как о пассажирах (геолокация, адреса, платежные данные), так и водителей (рейтинг, маршруты, данные об авто и т.п.), что является систематическим мониторингом субъектов данных, следовательно, DPO необходим;
если основной деятельностью компании (контролера или процессора), является обработка в большом объеме специальных категорий данных или данных, касающихся осужденных по уголовным делам и правонарушений (о специальных категориях данных речь идет в статье 9. Это, например, данные о здоровье, о расовой или этнической принадлежности, о сексуальной ориентации и т.п.). Например, страховая компания обрабатывает широкий спектр персональных данных о большом количестве людей, включая медицинские показания и другую медицинскую информацию. Это можно рассматривать как крупномасштабную обработку данных специальных категорий, соответственно, необходимо назначить DPO.

В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама.

При определении большого объема обработки необходимо принимать во внимание следующие факторы:

число субъектов данных;
объем обрабатываемых персональных данных;
диапазон обрабатываемых различных элементов данных;
географические масштабы обработки; и
продолжительность или постоянство обработки.

Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.

…

Войти
для доступа к полному тексту

Автор

Мария Арнст CIPM, TÜV

GDPR консультант

Задать вопрос

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.

The responsible person should, where appropriate:

— be independent and report directly to the appropriate management level of the organization in order to ensure effective management of privacy risks;

— be involved in the management of all issues which relate to the processing of PII;

— be expert in data protection legislation, regulation and practice;

— act as a contact point for supervisory authorities;

— inform top-level management and employees of the organization of their obligations with respect to the processing of PII;

— provide advice in respect of privacy impact assessments conducted by the organization.

NOTE Such a person is called a data protection officer in some jurisdictions, which define when such a position is required, along with their position and role. This position can be fulfilled by a staff member or outsourced.

Преамбулы

(97) В случае, когда обработка осуществляется государственным органом, за исключением судов или независимых судебных органов, действующих в рамках своей судейской дееспособности, если в частном секторе обработка осуществляется контролёром, центральная деятельность которого состоит в обработке, требующей регулярного и систематического мониторинга субъектов данных в большом объеме, либо когда центральная деятельность контролёра или процессора состоит в масштабной обработке специальных категорий персональных данных (чувствительных данных) и данных, связанных с судимостями и правонарушениями, лицо, обладающее экспертными знаниями в области законодательства в сфере защиты персональных данных и практики его применения, должно содействовать контролёру или процессору в осуществлении внутреннего мониторинга соблюдения настоящего Регламента. В частном секторе центральная деятельность контролёра относится к его основному виду деятельности и не относится к обработке персональных данных как вспомогательного вида деятельности. Необходимый уровень экспертных знаний должен определяться, в том числе, в соответствии с выполняемыми операциями по обработке и защитой, которая требуется для обрабатываемых контролёром или процессором персональных данных. Такие инспекторы по защите персональных данных, независимо от того, являются ли они работниками контролёра или нет, должны быть в состоянии исполнять свои обязанности и задачи независимо.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

Офиц. документы и решения

(EN)

Document

Article 29 Working Party, Guidelines on Data Protection Officers (DPOs) (2017).

Оставьте комментарий

Статья 36. Предварительная консультация

Статья 38. Должность инспектора по защите персональных данных