Статья 37 📖 GDPR. Назначение инспектора по защите персональных данных |GDPR-Text.com

Статья 37 GDPR. Назначение инспектора по защите персональных данных

Article 37 GDPR. Designation of the data protection officer

1. Контролёр и процессор должны назначить инспектора по защите персональных данных в любом из следующих случаев:

1. The controller and the processor shall designate a data protection officer in any case where:

(a) обработка осуществляется государственным органом или учреждением, за исключением судов при осуществлении правосудия;

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

(b) основная деятельность контролёра или процессора состоит из операций по обработке данных, которые в силу своего характера, объема и/или целей, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

Связи

Руководство по инспекторам по защите персональных данных ( «DPOs»)

Guidelines on Data Protection Officers (‘DPOs’)

3. Что означает «крупномасштабный»?

3. What does ‘large scale’ mean?

GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:

The GDPR does not define what constitutes large-scale processing. The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

• количество субъектов данных — в виде определенного числа или доли населения соответствующего региона

• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population

• объем обрабатываемых данных и/или диапазон различных элементов обрабатываемых данных

• the volume of data and/or the range of different data items being processed

• длительность или постоянство деятельности по обработке персональных данных

• the duration, or permanence, of the data processing activity

• географические масштабы деятельности по обработке персональных данных.

• the geographical extent of the processing activity.

Примеры крупномасштабной обработки включают в себя:

Examples of large scale processing include:

• обработку данных о пациенте в ходе обычной деятельности больницы

• processing of patient data in the regular course of business by a hospital

• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)

• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)

• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности

• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities

• обработку данных клиента в ходе обычной деятельности страховой компании или банка

• processing of customer data in the regular course of business by an insurance company or a bank

• обработку персональных данных для поведенческой рекламы с помощью поисковой системы

• processing of personal data for behavioural advertising by a search engine

• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.

• processing of data (content, traffic, location) by telephone or internet service providers.

Примеры, которые не составляют крупномасштабную обработку, включают в себя:

Examples that do not constitute large-scale processing include:

• обработку данных пациента, осуществляемую индивидуальным врачом

• processing of patient data by an individual physician

• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.

• processing of personal data relating to criminal convictions and offences by an individual lawyer.

(c) основная деятельность контролёра или процессора заключается в обработке специальных категорий данных в больших масштабах согласно статье 9 и персональных данных, касающихся судимостей и правонарушений согласно статье 10.

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

Связи

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. Параграф 1 не применяется, в одном из следующих случаев:

2. Paragraph 1 shall not apply if one of the following applies:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Article 10 GDPR. Processing of personal data relating to criminal convictions and offences

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority.