Больше
Навигация
CAPÍTULO I Disposiciones generales (1-4)
Artículo 1. ObjetoArtículo 2. Ámbito de aplicación materialArtículo 3. Ámbito territorialArtículo 4. Definiciones
CAPÍTULO II Principios (5-11)
Artículo 5. Principios relativos al tratamientoArtículo 6. Licitud del tratamientoArtículo 7. Condiciones para el consentimientoArtículo 8. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la informaciónArtículo 9. Tratamiento de categorías especiales de datos personalesArtículo 10. Tratamiento de datos personales relativos a condenas e infracciones penalesArtículo 11. Tratamiento que no requiere identificación
CAPÍTULO III Derechos del interesado (12-23)
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesadoArtículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesadoArtículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesadoArtículo 15. Derecho de acceso del interesadoArtículo 16. Derecho de rectificaciónArtículo 17. Derecho de supresión («el derecho al olvido»)Artículo 18. Derecho a la limitación del tratamientoArtículo 19. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamientoArtículo 20. Derecho a la portabilidad de los datosArtículo 21. Derecho de oposiciónArtículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfilesArtículo 23. Limitaciones
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento (24-43)
Artículo 24. ObjetoArtículo 25. Protección de datos desde el diseño y por defectoArtículo 26. Corresponsables del tratamientoArtículo 27. Representantes de responsables o encargados del tratamiento no establecidos en la UniónArtículo 28. Encargado del tratamientoArtículo 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamientoArtículo 30. Registro de las actividades de tratamientoArtículo 31. Cooperación con la autoridad de controlArtículo 32. Seguridad del tratamientoArtículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de controlArtículo 34. Comunicación de una violación de la seguridad de los datos personales al interesadoArtículo 35. Evaluación de impacto relativa a la protección de datosArtículo 36. Consulta previa
Artículo 37. Designación del delegado de protección de datos
Artículo 38. Posición del delegado de protección de datosArtículo 39. Funciones del delegado de protección de datosArtículo 40. Códigos de conductaArtículo 41. Supervisión de códigos de conducta aprobadosArtículo 42. CertificaciónArtículo 43. Organismo de certificación
CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales (44-50)
Artículo 44. Principio general de las transferenciasArtículo 45. Transferencias basadas en una decisión de adecuaciónArtículo 46. Transferencias mediante garantías adecuadasArtículo 47. Normas corporativas vinculantesArtículo 48. Transferencias o comunicaciones no autorizadas por el Derecho de la UniónArtículo 49. Excepciones para situaciones específicasArtículo 50. Cooperación internacional en el ámbito de la protección de datos personales
CAPÍTULO VI Autoridades de control independientes (51-59)
Artículo 51. Autoridad de controlArtículo 52. IndependenciaArtículo 53. Condiciones generales aplicables a los miembros de la autoridad de controlArtículo 54. Normas relativas al establecimiento de la autoridad de controlArtículo 55. CompetenciaArtículo 56. Competencia de la autoridad de control principalArtículo 57. FuncionesArtículo 58. PoderesArtículo 59. Informe de actividad
CAPÍTULO VII Cooperación y coherencia (60-70)
Artículo 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadasArtículo 61. Asistencia mutuaArtículo 62. Operaciones conjuntas de las autoridades de controlArtículo 63. Mecanismo de coherenciaArtículo 64. Dictamen del ComitéArtículo 65. Resolución de conflictos por el ComitéArtículo 66. Procedimiento de urgenciaArtículo 67. Intercambio de informaciónArtículo 68. Comité Europeo de Protección de DatosArtículo 69. IndependenciaArtículo 70. Funciones del ComitéArtículo 71. InformesArtículo 72. ProcedimientoArtículo 73. PresidenciaArtículo 74. Funciones del presidenteArtículo 75. SecretaríaArtículo 76. Confidencialidad
CAPÍTULO VIII Recursos, responsabilidad y sanciones (77-84)
Artículo 77. Derecho a presentar una reclamación ante una autoridad de controlArtículo 78. Derecho a la tutela judicial efectiva contra una autoridad de controlArtículo 79. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamientoArtículo 80. Representación de los interesadosArtículo 81. Suspensión de los procedimientosArtículo 82. Derecho a indemnización y responsabilidadArtículo 83. Condiciones generales para la imposición de multas administrativasArtículo 84. Sanciones
CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento (85-91)
Artículo 85. Tratamiento y libertad de expresión y de informaciónArtículo 86. Tratamiento y acceso del público a documentos oficialesArtículo 87. Tratamiento del número nacional de identificaciónArtículo 88. Tratamiento en el ámbito laboralArtículo 89. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticosArtículo 90. Obligaciones de secretoArtículo 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas
CAPÍTULO X Actos delegados y actos de ejecución (92-93)
Artículo 92. Ejercicio de la delegaciónArtículo 93. Procedimiento de comité
CAPÍTULO XI Disposiciones finales (94-95)
Artículo 94. Derogación de la Directiva 95/46/CEArtículo 95. Relación con la Directiva 2002/58/CEArtículo 96. Relación con acuerdos celebrados anteriormenteArtículo 97. Informes de la ComisiónArtículo 98. Revisión de otros actos jurídicos de la Unión en materia de protección de datosArtículo 99. Entrada en vigor y aplicación
GDPR > Artículo 37. Designación del delegado de protección de datos
Скачать в PDF

Artículo 37 RGPD. Designación del delegado de protección de datos

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

Связанные статьи
Связанные статьи

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

Связанные статьи
Связанные статьи

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Связанные статьи
Связанные статьи

2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

Связанные статьи
Связанные статьи

3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

Связанные статьи
Связанные статьи

4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

Связанные статьи
Связанные статьи

6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Reglamento general de protección de datos (RGPD)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).

В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:

  1. если обработка данных производится гос.органами (за исключением судов);
  2. если основная деятельность компании (контролера или процессора) требует регулярного и систематического контроля субъектов данных, включая в себя обработку больших объемов персональных данных, либо сама природа обработки подразумевает постоянный контроль субъектов данных. Например, сервис такси типа Uber использует большие массивы информации как о пассажирах (геолокация, адреса, платежные данные), так и водителей (рейтинг, маршруты, данные об авто и т.п.), что является систематическим мониторингом субъектов данных, следовательно, DPO необходим; 
  3. если основной деятельностью компании (контролера или процессора), является обработка в большом объеме специальных категорий данных или данных, касающихся осужденных по уголовным делам и правонарушений (о специальных категориях данных речь идет в статье 9. Это, например, данные о здоровье, о расовой или этнической принадлежности, о сексуальной ориентации и т.п.). Например, страховая компания обрабатывает широкий спектр персональных данных о большом количестве людей, включая медицинские показания и другую медицинскую информацию. Это можно рассматривать как крупномасштабную обработку данных специальных категорий, соответственно, необходимо назначить DPO.

В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама. 

При определении большого объема обработки необходимо принимать во внимание следующие факторы:

  • число субъектов данных;
  • объем обрабатываемых персональных данных;
  • диапазон обрабатываемых различных элементов данных;
  • географические масштабы обработки; и
  • продолжительность или постоянство обработки.

Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 37 GDPR:

6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

Руководство по внедрению 

Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
Организация должна назначить одного или нескольких лиц, ответственных за разработку, внедрение, поддержание и мониторинг общеорганизационной программы управления и конфиденциальности, чтобы обеспечить соблюдение всех применимых законов и правил, касающихся обработки ПИИ.
Ответственное лицо должно в соответствующих случаях:


для доступа к полному тексту

Преамбулы

(97) Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos si el tratamiento lo realiza una autoridad pública, a excepción de los tribunales u otras autoridades judiciales independientes en el ejercicio de su función judicial, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En el sector privado, las actividades principales de un responsable están relacionadas con sus actividades primarias y no están relacionadas con el tratamiento de datos personales como actividades auxiliares. El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.

Руководство и прецедентное право Оставить комментарий
[js-disqus]