Навигация
GDPR > Artikel 37. Aanwijzing van de functionaris voor gegevensbescherming
Скачать в PDF

Artikel 37 AVG (GDPR). Aanwijzing van de functionaris voor gegevensbescherming

1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;

b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of

c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Связанные статьи

2. Een concern kan één functionaris voor gegevensbescherming benoemen, mits de functionaris voor gegevensbescherming vanuit elke vestiging makkelijk te contacteren is.

3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.

4. In andere dan de in lid 1 bedoelde gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

5. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.

Связанные статьи

6. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

7. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).

В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:

  1. если обработка данных производится гос.органами (за исключением судов);
  2. если основная деятельность компании (контролера или процессора) требует регулярного и систематического контроля субъектов данных, включая в себя обработку больших объемов персональных данных, либо сама природа обработки подразумевает постоянный контроль субъектов данных. Например, сервис такси типа Uber использует большие массивы информации как о пассажирах (геолокация, адреса, платежные данные), так и водителей (рейтинг, маршруты, данные об авто и т.п.), что является систематическим мониторингом субъектов данных, следовательно, DPO необходим; 
  3. если основной деятельностью компании (контролера или процессора), является обработка в большом объеме специальных категорий данных или данных, касающихся осужденных по уголовным делам и правонарушений (о специальных категориях данных речь идет в статье 9. Это, например, данные о здоровье, о расовой или этнической принадлежности, о сексуальной ориентации и т.п.). Например, страховая компания обрабатывает широкий спектр персональных данных о большом количестве людей, включая медицинские показания и другую медицинскую информацию. Это можно рассматривать как крупномасштабную обработку данных специальных категорий, соответственно, необходимо назначить DPO.

В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама. 

При определении большого объема обработки необходимо принимать во внимание следующие факторы:

  • число субъектов данных;
  • объем обрабатываемых персональных данных;
  • диапазон обрабатываемых различных элементов данных;
  • географические масштабы обработки; и
  • продолжительность или постоянство обработки.

Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 37 GDPR:

6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

Руководство по внедрению 

Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
Организация должна назначить одного или нескольких лиц, ответственных за разработку, внедрение, поддержание и мониторинг общеорганизационной программы управления и конфиденциальности, чтобы обеспечить соблюдение всех применимых законов и правил, касающихся обработки ПИИ.
Ответственное лицо должно в соответствующих случаях:


для доступа к полному тексту

Преамбулы

(97) Indien de verwerking door een overheidsinstantie wordt uitgevoerd, met uitzondering van gerechten of onafhankelijke rechterlijke autoriteiten die handelen in het kader van hun gerechtelijke taken, of indien in de particuliere sector de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als kerntaak heeft verwerkingsactiviteiten uit te voeren die grootschalige regelmatige en systematische observatie van betrokkenen vereisen, indien de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, dient een persoon met deskundige kennis van gegevensbeschermingswetgeving en -praktijken de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. In de particuliere sector hebben de kerntaken van een verwerkingsverantwoordelijke betrekking op diens hoofdactiviteiten en niet op de verwerking van persoonsgegevens als nevenactiviteit. Het vereiste niveau van deskundigheid dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de door de verwerkingsverantwoordelijke of de verwerker verwerkte gegevens vereist is. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de verwerkingsverantwoordelijke.

Руководство и прецедентное право Оставить комментарий
[js-disqus]