Навигация
GDPR > Статья 37. Назначение инспектора по защите персональных данных
Скачать в PDF

Статья 37 GDPR. Назначение инспектора по защите персональных данных

1. Контролёр и процессор должны назначить инспектора по защите персональных данных в любом из следующих случаев:

(a) обработка осуществляется государственным органом или учреждением, за исключением судов при осуществлении правосудия;

Связанные статьи

(b) основная деятельность контролёра или процессора состоит из операций по обработке данных, которые в силу своего характера, объема и/или целей, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или

Связанные статьи

(c) основная деятельность контролёра или процессора заключается в обработке специальных категорий данных в больших масштабах согласно статье 9 и персональных данных, касающихся судимостей и правонарушений согласно статье 10.

Связанные статьи

2. Группа компаний может назначить единого инспектора по защите персональных данных при условии, что инспектор по защите персональных данных легко доступен из каждой организационной единицы.

Связанные статьи

3. В случае если контролёр или процессор является государственным органом или учреждением, единый инспектор по защите персональных данных может быть назначен для нескольких таких органов или ведомств с учетом их организационной структуры и размера.

Связанные статьи

4. В случаях, отличных от указанных в параграфе 1, контролёр или процессор, или ассоциации и иные органы, представляющие категории контролёров или процессоров могут или, если этого требует законодательство Союза или государства-члена, должны назначить инспектора по защите персональных данных. Инспектор по защите персональных данных может действовать от лица указанных ассоциаций и иных органов, представляющих контролёров или процессоров.

5. Инспектор по защите персональных данных должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в сфере защиты персональных данных, а также способности выполнять задачи, указанные в статье 39.

Связанные статьи

6. Инспектор по защите персональных данных может являться сотрудником контролёра или процессора, либо выполнять задачи на основе договора об оказании услуг.

7. Контролёр или процессор публикует контактные данные инспектора по защите персональных данных и сообщает их надзорному органу.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).

В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:

  1. если обработка данных производится гос.органами (за исключением судов);
  2. если основная деятельность компании (контролера или процессора) требует регулярного и систематического контроля субъектов данных, включая в себя обработку больших объемов персональных данных, либо сама природа обработки подразумевает постоянный контроль субъектов данных. Например, сервис такси типа Uber использует большие массивы информации как о пассажирах (геолокация, адреса, платежные данные), так и водителей (рейтинг, маршруты, данные об авто и т.п.), что является систематическим мониторингом субъектов данных, следовательно, DPO необходим; 
  3. если основной деятельностью компании (контролера или процессора), является обработка в большом объеме специальных категорий данных или данных, касающихся осужденных по уголовным делам и правонарушений (о специальных категориях данных речь идет в статье 9. Это, например, данные о здоровье, о расовой или этнической принадлежности, о сексуальной ориентации и т.п.). Например, страховая компания обрабатывает широкий спектр персональных данных о большом количестве людей, включая медицинские показания и другую медицинскую информацию. Это можно рассматривать как крупномасштабную обработку данных специальных категорий, соответственно, необходимо назначить DPO.

В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама. 

При определении большого объема обработки необходимо принимать во внимание следующие факторы:

  • число субъектов данных;
  • объем обрабатываемых персональных данных;
  • диапазон обрабатываемых различных элементов данных;
  • географические масштабы обработки; и
  • продолжительность или постоянство обработки.

Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 37 GDPR:

6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

Руководство по внедрению 

Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
Организация должна назначить одного или нескольких лиц, ответственных за разработку, внедрение, поддержание и мониторинг общеорганизационной программы управления и конфиденциальности, чтобы обеспечить соблюдение всех применимых законов и правил, касающихся обработки ПИИ.
Ответственное лицо должно в соответствующих случаях:


для доступа к полному тексту

Преамбулы

(97) В случае, когда обработка осуществляется государственным органом, за исключением судов или независимых судебных органов, действующих в рамках своей судейской дееспособности, если в частном секторе обработка осуществляется контролёром, центральная деятельность которого состоит в обработке, требующей регулярного и систематического мониторинга субъектов данных в большом объеме, либо когда центральная деятельность контролёра или процессора состоит в масштабной обработке специальных категорий персональных данных (чувствительных данных) и данных, связанных с судимостями и правонарушениями, лицо, обладающее экспертными знаниями в области законодательства в сфере защиты персональных данных и практики его применения, должно содействовать контролёру или процессору в осуществлении внутреннего мониторинга соблюдения настоящего Регламента. В частном секторе центральная деятельность контролёра относится к его основному виду деятельности и не относится к обработке персональных данных как вспомогательного вида деятельности. Необходимый уровень экспертных знаний должен определяться, в том числе, в соответствии с выполняемыми операциями по обработке и защитой, которая требуется для обрабатываемых контролёром или процессором персональных данных. Такие инспекторы по защите персональных данных, независимо от того, являются ли они работниками контролёра или нет, должны быть в состоянии исполнять свои обязанности и задачи независимо.

Руководство и прецедентное право Оставить комментарий
[js-disqus]