1. Контролер і оператор призначають співробітника з питань захисту даних у будь-якому з наведених нижче випадків:
4. У ситуаціях, відмінних від тих, що вказано в параграфі 1, контролер або оператор чи асоціації та інші органи, що представляють категорії контролерів або операторів можуть або, відповідно до вимог законодавства Союзу або держави-члена, повинні призначити співробітника з питань захисту даних. Співробітник з питань захисту даних може працювати на такі асоціації та інші органи, що представляють контролерів або операторів.
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 37 GDPR:
6.3.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Руководство по внедрению
Организация должна назначить контактное лицо для использования клиентом в отношении обработки PII. Когда организация является контроллером ПИИ, необходимо назначить точку контакта для субъектов ПИИ относительно обработки их ПИИ (см. 7.3.2 ISO 27701).
Организация должна назначить одного или нескольких лиц, ответственных за разработку, внедрение, поддержание и мониторинг общеорганизационной программы управления и конфиденциальности, чтобы обеспечить соблюдение всех применимых законов и правил, касающихся обработки ПИИ.
Ответственное лицо должно в соответствующих случаях:
…
Войти
для доступа к полному тексту
(97) Якщо опрацювання здійснює орган публічної влади, окрім судів або незалежних судових органів, що діють як судові органи, якщо, в приватному секторі, опрацювання здійснює контролер, основні види діяльності якого становлять операції опрацювання, які вимагають регулярного, систематичного і широкомасштабного моніторингу суб'єктів даних, або якщо основні види діяльності контролера або оператора становлять широкомасштабне опрацювання спеціальних категорій персональних даних і даних про судимості і кримінальні злочини, у проведенні моніторингу внутрішньої відповідності цьому Регламенту контролеру або оператору повинна надавати допомогу особа, що володіє експертними знаннями законодавства і процесуальних норм щодо захисту даних. У приватному секторі, основні види діяльності контролера пов'язані з його первинними видами діяльності та не пов'язані з опрацюванням персональних даних як допоміжним видом діяльності. Необхідно визначити необхідний рівень експертних знань, зокрема, відповідно до здійснюваних операцій опрацювання та необхідного захисту для опрацювання персональних даних контролером або оператором. Такі фахівці з питань захисту даних, незалежно від того, чи є вони працівниками контролера, повинні мати можливість виконувати свої обов'язки та завдання у незалежний спосіб.
В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).
В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:
В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама.
При определении большого объема обработки необходимо принимать во внимание следующие факторы:
Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.
…
Войти
для доступа к полному тексту