Статья 39 GDPR. Задачи инспектора по защите персональных данных
Article 39 GDPR. Tasks of the data protection officer
1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:
1. The data protection officer shall have at least the following tasks:
(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;
(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;
(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;
(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;
(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;
(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;
(d) сотрудничать с надзорным органом;
(d) to cooperate with the supervisory authority;
(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.
(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.
2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.
2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 5(1)(f) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
When the organization is a PII processor, a confidentiality agreement, in whatever form, between the organization, its employees and its agents should ensure that employees and agents comply with the policy and procedures concerning data handling and protection.