Больше
Навигация
KAPITOLA I Všeobecné ustanovenia (1-4)
Článok 1. Predmet úpravy a cieleČlánok 2. Vecná pôsobnosťČlánok 3. Územná pôsobnosťČlánok 4. Vymedzenie pojmov
KAPITOLA II Zásady (5-11)
Článok 5. Zásady spracúvania osobných údajovČlánok 6. Zákonnosť spracúvaniaČlánok 7. Podmienky vyjadrenia súhlasuČlánok 8. Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnostiČlánok 9. Spracúvanie osobitných kategórií osobných údajovČlánok 10. Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupkyČlánok 11. Spracúvanie bez potreby identifikácie
KAPITOLA III Práva dotknutej osoby (12-23)
Článok 12. Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osobyČlánok 13. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osobyČlánok 14. Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osobyČlánok 15. Právo dotknutej osoby na prístup k údajomČlánok 16. Právo na opravuČlánok 17. Právo na vymazanie (právo „na zabudnutie“)Článok 18. Právo na obmedzenie spracúvaniaČlánok 19. Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvaniaČlánok 20. Právo na prenosnosť údajovČlánok 21. Právo namietaťČlánok 22. Automatizované individuálne rozhodovanie vrátane profilovaniaČlánok 23. Obmedzenia
KAPITOLA IV Prevádzkovateľ a sprostredkovateľ (24-43)
Článok 24. Predmet úpravy a cieleČlánok 25. Špecificky navrhnutá a štandardná ochrana údajovČlánok 26. Spoloční prevádzkovateliaČlánok 27. Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v ÚniiČlánok 28. SprostredkovateľČlánok 29. Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľaČlánok 30. Záznamy o spracovateľských činnostiachČlánok 31. Spolupráca s dozorným orgánomČlánok 32. Bezpečnosť spracúvaniaČlánok 33. Oznámenie porušenia ochrany osobných údajov dozornému orgánuČlánok 34. Oznámenie porušenia ochrany osobných údajov dotknutej osobeČlánok 35. Posúdenie vplyvu na ochranu údajovČlánok 36. Predchádzajúca konzultáciaČlánok 37. Určenie zodpovednej osoby
Článok 38. Postavenie zodpovednej osoby
Článok 39. Úlohy zodpovednej osobyČlánok 40. Kódexy správaniaČlánok 41. Monitorovanie schválených kódexov správaniaČlánok 42. CertifikáciaČlánok 43. Certifikačné subjekty
KAPITOLA V Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám (44-50)
Článok 44. Všeobecná zásada prenosovČlánok 45. Prenosy na základe rozhodnutia o primeranostiČlánok 46. Prenosy vyžadujúce primerané zárukyČlánok 47. Záväzné vnútropodnikové pravidláČlánok 48. Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľujeČlánok 49. Výnimky pre osobitné situácieČlánok 50. Medzinárodná spolupráca na účely ochrany osobných údajov
KAPITOLA VI Nezávislé dozorné orgány (51-59)
Článok 51. Dozorný orgánČlánok 52. NezávislosťČlánok 53. Všeobecné podmienky týkajúce sa členov dozorného orgánuČlánok 54. Pravidlá zriadenia dozorného orgánuČlánok 55. PríslušnosťČlánok 56. Príslušnosť hlavného dozorného orgánuČlánok 57. ÚlohyČlánok 58. PrávomociČlánok 59. Správy o činnosti
KAPITOLA VII Spolupráca a konzistentnosť (60-70)
Článok 60. Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmiČlánok 61. Vzájomná pomocČlánok 62. Spoločné operácie dozorných orgánovČlánok 63. Mechanizmus konzistentnostiČlánok 64. Stanovisko výboruČlánok 65. Riešenie sporov výboromČlánok 66. Postup pre naliehavé prípadyČlánok 67. Výmena informáciíČlánok 68. Európsky výbor pre ochranu údajovČlánok 69. NezávislosťČlánok 70. Úlohy výboruČlánok 71. SprávyČlánok 72. PostupČlánok 73. PredsedaČlánok 74. Úlohy predseduČlánok 75. SekretariátČlánok 76. Dôvernosť informácií
KAPITOLA VIII Prostriedky nápravy, zodpovednosť a sankcie (77-84)
Článok 77. Právo podať sťažnosť dozornému orgánuČlánok 78. Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánuČlánok 79. Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľoviČlánok 80. Zastupovanie dotknutých osôbČlánok 81. Prerušenie konaniaČlánok 82. Právo na náhradu škody a zodpovednosťČlánok 83. Všeobecné podmienky ukladania správnych pokútČlánok 84. Sankcie
KAPITOLA IX Ustanovenia o osobitných situáciách spracúvania (85-91)
Článok 85. Spracúvanie a sloboda prejavu a právo na informácieČlánok 86. Spracúvanie a prístup verejnosti k úradným dokumentomČlánok 87. Spracúvanie národného identifikačného číslaČlánok 88. Spracúvanie v súvislosti so zamestnanímČlánok 89. Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účelyČlánok 90. Povinnosť zachovávať mlčanlivosťČlánok 91. Existujúce pravidlá ochrany údajov cirkví a náboženských združení
KAPITOLA X Delegované akty a vykonávacie akty (92-93)
Článok 92. Vykonávanie delegovania právomocíČlánok 93. Postup výboru
KAPITOLA XI Záverečné ustanovenia (94-95)
Článok 94. Zrušenie smernice 95/46/ESČlánok 95. Vzťah k smernici 2002/58/ESČlánok 96. Vzťah k dohodám uzavretým v minulostiČlánok 97. Správy KomisieČlánok 98. Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajovČlánok 99. Nadobudnutie účinnosti a uplatňovanie
GDPR > Článok 38. Postavenie zodpovednej osoby
Скачать в PDF

Článok 38 GDPR. Postavenie zodpovednej osoby

1. Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

2. Prevádzkovateľ a sprostredkovateľ podporujú zodpovednú osobu pri plnení úloh uvedených v článku 39, a to tak, že poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

Связанные статьи
Связанные статьи

3. Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

Связанные статьи
Связанные статьи

4. Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5. Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu.

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 38(5) GDPR:

6.10.2.4 Соглашения о конфиденциальности или неразглашении

Руководство по внедрению

Организация должна обеспечить, чтобы лица, работающие под ее контролем и имеющие доступ к ПИИ, были обязаны соблюдать конфиденциальность.


для доступа к полному тексту

6. Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.

Связанные статьи
Связанные статьи
Všeobecné nariadenie o ochrane údajov (GDPR)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

В статье 38 описывается особенность должности DPO (инспектора по защите персональных данных). В частности, делается упор на том, что DPO самостоятельно выполняет свою работу, притом ответственность за ее своевременное и качественное выполнение отчасти лежит на самой компании (контролере или процессоре). Поэтому текст подчеркивает, что компания предоставляет DPO необходимые ресурсы и доступ  с одной стороны, а также несет ответственность за независимость DPO, не имея права давать ему/ ей какие-либо инструкции — с другой. 

Для того, чтобы обеспечить DPO поддержкой, компании рекомендуется убедиться в следующем: 

  • DPO принимает активное и своевременное участие во всех вопросах защиты данных; DPO приглашается к регулярному участию в совещаниях руководителей старшего и среднего звена, когда принимаются решения, имеющие последствия для защиты данных; 
  • DPO отчитывается перед высшим руководством вашей организации, т.е. перед советом директоров;
  • DPO действует независимо и не увольняется и не наказывается за выполнение своих обязанностей;
  • мнению DPO всегда придаётся должное значение. В случае разногласий рекомендуется в качестве надлежащей практики документировать причины невыполнения рекомендаций DPO;
  • DPO предоставляются достаточные ресурсы (достаточное время, финансовые средства, инфраструктуру и, при необходимости, персонал), чтобы ДПО мог(-ла) выполнять свои обязательства по GDPR и поддерживать экспертный уровень знаний;
  • DPO предоставляется соответствующий своевременный доступ к персональным данным и процессам обработки, чтобы дать ему (ей) возможность дать адекватную консультацию;
  • DPO предоставляется соответствующий доступ к другим услугам в вашей организации, чтобы он(-а) могла получить необходимую поддержку, помощь или информацию;
  • вы обращаетесь за советом к своему DPO при проведении Оценки воздействия на защиту персональных данных (DPIA), а также незамедлительно консультируетесь в случае утечки данных или другого инцидента;
  • вы вносите данные о вашем DPO в ваш реестр деятельности по обработке (статья 30 GDPR).

Сам(-а) же DPO также имеет бремя профессиональной тайны (можно сравнить с  проф.тайной врача или адвоката), из-за потенциально чувствительной природы информации, с которой он(-а) работает. Например, DPO не имеет права разглашать информацию о потенциальных нарушениях (за исключением случаев, когда нарушение подтвержденное и требует огласки). 


для доступа к полному тексту

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 38 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


для доступа к полному тексту

Преамбулы

(97) Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov. V súkromnom sektore sa hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti. Potrebná úroveň odborných znalostí by sa mala určiť najmä v závislosti od vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ. Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.

Руководство и прецедентное право Оставить комментарий
[js-disqus]