Больше
Навигация
CAPÍTULO I Disposiciones generales (1-4)
Artículo 1. ObjetoArtículo 2. Ámbito de aplicación materialArtículo 3. Ámbito territorialArtículo 4. Definiciones
CAPÍTULO II Principios (5-11)
Artículo 5. Principios relativos al tratamientoArtículo 6. Licitud del tratamientoArtículo 7. Condiciones para el consentimientoArtículo 8. Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la informaciónArtículo 9. Tratamiento de categorías especiales de datos personalesArtículo 10. Tratamiento de datos personales relativos a condenas e infracciones penalesArtículo 11. Tratamiento que no requiere identificación
CAPÍTULO III Derechos del interesado (12-23)
Artículo 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesadoArtículo 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesadoArtículo 14. Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesadoArtículo 15. Derecho de acceso del interesadoArtículo 16. Derecho de rectificaciónArtículo 17. Derecho de supresión («el derecho al olvido»)Artículo 18. Derecho a la limitación del tratamientoArtículo 19. Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamientoArtículo 20. Derecho a la portabilidad de los datosArtículo 21. Derecho de oposiciónArtículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfilesArtículo 23. Limitaciones
CAPÍTULO IV Responsable del tratamiento y encargado del tratamiento (24-43)
Artículo 24. ObjetoArtículo 25. Protección de datos desde el diseño y por defectoArtículo 26. Corresponsables del tratamientoArtículo 27. Representantes de responsables o encargados del tratamiento no establecidos en la UniónArtículo 28. Encargado del tratamientoArtículo 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamientoArtículo 30. Registro de las actividades de tratamientoArtículo 31. Cooperación con la autoridad de controlArtículo 32. Seguridad del tratamientoArtículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de controlArtículo 34. Comunicación de una violación de la seguridad de los datos personales al interesadoArtículo 35. Evaluación de impacto relativa a la protección de datosArtículo 36. Consulta previaArtículo 37. Designación del delegado de protección de datosArtículo 38. Posición del delegado de protección de datos
Artículo 39. Funciones del delegado de protección de datos
Artículo 40. Códigos de conductaArtículo 41. Supervisión de códigos de conducta aprobadosArtículo 42. CertificaciónArtículo 43. Organismo de certificación
CAPÍTULO V Transferencias de datos personales a terceros países u organizaciones internacionales (44-50)
Artículo 44. Principio general de las transferenciasArtículo 45. Transferencias basadas en una decisión de adecuaciónArtículo 46. Transferencias mediante garantías adecuadasArtículo 47. Normas corporativas vinculantesArtículo 48. Transferencias o comunicaciones no autorizadas por el Derecho de la UniónArtículo 49. Excepciones para situaciones específicasArtículo 50. Cooperación internacional en el ámbito de la protección de datos personales
CAPÍTULO VI Autoridades de control independientes (51-59)
Artículo 51. Autoridad de controlArtículo 52. IndependenciaArtículo 53. Condiciones generales aplicables a los miembros de la autoridad de controlArtículo 54. Normas relativas al establecimiento de la autoridad de controlArtículo 55. CompetenciaArtículo 56. Competencia de la autoridad de control principalArtículo 57. FuncionesArtículo 58. PoderesArtículo 59. Informe de actividad
CAPÍTULO VII Cooperación y coherencia (60-70)
Artículo 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadasArtículo 61. Asistencia mutuaArtículo 62. Operaciones conjuntas de las autoridades de controlArtículo 63. Mecanismo de coherenciaArtículo 64. Dictamen del ComitéArtículo 65. Resolución de conflictos por el ComitéArtículo 66. Procedimiento de urgenciaArtículo 67. Intercambio de informaciónArtículo 68. Comité Europeo de Protección de DatosArtículo 69. IndependenciaArtículo 70. Funciones del ComitéArtículo 71. InformesArtículo 72. ProcedimientoArtículo 73. PresidenciaArtículo 74. Funciones del presidenteArtículo 75. SecretaríaArtículo 76. Confidencialidad
CAPÍTULO VIII Recursos, responsabilidad y sanciones (77-84)
Artículo 77. Derecho a presentar una reclamación ante una autoridad de controlArtículo 78. Derecho a la tutela judicial efectiva contra una autoridad de controlArtículo 79. Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamientoArtículo 80. Representación de los interesadosArtículo 81. Suspensión de los procedimientosArtículo 82. Derecho a indemnización y responsabilidadArtículo 83. Condiciones generales para la imposición de multas administrativasArtículo 84. Sanciones
CAPÍTULO IX Disposiciones relativas a situaciones específicas de tratamiento (85-91)
Artículo 85. Tratamiento y libertad de expresión y de informaciónArtículo 86. Tratamiento y acceso del público a documentos oficialesArtículo 87. Tratamiento del número nacional de identificaciónArtículo 88. Tratamiento en el ámbito laboralArtículo 89. Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticosArtículo 90. Obligaciones de secretoArtículo 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas
CAPÍTULO X Actos delegados y actos de ejecución (92-93)
Artículo 92. Ejercicio de la delegaciónArtículo 93. Procedimiento de comité
CAPÍTULO XI Disposiciones finales (94-95)
Artículo 94. Derogación de la Directiva 95/46/CEArtículo 95. Relación con la Directiva 2002/58/CEArtículo 96. Relación con acuerdos celebrados anteriormenteArtículo 97. Informes de la ComisiónArtículo 98. Revisión de otros actos jurídicos de la Unión en materia de protección de datosArtículo 99. Entrada en vigor y aplicación
GDPR > Artículo 39. Funciones del delegado de protección de datos
Скачать в PDF

Artículo 39 RGPD. Funciones del delegado de protección de datos

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

Связанные статьи
Связанные статьи

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

ISO 27701 Связанные статьи
ISO 27701
Связанные статьи

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

Связанные статьи
Связанные статьи

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Связанные статьи
Связанные статьи

2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Связанные статьи
Связанные статьи
Reglamento general de protección de datos (RGPD)

Комментарий эксперта ISO 27701 Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Статья 39 перечисляет список основных (но не всех) задач, которые входят в спектр обязанностей инспектора по защите данных (DPO). Среди них можно выделить три главных функции (хотя компетенции DPO не обязательно ограничиваются только ими): 

  1. Консультирование (39.1a, c),
  2. Контроль / мониторинг (39.1b),
  3. Связь с надзорным органом (39.1d, e).

1. Функция консультирование заключается в том, что DPO предоставляет информацию и пояснения о GDPR и его соблюдении контролеру и процессору, а также сотрудникам контролера и процессора, которые вовлечены в обработку персональных данных. В частности, роль DPO важна при проведении оценки воздействия на защиту персональных данных (DPIA), так как DPO консультирует и контролирует ее осуществление в соответствии со Статьей 35 GDPR. WP29 рекомендует контроллеру обращаться за консультацией к DPO, например, по следующим вопросам:

  • проводить или не проводить DPIA;
  • какой методологией следует руководствоваться при проведении DPIA;
  • проводить DPIA собственными силами или передавать его на внешний подряд;
  • какие гарантии (включая технические и организационные меры) следует применять для смягчения любых последствий;
  • риски для прав и интересов субъектов персональных данных;
  • была ли проведена оценка воздействия на защиту данных правильно и соответствуют ли ее выводы GDPR (следует ли продолжать обработку и какие меры предосторожности следует применять).

2. Что касается контролирующей (мониторинговой) функции DPO, то здесь имеется ввиду контроль соблюдения законодательства о защите данных и внутренних нормативных актов по защите персональных данных, а также повышение осведомленности по вопросам защиты данных, обучение персонала и проведение внутреннего аудита. В рамках этих обязанностей по контролю за соблюдением требований DPO могут, в частности, делать следующее:

  • собирать информацию для выявления  деятельности по обработке персональных данных;
  • анализировать и проверять соответствия этой деятельности;
  • информирование, консультирование и выдача рекомендаций контроллеру или процессору по конкретным процессам и обработкам и т.п.

Следует также уточнить, что наличие мониторинговой функции у DPO не означает, что именно DPO несет личную ответственность в случаях несоблюдения. В  GDPR четко указано, что именно контролер обязан «принимать надлежащие технические и организационные меры для обеспечения и демонстрации того, что обработка осуществляется в соответствии с настоящим регламентом» (Статья 24(1)). Соблюдение требований по защите данных является корпоративной ответственностью владельца данных, а не DPO. 

3. Кроме того, DPO также сотрудничает с надзорным органом и является первым контактным лицом для контролирующих органов и для лиц, чьи данные обрабатываются. Можно сказать, что у DPO роль координатора или фасилитатора, о чем надзорные органы говорят в некоторых своих руководствах (Guidelines). Например, DPO выступает в качестве контактного пункта, чтобы облегчить надзорному органу  доступ к документам и информации для выполнения задач, упомянутых в Статье 57, а также для осуществления своих следственных, корректирующих, разрешающих и консультационных полномочий, упомянутых в Статье 58. Как известно из Статьи 38, DPO обязан соблюдать профессиональную тайну при выполнении своих обязанностей. Однако обязанность соблюдать тайну/конфиденциальность не запрещает DPO связываться с надзорным органом и обращаться за советом к нему.


для доступа к полному тексту

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 39 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


для доступа к полному тексту

Руководство и прецедентное право Оставить комментарий
[js-disqus]