Главная > Article 39. Tasks of the data protection officer
Скачать в PDF

Article 39 GDPR. Tasks of the data protection officer

Статья 39 GDPR. Задачи инспектора по защите персональных данных

1. The data protection officer shall have at least the following tasks:

1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;

ISO 27701

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;

Связи

(d) to cooperate with the supervisory authority;

(d) сотрудничать с надзорным органом;

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.

Связи

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.

Пояснение ISO 27701 Разъяснения и прецеденты Оставьте комментарий
Пояснение

Статья 39 перечисляет список основных (но не всех) задач, которые входят в спектр обязанностей инспектора по защите данных (DPO). Среди них можно выделить три главных функции (хотя компетенции DPO не обязательно ограничиваются только ими): 

  1. Консультирование (39.1a, c),
  2. Контроль / мониторинг (39.1b),
  3. Связь с надзорным органом (39.1d, e).

1. Функция консультирование заключается в том, что DPO предоставляет информацию и пояснения о GDPR и его соблюдении контролеру и процессору, а также сотрудникам контролера и процессора, которые вовлечены в обработку персональных данных. В частности, роль DPO важна при проведении оценки воздействия на защиту персональных данных (DPIA), так как DPO консультирует и контролирует ее осуществление в соответствии со Статьей 35 GDPR. WP29 рекомендует контроллеру обращаться за консультацией к DPO, например, по следующим вопросам:

  • проводить или не проводить DPIA;
  • какой методологией следует руководствоваться при проведении DPIA;
  • проводить DPIA собственными силами или передавать его на внешний подряд;
  • какие гарантии (включая технические и организационные меры) следует применять для смягчения любых последствий;
  • риски для прав и интересов субъектов персональных данных;
  • была ли проведена оценка воздействия на защиту данных правильно и соответствуют ли ее выводы GDPR (следует ли продолжать обработку и какие меры предосторожности следует применять).

2. Что касается контролирующей (мониторинговой) функции DPO, то здесь имеется ввиду контроль соблюдения законодательства о защите данных и внутренних нормативных актов по защите персональных данных, а также повышение осведомленности по вопросам защиты данных, обучение персонала и проведение внутреннего аудита. В рамках этих обязанностей по контролю за соблюдением требований DPO могут, в частности, делать следующее:

  • собирать информацию для выявления  деятельности по обработке персональных данных;
  • анализировать и проверять соответствия этой деятельности;
  • информирование, консультирование и выдача рекомендаций контроллеру или процессору по конкретным процессам и обработкам и т.п.

Следует также уточнить, что наличие мониторинговой функции у DPO не означает, что именно DPO несет личную ответственность в случаях несоблюдения. В  GDPR четко указано, что именно контролер обязан «принимать надлежащие технические и организационные меры для обеспечения и демонстрации того, что обработка осуществляется в соответствии с настоящим регламентом» (Статья 24(1)). Соблюдение требований по защите данных является корпоративной ответственностью владельца данных, а не DPO. 

3. Кроме того, DPO также сотрудничает с надзорным органом и является первым контактным лицом для контролирующих органов и для лиц, чьи данные обрабатываются. Можно сказать, что у DPO роль координатора или фасилитатора, о чем надзорные органы говорят в некоторых своих руководствах (Guidelines). Например, DPO выступает в качестве контактного пункта, чтобы облегчить надзорному органу  доступ к документам и информации для выполнения задач, упомянутых в Статье 57, а также для осуществления своих следственных, корректирующих, разрешающих и консультационных полномочий, упомянутых в Статье 58. Как известно из Статьи 38, DPO обязан соблюдать профессиональную тайну при выполнении своих обязанностей. Однако обязанность соблюдать тайну/конфиденциальность не запрещает DPO связываться с надзорным органом и обращаться за советом к нему.


для доступа к полному тексту

Автор
Мария Арнст CIPM, TÜV
GDPR консультант
ISO 27701
Разъяснения и прецеденты Оставьте комментарий