Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

_{[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).}

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

_{[13] Статья 6(1)(е).}

Руководство по инспекторам по защите персональных данных ( «DPOs»)

3. Что означает «крупномасштабный»?

GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:

• количество субъектов данных – в виде определенного числа или доли населения соответствующего региона

• объем обрабатываемых данных и/или диапазон различных элементов обрабатываемых данных

• длительность или постоянство деятельности по обработке персональных данных

• географические масштабы деятельности по обработке персональных данных.

Примеры крупномасштабной обработки включают в себя:

• обработку данных о пациенте в ходе обычной деятельности больницы

• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)

• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности

• обработку данных клиента в ходе обычной деятельности страховой компании или банка

• обработку персональных данных для поведенческой рекламы с помощью поисковой системы

• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.

Примеры, которые не составляют крупномасштабную обработку, включают в себя:

• обработку данных пациента, осуществляемую индивидуальным врачом

• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.1.2 «ОСНОВНАЯ ДЕЯТЕЛЬНОСТЬ»

Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.

Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.

2.1.4 «РЕГУЛЯРНЫЙ И СИСТЕМАТИЧЕСКИЙ МОНИТОРИНГ»

WP29 толкует слово «регулярный» в следующих значениях:

• происходящий с определенными интервалами в определенный период

• повторяющийся в определенное время

• постоянно или периодически происходящий.

WP29 трактует «систематический» в следующих значениях:

• происходящий в соответствии с системой

• заранее организованный или методичный

• происходящий в рамках общего плана по сбору данных

• проводимый в рамках стратегии.

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

2. Параграф 1 не применяется, в одном из следующих случаев:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:

• количество субъектов данных – в виде определенного числа или доли населения соответствующего региона

• объем обрабатываемых данных и/или диапазон различных элементов обрабатываемых данных

• длительность или постоянство деятельности по обработке персональных данных

• географические масштабы деятельности по обработке персональных данных.

Примеры крупномасштабной обработки включают в себя:

• обработку данных о пациенте в ходе обычной деятельности больницы

• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)

• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности

• обработку данных клиента в ходе обычной деятельности страховой компании или банка

• обработку персональных данных для поведенческой рекламы с помощью поисковой системы

• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.

Примеры, которые не составляют крупномасштабную обработку, включают в себя:

• обработку данных пациента, осуществляемую индивидуальным врачом

• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.1.2 «ОСНОВНАЯ ДЕЯТЕЛЬНОСТЬ»

Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.

Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).

Руководство по территориальной сфере действия GDPR (статья 3)

Организационная единица в Союзе

Порог для «постоянных структур [9]» может быть довольно низким, когда деятельность контролера сосредоточена на предоставлении услуг в режиме онлайн. В результате в некоторых обстоятельствах присутствие в Союзе одного единственного сотрудника или агента не-ЕС-организации, может быть достаточным для создания постоянной структуры (приравненной к «организационной единице» для целей статьи 3(1)), если этот сотрудник или агент действует с достаточной степенью постоянства. И наоборот, когда сотрудник находится в ЕС, но обработка не выполняется в Союзе в контексте деятельности сотрудника из ЕС (т. е. Обработка относится к действиям контролера за пределами ЕС), простое присутствие сотрудника в ЕС не приведет к тому, что эта обработка попадет в сферу действия GDPR. Другими словами, простого присутствия работника в ЕС недостаточно для применения GDPR, поскольку для того, чтобы рассматриваемая обработка попадала в сферу действия GDPR, она также должна выполняться в контексте деятельности сотрудника из ЕС.

_{[9] Weltimmo, параграф 31.}

Тот факт, что организация, не являющаяся членом ЕС, ответственна за обработку данных, не имеет филиала или дочерней компании в государстве-члене, не исключает возможности наличия ее организационной единицы в значении закона ЕС о защите данных. Хотя понятие организационной единицы является широким, оно не без ограничений. Невозможно сделать вывод о том, что организация не из ЕС, имеет организационную единицу в Союзе только потому, что веб-сайт организации доступен в Союзе [10].

_{[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Дело C‑191/15, 28 Июль 2016, параграф 76 (далее – “Verein für Konsumenteninformation”).}

Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.3. Назначение единого DPO для нескольких организаций

Статья 37(2) позволяет группе предприятий назначить единого DPO при условии, что он “легко доступен из каждой организационной единицы”. Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных [19], надзорного органа [20], а также внутри самой организации, поскольку в задачи DPO входит “информировать и консультировать контролера, процессора и осуществляющих обработку сотрудников по вопросам об их обязанностях в соответствии с настоящим Регламентом” [21].

_{[19] Статья 38(4): “субъекты данных могут обратиться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно настоящему Регламенту”.}

_{[20] Статья 39(1)(е): “выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой персональных данных, в том числе в рамках предварительной консультации, упомянутой в статье 36, и при необходимости консультироваться по любому другому вопросу”.}

_{[21] Статья 39(1)(а).}

Для того чтобы гарантировать, что DPO, будь то внутренний или внешний, является доступным, важно убедиться, что имеются их контактные данные в соответствии с требованиями GDPR [22].

_{[22] См. также Раздел 2.6 ниже.}

Он или она (если необходимо – с помощью команды) должны быть в состоянии эффективно взаимодействовать с субъектами данных [23] и сотрудничать [24] с надзорными органами. Это также означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одном уровне с остальными сотрудниками, по горячей линии или посредством иного безопасного средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.

_{[23] Статья 12(1): “Контролер принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка, – особенно когда информация адресована ребенку”.}

_{[24] Статья 39(1)(d): “сотрудничать с надзорным органом“}

Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

_{[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).}

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

_{[13] Статья 6(1)(е).}

Статья 39 GDPR. Задачи инспектора по защите персональных данных

1. Инспектор по защите персональных данных, как минимум, должен иметь следующие задачи:

(a) информировать и консультировать контролёра или процессора и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с настоящим Регламентом и иными нормами Союза или государств-членов в сфере защиты персональных данных;

(b) осуществлять мониторинг соблюдения настоящего Регламента, других норм Союза или государств-членов в сфере защиты персональных данных, а также локальных нормативных правовых актов контролёра или процессора в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;

(c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со статьей 35;

(d) сотрудничать с надзорным органом;

(e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в статье 36, и при необходимости консультировать по любому другому вопросу.

2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

8. Какие профессиональные качества должны иметь DPO?

Необходимый уровень экспертных знаний должен быть определен в соответствии с выполняемыми операциями по обработке персональных данных и уровнем защиты, необходимой для обрабатываемых персональных данных. Например, когда деятельность по обработке персональных данных является особенно сложной или когда в обработку вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки.

Соответствующие навыки и опыт включают в себя:

• знание национального и европейского законодательства о защите персональных данных и практики его применения, включая углубленное понимание GDPR

• понимание выполняемых операций по обработке персональных данных

• понимание информационных технологий и информационной безопасности

• знание делового сектора и организации

• способность содействовать формированию культуры защиты персональных данных в рамках организации.