Navigering
GDPR > Статья 37. Назначение инспектора по защите персональных данных
Hämta PDF

Статья 37 GDPR. Назначение инспектора по защите персональных данных

1. Контролёр и процессор должны назначить инспектора по защите персональных данных в любом из следующих случаев:

(a) обработка осуществляется государственным органом или учреждением, за исключением судов при осуществлении правосудия;

Relaterade texter

(b) основная деятельность контролёра или процессора состоит из операций по обработке данных, которые в силу своего характера, объема и/или целей, требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или

Relaterade texter

(c) основная деятельность контролёра или процессора заключается в обработке специальных категорий данных в больших масштабах согласно статье 9 и персональных данных, касающихся судимостей и правонарушений согласно статье 10.

Relaterade texter

2. Группа компаний может назначить единого инспектора по защите персональных данных при условии, что инспектор по защите персональных данных легко доступен из каждой организационной единицы.

Relaterade texter

3. В случае если контролёр или процессор является государственным органом или учреждением, единый инспектор по защите персональных данных может быть назначен для нескольких таких органов или ведомств с учетом их организационной структуры и размера.

Relaterade texter

4. В случаях, отличных от указанных в параграфе 1, контролёр или процессор, или ассоциации и иные органы, представляющие категории контролёров или процессоров могут или, если этого требует законодательство Союза или государства-члена, должны назначить инспектора по защите персональных данных. Инспектор по защите персональных данных может действовать от лица указанных ассоциаций и иных органов, представляющих контролёров или процессоров.

5. Инспектор по защите персональных данных должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в сфере защиты персональных данных, а также способности выполнять задачи, указанные в статье 39.

Relaterade texter

6. Инспектор по защите персональных данных может являться сотрудником контролёра или процессора, либо выполнять задачи на основе договора об оказании услуг.

7. Контролёр или процессор публикует контактные данные инспектора по защите персональных данных и сообщает их надзорному органу.

Expertkommentarer ISO 27701 Skälen Riktlinjer & Case Law Lämna en kommentar
Expertkommentarer

(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:

  • if data processing is performed by state authorities (except for courts)


för att komma åt hela textenу

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


för att komma åt hela textenу

Skälen

(97) В случае, когда обработка осуществляется государственным органом, за исключением судов или независимых судебных органов, действующих в рамках своей судейской дееспособности, если в частном секторе обработка осуществляется контролёром, центральная деятельность которого состоит в обработке, требующей регулярного и систематического мониторинга субъектов данных в большом объеме, либо когда центральная деятельность контролёра или процессора состоит в масштабной обработке специальных категорий персональных данных (чувствительных данных) и данных, связанных с судимостями и правонарушениями, лицо, обладающее экспертными знаниями в области законодательства в сфере защиты персональных данных и практики его применения, должно содействовать контролёру или процессору в осуществлении внутреннего мониторинга соблюдения настоящего Регламента. В частном секторе центральная деятельность контролёра относится к его основному виду деятельности и не относится к обработке персональных данных как вспомогательного вида деятельности. Необходимый уровень экспертных знаний должен определяться, в том числе, в соответствии с выполняемыми операциями по обработке и защитой, которая требуется для обрабатываемых контролёром или процессором персональных данных. Такие инспекторы по защите персональных данных, независимо от того, являются ли они работниками контролёра или нет, должны быть в состоянии исполнять свои обязанности и задачи независимо.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]