1. Контролёр и процессор должны назначить инспектора по защите персональных данных в любом из следующих случаев:
4. В случаях, отличных от указанных в параграфе 1, контролёр или процессор, или ассоциации и иные органы, представляющие категории контролёров или процессоров могут или, если этого требует законодательство Союза или государства-члена, должны назначить инспектора по защите персональных данных. Инспектор по защите персональных данных может действовать от лица указанных ассоциаций и иных органов, представляющих контролёров или процессоров.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 37 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
…
Logga in
för att komma åt hela textenу
(97) В случае, когда обработка осуществляется государственным органом, за исключением судов или независимых судебных органов, действующих в рамках своей судейской дееспособности, если в частном секторе обработка осуществляется контролёром, центральная деятельность которого состоит в обработке, требующей регулярного и систематического мониторинга субъектов данных в большом объеме, либо когда центральная деятельность контролёра или процессора состоит в масштабной обработке специальных категорий персональных данных (чувствительных данных) и данных, связанных с судимостями и правонарушениями, лицо, обладающее экспертными знаниями в области законодательства в сфере защиты персональных данных и практики его применения, должно содействовать контролёру или процессору в осуществлении внутреннего мониторинга соблюдения настоящего Регламента. В частном секторе центральная деятельность контролёра относится к его основному виду деятельности и не относится к обработке персональных данных как вспомогательного вида деятельности. Необходимый уровень экспертных знаний должен определяться, в том числе, в соответствии с выполняемыми операциями по обработке и защитой, которая требуется для обрабатываемых контролёром или процессором персональных данных. Такие инспекторы по защите персональных данных, независимо от того, являются ли они работниками контролёра или нет, должны быть в состоянии исполнять свои обязанности и задачи независимо.
(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:
…
Logga in
för att komma åt hela textenу