Навігація
GDPR > Стаття 39. Завдання співробітника з питань захисту даних
Завантажити в PDF

Стаття 39 GDPR. Завдання співробітника з питань захисту даних

Article 39 GDPR. Tasks of the data protection officer

1. Співробітник з питань захисту даних має щонайменше такі завдання:

1. The data protection officer shall have at least the following tasks:

(a) інформувати та надавати рекомендації контролеру або оператору і працівникам, які здійснюють опрацювання, щодо їхніх обов’язків відповідно до цього Регламенту та інших положень про захист даних Союзу чи держави-члена;

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

Пов'язані норми

(b) здійснювати моніторинг відповідності цього Регламенту іншим положенням про захист даних Союзу або держави-члена та політиці контролера або оператора щодо захисту персональних даних, у тому числі, розподілу обов’язків, підвищення обізнаності та підготовки персоналу, залученого до операцій опрацювання, та відповідних перевірок;

(b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

ISO 27701
Пов'язані норми

(c) на запит, надавати рекомендації щодо оцінювання впливу на захист даних і здійснювати моніторинг його проведення відповідно до статті 35;

(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

Пов'язані норми

(d) співпрацювати із наглядовим органом;

(d) to cooperate with the supervisory authority;

(e) діяти як координаційний центр для наглядового органу з питань, що стосуються опрацювання, в тому числі, попередньої консультації, вказаної в статті 36, і надавати консультації за необхідності, щодо будь-якого іншого питання.

(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

Пов'язані норми

2. Під час виконання своїх завдань співробітник з питань захисту даних повинен належним чином враховувати ризик, пов’язаний із операціями опрацювання, зважаючи на специфіку, обсяг, контекст і цілі опрацювання.

2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

Пов'язані норми
Коментар експерта ISO 27701 Керівництво та прецедентне право Залишити коментар
Коментар експерта

(EN) Article 39 lists the main (but not all) tasks that fall under the remit of the Data Protection Officer (DPO). Among them, there are three main functions (although DPO competences are not necessarily limited to them):

  1. Consulting (39.1a, c),
  2. Control / monitoring (39.1b),
  3. Relationship with the supervising authorities (39.1d, e).

1. The consulting function means that the DPO provides information and explanations about the GDPR and its compliance to the controller and processor as well as to the employees of the controller and processor who are involved in the processing of personal data. In particular the role of DPO is important in the context of Data Protection Impact Assessment (DPIA), because DPO advises and monitors its implementation according to Article 35 of the GDPR. WP29 recommends that the controller seeks the advice of the DPO, e.g. on the following issues:

  • whether or not to conduct a DPIA

(EN) […]


to read the full text

(EN) Author
(EN) Maria Arnst CIPM, TÜV
(EN) GDPR Consultant
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 39 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).

(EN) […]


to read the full text

Керівництво та прецедентне право Залишити коментар
[js-disqus]