Центр по защите персональных данных руководство

2.1. Обязательное назначение

2.1. Mandatory designation

Статья 37(1) GDPR требует назначать DPO в трех конкретных случаях [5]:

Article 37(1) of the GDPR requires the designation of a DPO in three specific cases [5]:

_{[5] Обратите внимание, что, согласно статье 37(4), законодательство Союза или государств-членов может требовать назначения DPO также и в других случаях.}

_{[5] Note that under Article 37(4), Union or Member State law may require the designation of DPOs in other situations as well.}

a) когда обработка персональных данных осуществляется государственным органом [6];

a) where the processing is carried out by a public authority or body [6];

_{[6] Исключением являются судебные органы при осуществлении правосудия. См. статью 32 Директивы (ЕС) 2016/680.}

_{[6] Except for courts acting in their judicial capacity. See Article 32 of Directive (EU) 2016/680.}

b) когда основная деятельность контролера или процессора включает в себя операции по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в крупных масштабах; или

b) where the core activities of the controller or the processor consist of processing operations, which require regular and systematic monitoring of data subjects on a large scale; or

c) когда основная деятельность контролера или процессора включает в себя обработку в крупных масштабах специальных категорий персональных данных [7] или [8] персональных данных, касающихся судимостей и правонарушений [9].

c) where the core activities of the controller or the processor consist of processing on a large scale of special categories of data [7] or [8] personal data relating to criminal convictions and offences [9].

_{[7] В соответствии со статьей 9, к таким случаям относится обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.}

_{[7] Pursuant to Article 9 these include personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation.}

_{[8] Статья 37(1)(с) использует союз ,em>«и». См. Раздел 2.1.5 ниже с разъяснением о применении союза «или» вместо «и».}

_{[8] Article 37(1)(c) uses the word ‘and’. See Section 2.1.5 below for explanation on the use of ‘or’ instead of ‘and’.}

_{[9] Статья 10.}

_{[9] Article 10.}

В нижеследующих подразделах WP29 приводит разъяснение критериев и терминологии, используемых в статье 37(1).

In the following subsections, the WP29 provides guidance with regard to the criteria and terminology used in Article 37(1).

За исключением случаев, когда отсутствие необходимости в назначении DPO является очевидным, WP29 рекомендует контролерам и процессорам документировать внутренний анализ, который проводится с целью определить необходимость назначения DPO, чтобы иметь возможность продемонстрировать надлежащий учет соответствующих факторов [10]. Этот анализ является частью процесса документирования в соответствии с принципом подотчетности. Результаты анализа могут быть истребованы надзорным органом и должны обновляться по мере необходимости, например, если контролеры или процессоры начали оказывать новые услуги, которые могут подпадать под случаи, перечисленные в статье 37(1).

Unless it is obvious that an organisation is not required to designate a DPO, the WP29 recommends that controllers and processors document the internal analysis carried out to determine whether or not a DPO is to be appointed, in order to be able to demonstrate that the relevant factors have been taken into account properly [10]. This analysis is part of the documentation under the accountability principle. It may be required by the supervisory authority and should be updated when necessary, for example if the controllers or the processors undertake new activities or provide new services that might fall within the cases listed in Article 37(1).

_{[10] См. статью 24(1).}

_{[10] See Article 24(1).}

Если организация назначает DPO на добровольной основе, то требования, предусмотренные статьями 37-39, будут применяться к его назначению, положению в организации и задачам так, как если бы его назначение было обязательным.

When an organisation designates a DPO on a voluntary basis, the requirements under Articles 37 to 39 will apply to his or her designation, position and tasks as if the designation had been mandatory.

Ничто не мешает организации, которой необязательно назначать DPO и которая не желает назначать его добровольно, нанимать сотрудников или внешних консультантов для поручения задач, связанных с защитой персональных данных. В таком случае важно обеспечить отсутствие путаницы в их должностях, статусе, роли и задачах. То есть должно быть четко обозначено, что при взаимодействии с сотрудниками компании, надзорными органами, субъектами данных и общественностью в целом данный сотрудник или консультант не является DPO [11].

Nothing prevents an organisation, which is not legally required to designate a DPO and does not wish to designate a DPO on a voluntary basis to nevertheless employ staff or outside consultants with tasks relating to the protection of personal data. In this case it is important to ensure that there is no confusion regarding their title, status, position and tasks. Therefore, it should be made clear, in any communications within the company, as well as with data protection authorities, data subjects, and the public at large, that the title of this individual or consultant is not a data protection officer (DPO) [11].

_{[11] Указанное верно и для ведущих инспекторов по вопросам приватности («CPOs») и других профессионалов в области приватности, которые в настоящий момент работают в некоторых компаниях и не соответствуют требованиям GDPR. Например, у них могут отсутствовать необходимое количество ресурсов и гарантии независимости при выполнении своих задач. В таких ситуациях их нельзя считать DPO.}

_{[11] This is also relevant for chief privacy officers (‘CPO’s) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs.}

DPO, независимо от того, назначен ли он в обязательном или добровольном порядке, имеет дело со всеми операциями по обработке, осуществляемыми контролером или процессором.

The DPO, whether mandatory or voluntary, is designated for all the processing operations carried out by the controller or the processor.

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

2.1.1 ‘PUBLIC AUTHORITY OR BODY’

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

The GDPR does not define what constitutes a ‘public authority or body’. The WP29 considers that such a notion is to be determined under national law. Accordingly, public authorities and bodies include national, regional and local authorities, but the concept, under the applicable national laws, typically also includes a range of other bodies governed by public law [12]. In such cases, the designation of a DPO is mandatory.

_{[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).}

_{[12] See, e.g. the definition of ‘public sector body’ and ‘body governed by public law’ in Article 2(1) and (2) of Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public-sector information (OJ L 345, 31.12.2003, p. 90).}

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

A public task may be carried out, and public authority may be exercised [13] not only by public authorities or bodies but also by other natural or legal persons governed by public or private law, in sectors such as, according to national regulation of each Member State, public transport services, water and energy supply, road infrastructure, public service broadcasting, public housing or disciplinary bodies for regulated professions.

_{[13] Статья 6(1)(е).}

_{[13] Article 6(1)(e).}

В таких случаях персональные данные субъектов данных могут обрабатываться государственными органами для целей этих секторов. При этом субъекты данных часто не имеют возможности выбирать, будут ли обрабатываться их персональные данные, и если да, то какие. В связи с этим им может потребоваться дополнительная защита, которую может обеспечить назначение DPO.

In these cases, data subjects may be in a very similar situation to when their data are processed by a public authority or body. In particular, data can be processed for similar purposes and individuals often have similarly little or no choice over whether and how their data will be processed and may thus require the additional protection that the designation of a DPO can bring.

Даже в случаях, когда назначение DPO не является обязательным, WP29 рекомендует в качестве хорошей практики назначать его частным организациям, осуществляющим публичные функции. Деятельность DPO охватывает все осуществляемые операции по обработке персональных данных, в том числе и те, которые не относятся к выполнению публичных задач или общественного долга (например, управление базой данных сотрудников).

Even though there is no obligation in such cases, the WP29 recommends, as a good practice, that private organisations carrying out public tasks or exercising public authority designate a DPO. Such a DPO’s activity covers all processing operations carried out, including those that are not related to the performance of a public task or exercise of official duty (e.g. the management of an employee database).

2.1.2 «ОСНОВНАЯ ДЕЯТЕЛЬНОСТЬ»

2.1.2 ‘CORE ACTIVITIES’

Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.

Article 37(1)(b) and (c) of the GDPR refers to the ‘core activities of the controller or processor’. Recital 97 specifies that the core activities of a controller relate to ‘primary activities and do not relate to the processing of personal data as ancillary activities’. ‘Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals.

Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.

However, ‘core activities’ should not be interpreted as excluding activities where the processing of data forms an inextricable part of the controller’s or processor’s activity. For example, the core activity of a hospital is to provide health care. However, a hospital could not provide healthcare safely and effectively without processing health data, such as patients’ health records. Therefore, processing these data should be considered to be one of any hospital’s core activities and hospitals must therefore designate DPOs.

Приведем другой пример. Частное охранное предприятие осуществляет наблюдение на территории ряда частных магазинов и общественных мест. Такое наблюдение является основной деятельностью предприятия и при этом неразрывно связано с обработкой персональных данных. Следовательно, такому предприятию также необходимо назначить DPO.

As another example, a private security company carries out the surveillance of a number of private shopping centres and public spaces. Surveillance is the core activity of the company, which in turn is inextricably linked to the processing of personal data. Therefore, this company must also designate a DPO.

С другой стороны, все организации осуществляют такую деятельность, как выплата заработной платы сотрудникам и поддержка IT-систем. Подобная деятельность выполняет функцию необходимой поддержки основной деятельности организации. И хотя она и является необходимой и существенной, однако обычно относится к вспомогательной функции, а не основной деятельности.

On the other hand, all organisations carry out certain activities, for example, paying their employees or having standard IT support activities. These are examples of necessary support functions for the organisation’s core activity or main business. Even though these activities are necessary or essential, they are usually considered ancillary functions rather than the core activity.

2.1.3 «КРУПНЫЙ МАСШТАБ»

2.1.3 ‘LARGE SCALE’

Пункты (b) и (с) статьи 37 (1) GDPR предписывают, что DPO необходимо назначать в случае, когда обработка персональных данных осуществляется в крупных масштабах. GDPR не разъясняет, когда обработка персональных данных признается крупномасштабной, хотя некоторое руководство на этот счет содержится в Преамбуле 91 [14].

Article 37(1)(b) and (c) requires that the processing of personal data be carried out on a large scale in order for the designation of a DPO to be triggered. The GDPR does not define what constitutes large-scale processing, though recital 91 provides some guidance [14].

_{[14] Согласно Преамбуле, такая обработка, в частности, имеет место в случае, когда есть «крупномасштабные операции, нацеленные на обработку значительного объема персональных данных на региональном, национальном или супранациональном уровне, которые могут оказать влияние на большое количество субъектов данных и способны привести к возникновению больших рисков». С другой стороны, Преамбула подчеркивает, что «обработку персональных данных не следует признавать крупномасштабной, если она касается персональных данных пациентов и клиентов, обрабатываемых индивидуальным врачом, иным профессионалом в области медицины или юристом». Важно отметить, что, хотя Преамбула и приводит примеры границ масштабов обработки (от обработки, осуществляемой индивидуальным врачом, до обработки данных со всей страны или по всей Европе), существует большая серая зона между этими границами. Более того, следует помнить, что данная преамбула касается оценки воздействия на защиту персональных данных. Это означает, что некоторые элементы могут зависеть от контекста и необязательно применимы тем же образом к назначению DPO.}

_{[14] According to the recital, ‘large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk’ would be included, in particular. On the other hand, the recital specifically provides that ‘the processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer’. It is important to consider that while the recital provides examples at the extremes of the scale (processing by an individual physician versus processing of data of a whole country or across Europe); there is a large grey zone in between these extremes. In addition, it should be borne in mind that this recital refers to data protection impact assessments. This implies that some elements might be specific to that context and do not necessarily apply to the designation of DPOs in the exact same way.}

Действительно, установить точный и применимый к любой ситуации показатель в отношении количества обрабатываемых данных или количества субъектов данных не представляется возможным. Однако это не исключает возможности того, что со временем будет выработана стандартная практика определения качественных и (или) количественных показателей «крупного масштаба» в отношении некоторых типичных обработок. WP29 также планирует внести вклад в развитие такой практики посредством опубликования примеров возможных минимальных порогов, влекущих необходимость назначить DPO.

Indeed, it is not possible to give a precise number either with regard to the amount of data processed or the number of individuals concerned, which would be applicable in all situations. This does not exclude the possibility, however, that over time, a standard practice may develop for identifying in more specific and/or quantitative terms what constitutes ‘large scale’ in respect of certain types of common processing activities. The WP29 also plans to contribute to this development, by way of sharing and publicising examples of the relevant thresholds for the designation of a DPO.

WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:

In any event, the WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

• количество субъектов данных — точное количество либо доля численности населения соответствующего региона

• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population

• объем обрабатываемых данных или их элементов

• the volume of data and/or the range of different data items being processed

• продолжительность или постоянство обработки персональных данных

• the duration, or permanence, of the data processing activity

• географический охват обработки.

• the geographical extent of the processing activity.

Примерами крупномасштабной обработки являются, в частности:

Examples of large-scale processing include:

• регулярная обработка данных пациента больницей

• processing of patient data in the regular course of business by a hospital

• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)

• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)

• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг

• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in providing these services

• обработка данных клиентов в рамках обычной деятельности страховой компании или банка

• processing of customer data in the regular course of business by an insurance company or a bank

• обработка данных для целей поведенческой рекламы с помощью поисковой системы

• processing of personal data for behavioural advertising by a search engine

• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.

• processing of data (content, traffic, location) by telephone or internet service providers.

Крупномасштабная обработка данных отсутствует, в частности, в следующих случаях:

Examples that do not constitute large-scale processing include:

• обработка персональных данных, осуществляемая индивидуальным врачом

• processing of patient data by an individual physician

• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.

• processing of personal data relating to criminal convictions and offences by an individual lawyer.

2.1.4 «РЕГУЛЯРНЫЙ И СИСТЕМАТИЧЕСКИЙ МОНИТОРИНГ»

2.1.4 ‘REGULAR AND SYSTEMATIC MONITORING’

Понятие регулярного и систематического мониторинга субъектов данных не дано в GDPR, однако понятие «мониторинг поведения субъектов данных» упоминается в Преамбуле 24 [15] и четко включает в себя все формы отслеживания и профилирования в Интернете, в том числе для целей поведенческой рекламы.

The notion of regular and systematic monitoring of data subjects is not defined in the GDPR, but the concept of ‘monitoring of the behaviour of data subjects’ is mentioned in recital 24 [15] and clearly includes all forms of tracking and profiling on the internet, including for the purposes of behavioural advertising.

_{[15] «Для того чтобы определить, является ли деятельность по обработке мониторингом поведения субъектов данных, необходимо проверить, отслеживаются ли физические лица в Интернете, в том числе посредством потенциального последующего использования методов обработки персональных данных, нацеленных на профилирование физического лица, в частности, для принятия решений, касающихся этого лица, или для предсказания его личных предпочтений и поведения».}

_{[15] ‘In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes’.}

Однако понятие мониторинга не ограничивается онлайн-средой, и онлайн-трекинг следует рассматривать только в качестве примера мониторинга поведения субъектов данных [16].

However, the notion of monitoring is not restricted to the online environment and online tracking should only be considered as one example of monitoring the behaviour of data subjects [16].

_{[16] Следует отметить, что Преамбула 24 посвящена экстерриториальному применению GDPR. Кроме того, существует разница между формулировками «мониторинг поведения» (статья 3(2)(b)) и «регулярный и систематический мониторинг субъектов данных» (статья 37(1)(b)), которые, следовательно, могут рассматриваться как разные понятия.}

_{[16] Note that Recital 24 focuses on the extra-territorial application of the GDPR. In addition, there is also a difference between the wording ‘monitoring of their behaviour’ (Article 3(2)(b)) and ‘regular and systematic monitoring of data subjects’ (Article 37(1)(b)) which could therefore be seen as constituting a different notion.}

WP29 толкует слово «регулярный» в следующих значениях:

WP29 interprets ‘regular’ as meaning one or more of the following:

• происходящий с определенными интервалами в определенный период

• ongoing or occurring at particular intervals for a particular period

• повторяющийся в определенное время

• recurring or repeated at fixed times

• постоянно или периодически происходящий.

• constantly or periodically taking place.

WP29 трактует «систематический» в следующих значениях:

WP29 interprets ‘systematic’ as meaning one or more of the following:

• происходящий в соответствии с системой

• occurring according to a system

• заранее организованный или методичный

• pre-arranged, organised or methodical

• происходящий в рамках общего плана по сбору данных

• taking place as part of a general plan for data collection

• проводимый в рамках стратегии.

• carried out as part of a strategy.

Примеры видов деятельности, представляющих собой регулярный и систематический мониторинг субъектов данных: управление телекоммуникационной сетью; предоставление телекоммуникационных услуг; ретаргетинг по электронной почте; основанная на обработке персональных данных маркетинговая деятельность; профилирование и скоринг для целей оценки рисков (например, для целей кредитного скоринга, установления страховых премий, предотвращения мошенничества, обнаружения отмывания денег); отслеживание местоположения, например, с помощью мобильных приложений; программы лояльности; поведенческая реклама; мониторинг спортивных и медицинских данных через носимые устройства; кабельное телевидение; подключаемые устройства, например, умные счетчики, умные автомобили, домашняя автоматизация и т.д.

Examples of activities that may constitute a regular and systematic monitoring of data subjects: operating a telecommunications network; providing telecommunications services; email retargeting; data-driven marketing activities; profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering); location tracking, for example, by mobile apps; loyalty programs; behavioural advertising; monitoring of wellness, fitness and health data via wearable devices; closed circuit television; connected devices e.g. smart meters, smart cars, home automation, etc.

2.1.5 СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ДАННЫХ И ДАННЫЕ О СУДИМОСТЯХ И ПРАВОНАРУШЕНИЯХ

2.1.5 SPECIAL CATEGORIES OF DATA AND DATA RELATING TO CRIMINAL CONVICTIONS AND OFFENCES

Статья 37(1)(с) регулирует обработку специальных категорий данных в соответствии со статьей 9, а также персональных данных, касающихся судимостей и правонарушений, в соответствии со статьей 10. Хотя положения этой статьи используют союз «и», но при этом отсутствуют основания для их применения лишь при наличии обоих критериев. Таким образом, текст следует читать так, будто он использует союз «или».

Article 37(1)(c) addresses the processing of special categories of data pursuant to Article 9, and personal data relating to criminal convictions and offences set out in in Article 10. Although the provision uses the word ‘and’, there is no policy reason for the two criteria having to be applied simultaneously. The text should therefore be read to say ‘or’.

2.2. DPO процессора

2.2. DPO of the processor

Статья 37 применяется как к контролерам [17], так и к процессорам [18] при назначении DPO. В зависимости от того, кто отвечает критериям обязательного назначения DPO, последнее может быть обязательным только для контролера или только для процессора, а может быть обязательным и для контролера, и для процессора (в таком случае их DPO должны сотрудничать друг с другом).

Article 37 applies to both controllers [17] and processors [18] with respect to the designation of a DPO. Depending on who fulfils the criteria on mandatory designation, in some cases only the controller or only the processor, in other cases both the controller and its processor are required to appoint a DPO (who should then cooperate with each other).

_{[17] Контролер определяется статьей 4(7) как физическое лицо или организация, которые определяют цели и средства обработки.}

_{[17] The controller is defined by Article 4(7) as the person or body, which determines the purposes and means of the processing.}

_{[18] Процессор определяется статьей 4(8) как физическое лицо или организация, которые обрабатывают данные от имени контролера и по его поручению.}

_{[18] The processor is defined by Article 4(8) as the person or body, which processes data on behalf of the controller.}

Важно подчеркнуть, что даже если контролер подпадает под критерии обязательного назначения DPO, его процессору не обязательно тоже назначать его. Однако это можно считать хорошей практикой.

It is important to highlight that even if the controller fulfils the criteria for mandatory designation its processor is not necessarily required to appoint a DPO. This may, however, be a good practice.

• Небольшой семейный бизнес, занимающийся распродажей бытовой техники в одном городе, пользуется услугами процессора, чья основная деятельность заключается в предоставлении веб-аналитики и помощи с таргетированной рекламой и маркетингом. Деятельность семейного бизнеса и его клиенты не приводят к возникновению крупных масштабов обработки данных, учитывая небольшое количество клиентов и относительную ограниченность такой деятельности. Однако деятельность процессора, имеющего много таких же клиентов, как это малое предприятие, вместе взятых, приводит к возникновению крупномасштабной обработки. Поэтому процессор должен назначить DPO в соответствии со статьей 37(1)(b). В то же время, сам семейный бизнес не обязан назначать DPO.

• A small family business active in the distribution of household appliances in a single town uses the services of a processor whose core activity is to provide website analytics services and assistance with targeted advertising and marketing. The activities of the family business and its customers do not generate processing of data on a ‘large scale’, considering the small number of customers and the relatively limited activities. However, the activities of the processor, having many customers like this small enterprise, taken together, are carrying out large-scale processing. The processor must therefore designate a DPO under Article 37(1)(b). At the same time, the family business itself is not under an obligation to designate a DPO.

• Фирма среднего размера по производству плитки заказывает услуги по охране труда у внешнего процессора, который имеет большое количество подобных клиентов. Процессор назначает DPO в соответствии со статьей 37(1)(с) при условии, что обработка производится в крупных масштабах. Тем не менее, производитель может быть не обязан назначить DPO.

• A medium-size tile manufacturing company subcontracts its occupational health services to an external processor, which has a large number of similar clients. The processor shall designate a DPO under Article 37(1)(c) provided that the processing is on a large scale. However, the manufacturer is not necessarily under an obligation to designate a DPO.

DPO, назначенный процессором, также осуществляет надзор за деятельностью, осуществляемой организацией-процессором в качестве самостоятельного контролера (например, HR, IT, логистика).

The DPO designated by a processor also oversees activities carried out by the processor organisation when acting as a data controller in its own right (e.g. HR, IT, logistics).

2.3. Назначение единого DPO для нескольких организаций

2.3. Designation of a single DPO for several organisations

Статья 37(2) позволяет группе предприятий назначить единого DPO при условии, что он «легко доступен из каждой организационной единицы». Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных [19], надзорного органа [20], а также внутри самой организации, поскольку в задачи DPO входит «информировать и консультировать контролера, процессора и осуществляющих обработку сотрудников по вопросам об их обязанностях в соответствии с настоящим Регламентом» [21].

Article 37(2) allows a group of undertakings to designate a single DPO provided that he or she is ‘easily accessible from each establishment’. The notion of accessibility refers to the tasks of the DPO as a contact point with respect to data subjects [19], the supervisory authority [20] but also internally within the organisation, considering that one of the tasks of the DPO is ‘to inform and advise the controller and the processor and the employees who carry out processing of their obligations pursuant to this Regulation’ [21].

_{[19] Статья 38(4): «субъекты данных могут обратиться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно настоящему Регламенту».}

_{[19] Article 38(4): ‘data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation’.}

_{[20] Статья 39(1)(е): «выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой персональных данных, в том числе в рамках предварительной консультации, упомянутой в статье 36, и при необходимости консультироваться по любому другому вопросу».}

_{[20] Article 39(1)(e): ‘act as a contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36 and to consult, where appropriate, with regard to any other matter’.}

_{[21] Статья 39(1)(а).}

_{[21] Article 39(1)(a).}

Для того чтобы гарантировать, что DPO, будь то внутренний или внешний, является доступным, важно убедиться, что имеются их контактные данные в соответствии с требованиями GDPR [22].

In order to ensure that the DPO, whether internal or external, is accessible it is important to make sure that their contact details are available in accordance with the requirements of the GDPR [22].

_{[22] См. также Раздел 2.6 ниже.}

_{[22] See also Section 2.6 below.}

Он или она (если необходимо — с помощью команды) должны быть в состоянии эффективно взаимодействовать с субъектами данных [23] и сотрудничать [24] с надзорными органами. Это также означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одном уровне с остальными сотрудниками, по горячей линии или посредством иного безопасного средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.

He or she, with the help of a team if necessary, must be in a position to efficiently communicate with data subjects [23] and cooperate [24] with the supervisory authorities concerned. This also means that this communication must take place in the language or languages used by the supervisory authorities and the data subjects concerned. The availability of a DPO (whether physically on the same premises as employees, via a hotline or other secure means of communication) is essential to ensure that data subjects will be able to contact the DPO.

_{[23] Статья 12(1): «Контролер принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка, — особенно когда информация адресована ребенку».}

_{[23] Article 12(1): ’The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child’.}

_{[24] Статья 39(1)(d): «сотрудничать с надзорным органом»}

_{[24] Article 39(1)(d) : ‘to cooperate with the supervisory authority’}

В соответствии со статьей 37(3), единый DPO может быть назначен для нескольких государственных органов с учетом их организационной структуры и размера. Применяются те же самые соображения в отношении ресурсов и связей. Учитывая, что DPO отвечает за множество задач, контролер или процессор должны гарантировать, что единый DPO (при необходимости — с помощью команды) сможет выполнять эти задачи эффективно, несмотря на то, что он назначен несколькими государственными органами.

According to Article 37(3), a single DPO may be designated for several public authorities or bodies, taking account of their organisational structure and size. The same considerations with regard to resources and communication apply. Given that the DPO is in charge of a variety of tasks, the controller or the processor must ensure that a single DPO, with the help of a team if necessary, can perform these efficiently despite being designated for several public authorities and bodies.

2.4. Доступность и местонахождение DPO

2.4. Accessibility and localisation of the DPO

В соответствии с Разделом 4 GDPR, доступность DPO должна быть действительной.

According to Section 4 of the GDPR, the accessibility of the DPO should be effective.

Для того чтобы гарантировать, что DPO доступен, WP29 рекомендует DPO находиться в пределах Европейского Союза, независимо от того, находится ли там контролер или процессор.

To ensure that the DPO is accessible, the WP29 recommends that the DPO be located within the European Union, whether or not the controller or the processor is established in the European Union.

Тем не менее, нельзя исключать, что в некоторых ситуациях, когда контролер или процессор не имеет организационной единицы в рамках Европейского Союза [25], DPO может быть в состоянии действовать более эффективно, если он находится за пределами ЕС.

However, it cannot be excluded that, in some situations where the controller or the processor has no establishment within the European Union [25], a DPO may be able to carry out his or her activities more effectively if located outside the EU.

_{[25] См. статью 3 GDPR о территориальной сфере действия.}

_{[25] See Article 3 of the GDPR on the territorial scope.}

2.5. Опыт и навыки DPO

2.5. Expertise and skills of the DPO

Статья 37(5) предусматривает, что DPO «должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в области защиты персональных данных, а также способности выполнять задачи, указанные в статье 39». Преамбула 97 предусматривает, что необходимый уровень экспертных знаний должен определяться в соответствии с выполняемыми операциями по обработке персональных данных и защитой, которая требуется для обрабатываемых контролером или процессором персональных данных.

Article 37(5) provides that the DPO ‘shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39’. Recital 97 provides that the necessary level of expert knowledge should be determined according to the data processing operations carried out and the protection required for the personal data being processed.

Уровень знаний

Level of expertise

Необходимый уровень знаний не является строго определенным, но он должен быть соизмерим с чувствительностью, сложностью и объемом данных, обрабатываемых организацией. Например, когда деятельность по обработке данных является особенно сложной или когда в нее вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки. Существует также разница в зависимости от того, передает ли организация персональные данные за пределы Европейского Союза регулярно или эпизодично. Таким образом, кандидата на должность DPO следует тщательно подбирать с учетом вопросов относительно защиты персональных данных, которые возникают в рамках организации.

The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes. For example, where a data processing activity is particularly complex, or where a large amount of sensitive data is involved, the DPO may need a higher level of expertise and support. There is also a difference depending on whether the organisation systematically transfers personal data outside the European Union or whether such transfers are occasional. The DPO should thus be chosen carefully, with due regard to the data protection issues that arise within the organisation.

Профессиональные качества

Professional qualities

Хотя статья 37 (5) не определяет профессиональные качества, которые следует учитывать при назначении DPO, важным является наличие у DPO знания национальных и европейских законов и практики в области защиты персональных данных, в том числе углубленного понимания GDPR. Также является полезным предоставление надзорными органами адекватного и регулярного обучения для DPO.

Although Article 37(5) does not specify the professional qualities that should be considered when designating the DPO, it is a relevant element that DPOs must have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR. It is also helpful if the supervisory authorities promote adequate and regular training for DPOs.

Полезно знать деловой сектор и организационные процессы контролера. DPO должен также иметь хорошее понимание операций по обработке персональных данных, а также информационных систем и потребностей в области безопасности и защиты данных контролера.

Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have a good understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.

В случае с государственным органом DPO также должен иметь хорошие знания административных норм и процедур внутри такой организации.

In the case of a public authority or body, the DPO should also have a sound knowledge of the administrative rules and procedures of the organisation.

Способность выполнять свои задачи

Ability to fulfil its tasks

Способность выполнять задачи, возложенные на DPO, должна толковаться со ссылкой как на их личные качества и знания, так и на их положение в организации. Личные качества должны включать в себя честность и верность высокой профессиональной этике; основной заботой DPO должно быть обеспечение соблюдения требований GDPR. DPO играет ключевую роль в развитии культуры защиты персональных данных в рамках организации и помогает реализовать такие существенные элементы GDPR, как, например, принципы обработки данных [26], права субъектов данных [27], защита персональных данных спроектированная и по умолчанию [28], учет деятельности по обработке персональных данных [29], безопасность обработки [30], а также направление уведомлений и коммуникация по вопросам о нарушении безопасности персональных данных [31].

Ability to fulfil the tasks incumbent on the DPO should be interpreted as both referring to their personal qualities and knowledge, but also to their position within the organisation. Personal qualities should include for instance integrity and high professional ethics; the DPO’s primary concern should be enabling compliance with the GDPR. The DPO plays a key role in fostering a data protection culture within the organisation and helps to implement essential elements of the GDPR, such as the principles of data processing [26], data subjects’ rights [27], data protection by design and by default [28], records of processing activities [29], security of processing [30], and notification and communication of data breaches [31].

_{[26] Глава II.}

_{[26] Chapter II.}

_{[27] Глава III.}

_{[27] Chapter III.}

_{[28] Статья 25.}

_{[28] Article 25.}

_{[29] Статья 30.}

_{[29] Article 30.}

_{[30] Статья 32.}

_{[30] Article 32.}

_{[31] Статьи 33 и 34.}

_{[31] Articles 33 and 34.}

DPO, действующий на основании договора оказания услуг

DPO on the basis of a service contract

Функции DPO также могут осуществляться на основании договора оказания услуг, заключенного с физическим лицом или организацией, не относящимися к организации контролера или процессора. В этом случае очень важно, чтобы каждый сотрудник организации, осуществляющей функции DPO, соответствовал всем применимым требованиям раздела 4 GDPR (например, очень важно, чтобы никто не имел конфликта интересов). Не менее важно, чтобы каждый такой сотрудник был защищен положениями GDPR (например, не допускается необоснованное прекращение договора оказания услуг за осуществление функций DPO, необоснованное увольнение любого отдельного сотрудника организации за выполнение задач DPO). В то же время индивидуальные навыки и сильные стороны нескольких сотрудников могут быть объединены для командной работы, в связи с чем организация может более эффективно обслуживать своих клиентов.

The function of the DPO can also be exercised on the basis of a service contract concluded with an individual or an organisation outside the controller’s/processor’s organisation. In this latter case, it is essential that each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR (e.g., it is essential that no one has a conflict of interests). It is equally important that each such member be protected by the provisions of the GDPR (e.g. no unfair termination of service contract for activities as DPO but also no unfair dismissal of any individual member of the organisation carrying out the DPO tasks). At the same time, individual skills and strengths can be combined so that several individuals, working in a team, may more efficiently serve their clients.

Для целей юридической ясности, хорошей организации процесса и предотвращения конфликтов интересов среди членов команды рекомендуется четко распределять задачи внутри команды DPO и назначать одного человека в качестве главного контактного лица, «ответственного» за каждого клиента. Целесообразно указывать эти пункты в договоре оказания услуг.

For the sake of legal clarity and good organisation and to prevent conflicts of interests for the team members, it is recommended to have a clear allocation of tasks within the DPO team and to assign a single individual as a lead contact and person ‘in charge’ for each client. It would generally also be useful to specify these points in the service contract.

2.6. Публикация и передача контактных данных DPO

2.6. Publication and communication of the DPO’s contact details

Статья 37 (7) GDPR обязывает контролера или процессора:

Article 37(7) of the GDPR requires the controller or the processor:

опубликовать контактные данные DPO и

to publish the contact details of the DPO and

передавать контактные данные DPO соответствующим надзорным органам.

to communicate the contact details of the DPO to the relevant supervisory authorities.

Цель этих требований — обеспечить, чтобы субъекты данных (как внутри оганизации, так и вне ее) и надзорные органы могли легко и непосредственно связаться с DPO без необходимости связываться с другими подразделениями организации. Не менее важна и конфиденциальность: например, сотрудники могут неохотно направлять свои жалобы DPO, если конфиденциальность их общения не гарантируется.

The objective of these requirements is to ensure that data subjects (both inside and outside of the organisation) and the supervisory authorities can easily and directly contact the DPO without having to contact another part of the organisation. Confidentiality is equally important: for example, employees may be reluctant to complain to the DPO if the confidentiality of their communications is not guaranteed.

DPO ограничен в своей деятельности требованием о секретности или конфиденциальности в отношении выполнения им своих задач в соответствии с законодательством Союза или государств-членов (статья 38(5)).

The DPO is bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law (Article 38(5)).

Контактные данные DPO должны включать в себя информацию, позволяющую субъектам данных и надзорным органам связаться с DPO простым способом (почтовый адрес, специальный телефонный номер и (или) специальный адрес электронной почты). При необходимости, для целей связи с общественностью, также могут быть предусмотрены другие средства связи, например, специальная горячая линия или специальный контактный формуляр на имя DPO на веб-сайте организации.

The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.

Статья 37(7) не требует включать в опубликованные контактные данные имя DPO. Хотя это может быть хорошей практикой, но именно контролер или процессор, а также DPO принимают решение о том, является ли это необходимым или полезным в конкретных обстоятельствах [32].

Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do so, it is for the controller or the processor and the DPO to decide whether this is necessary or helpful in the particular circumstances [32].

_{[32] Следует отметить, что статья 33 (3)(b), описывающая информацию, которую необходимо предоставлять ​​надзорным органам и субъектам данных в случае нарушения безопасности персональных данных, в отличие от статьи 37 (7), дополнительно требует указывать имя (а не только контактные данные) DPO.}

_{[32] It is notable that Article 33(3)(b), which describes information that must be provided to the supervisory authority and to the data subjects in case of a personal data breach, unlike Article 37(7), specifically also requires the name (and not only the contact details) of the DPO to be communicated.}

Тем не менее, сообщение имени DPO надзорному органу является существенным для того, чтобы DPO мог служить в качестве контактного лица между организацией и надзорным органом (статья 39 (1)(е)).

However, communication of the name of the DPO to the supervisory authority is essential in order for the DPO to serve as contact point between the organisation and the supervisory authority (Article 39(1)(e)).

В качестве хорошей практики WP29 также рекомендует организациям информировать своих сотрудников об имени и контактных данных DPO. Например, имя и контактные данные DPO могут быть опубликованы во внутренней Интернет-сети организации, внутренней телефонной сети и организационных материалах.

As a matter of good practice, the WP29 also recommends that an organisation informs its employees of the name and contact details of the DPO. For example, the name and contact details of the DPO could be published internally on organisation’s intranet, internal telephone directory, and organisational charts.

Время на прочтение
11 мин

Количество просмотров 43K

Страшилка про закрытие предприятия на 90 суток пошла из статьи 19.5 КоАП РФ «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль».

Статья очень большая, описывает разные санкции за невыполнение предписания всех возможных органов надзора. И, видимо, по логике придумавших эту страшилку всем будет лень читать статью целиком и они просто поверят, что за невыполнение предписания РКН организацию закроют на срок до 90 суток (коммерческой организации можно сразу закрываться навсегда). И самое интересное, что возможность быть закрытым на 90 суток в статье 19.5 КоАП РФ действительно есть, только эта санкция предусмотрена за:

• невыполнение предписания строительного надзора;

• невыполнение требований карантина;

• повторное невыполнение предписания пожарного надзора;

• невыполнение законодательства о защите детей от «плохой» информации.

Статья

Персональные данные

Документы на обработку персональных данных
для сайта и организации

1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и 01.03.2023 г.), в частности:

• требования к согласиям на обработку ПДн;
• требования к политике конфиденциальности и локальным актам;
• требования к сроку реагирования на запросы субъектов;
• требования к поручению обработки ПДн;
• требования к уведомлению Роскомнадзора об обработке ПДн;
• требования к трансграничной передачи;
• требования к оценке степени вреда и уничтожению ПДн.

На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.

Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!

В конце статьи есть шпаргалка

Курсы для кадровика

Повышение квалификации, профпереподготовка. Онлайн-тесты. Удостоверения и дипломы

Посмотреть программы

В конце статьи есть шпаргалка

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

• Перечень НПА для оператора персданных
  630.2 КБ

• Правила поведения за компьютером
  624.3 КБ

Скачать