Статья 37 Назначение Data Protection Officer (DPO)

О чём эта статья

Статья 37 — когда назначение DPO (Data Protection Officer) обязательно.

37(1) — Обязательные случаи

Контролёр и обработчик должны назначить DPO в любом случае, когда:

(a) обработка осуществляется публичным органом или организацией — за исключением судов в их судебной функции;

(b) основная деятельность контролёра или обработчика состоит из операций, требующих регулярного и систематического мониторинга субъектов в большом масштабе;

(c) основная деятельность состоит из обработки в большом масштабе особых категорий данных (Art. 9) или данных о судимостях (Art. 10).

37(2) — Группа компаний

Группа компаний может назначить единого DPO, при условии, что он легко доступен из каждого учреждения.

37(3) — Публичные органы

Несколько публичных органов могут назначить единого DPO, учитывая их организационную структуру и размер.

37(4) — Добровольное назначение

В случаях, не указанных в 37(1), контролёр или обработчик могут назначить DPO добровольно.

37(5) — Квалификация

DPO должен быть назначен на основе профессиональных качеств и, в частности, экспертных знаний права и практики защиты данных, а также способности выполнять задачи по Art. 39.

37(6) — Статус

DPO может быть сотрудником контролёра или обработчика или выполнять задачи по договору обслуживания.

37(7) — Публикация контактов

Контролёр и обработчик должны публиковать контактные данные DPO и сообщать их надзорному органу.

Почему это важно

Все государственные сайты по 37(1)(a) обязаны иметь DPO. На странице такого сайта должны быть контакты DPO (37(7)). Их отсутствие — нарушение само по себе.

Большие платформы (37(1)(b)) тоже обязаны. Pinterest, Google, Meta — у всех есть DPO, чьи контакты должны быть видны.

При аудите проверка простая: ищем на сайте секцию «DPO», «Контакты DPO» или «Data Protection Officer». Нет — нарушение.