- Контроллер и обработчик должны назначить ответственного за защиту данных в любом случае, когда:
- (a) обработка осуществляется государственным органом или организацией, за исключением судов, действующих в своем судебном качестве;
- (b) основная деятельность контролера или обработчика состоит из операций по обработке, которые в силу своего характера, объема и/или целей требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или
- (c) основная деятельность контролера или обработчика заключается в крупномасштабной обработке специальных категорий данных в соответствии со Статьей 9 и персональных данных, относящихся к уголовным приговорам и преступлениям, указанным в Статье 10.
- Группа предприятий может назначить одного сотрудника по защите данных при условии, что сотрудник по защите данных легко доступен из каждого предприятия.
- Если контролером или обработчиком является государственный орган или учреждение, один сотрудник по защите данных может быть назначен для нескольких таких органов или учреждений с учетом их организационной структуры и размера.
- В случаях, отличных от указанных в параграфе 1, контроллер или процессор или ассоциации и другие органы, представляющие категории контроллеров или процессоров, могут или, если того требует законодательство Союза или государства-члена, должны назначить ответственного за защиту данных. Сотрудник по защите данных может действовать от имени таких ассоциаций и других органов, представляющих контроллеров или процессоров.
- Сотрудник по защите данных назначается на основании профессиональных качеств и, в частности, экспертных знаний законодательства и практики защиты данных, а также способности выполнять задачи, указанные в Статье 39.
- Ответственный за защиту данных может быть сотрудником контроллера или процессора или выполнять задачи на основании договора об оказании услуг.
- Контроллер или обработчик должен опубликовать контактные данные ответственного за защиту данных и сообщить их в надзорный орган.
Статья 37