Стаття 37. Призначення співробітника з питань захисту даних

Контролер і оператор призначають співробітника з питань захисту даних у будь-якому з наведених нижче випадків:
1. опрацювання здійснює публічний орган або установа, за винятком судів, що діють як судові інстанції;
2. основні види діяльності контролера або оператора становлять операції опрацювання, які, в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб'єктів даних; або
3. основні види діяльності контролера або оператора становлять широкомасштабне опрацювання спеціальних категорій даних відповідно до статті 9 та персональних даних про судимості і кримінальні злочині, вказані в статті 10.
Група підприємств може призначити єдиного співробітника з питань захисту даних за умови, що в кожному осідку існує доступ до співробітника з питань захисту даних.
Якщо контролер або оператор є публічним органом або установою, єдиного співробітника з питань захисту даних можна призначати для декількох таких органів або установ, з урахуванням їхньої організаційної структури та розміру.
У ситуаціях, відмінних від тих, що вказано в параграфі 1, контролер або оператор чи асоціації та інші органи, що представляють категорії контролерів або операторів можуть або, відповідно до вимог законодавства Союзу або держави-члена, повинні призначити співробітника з питань захисту даних. Співробітник з питань захисту даних може працювати на такі асоціації та інші органи, що представляють контролерів або операторів.
Співробітника з питань захисту даних призначають на підставі професійних якостей і, зокрема, експертних знань із права та практики захисту даних, а також здатності виконувати завдання, вказані в статті 39.
Співробітник з питань захисту даних може бути членом персоналу контролера або оператора, або виконувати завдання на підставі договору про надання послуг.
Контролер або оператор повинен опублікувати контактні дані співробітника з питань захисту даних і повідомити їх наглядовому органу.