GDPR, как и любой регламент ЕС, имеет прямое действие. Однако страны могут его дополнять в местах, где GDPR даёт такое право. Расширительно толковать GDPR нельзя, тут вы правы, но вот ввести конкретные детализированные требования, например, по надзорным органам и правилам общения с ними (ст. 51), страна может. Также страна может установить дополнительные, более жесткие условия для назначения DPO (ст. 37. п.4.). Жесткой привязки к контракту DPO нет — он может работать как на основании трудового договора, так и на основании договора об оказании услуг (ст. 37. п. 6.). Представитель может быть один на всю группу компаний, работающих в нескольких странах EC.
Всё верно, но есть тонкости. Например некоторые страны вводят дополнительные требования к DPO на своём законодательном уровне (так как GDPR сам по себе существует редко где в ЕС, его дополняют, где разрешено, детализированными национальными законами о защите персональных данных. Я в Латвии сдавал экзамен на специалиста по защите персональных данных ещё до того, как вступил в силу GDPR. По опыту могу сказать, что 80% сдававших — юристы, и лишь оставшиеся 20 — представители IT. Сам я имею оба диплома, и на практике DPO почти всегда юристы — на инциденты реагируют инфосеки и бизнес оунеры, а уж DPO решает, как поступить в конкретной ситуации.
Всё верно, но есть тонкости. Например некоторые страны вводят дополнительные требования к DPO на своём законодательном уровне (так как GDPR сам по себе существует редко где в ЕС, его дополняют, где разрешено, детализированными национальными законами о защите персональных данных. Я в Латвии сдавал экзамен на специалиста по защите персональных данных ещё до того, как вступил в силу GDPR. По опыту могу сказать, что 80% сдававших — юристы, и лишь оставшиеся 20 — представители IT. Сам я имею оба диплома, и на практике DPO почти всегда юристы — на инциденты реагируют инфосеки и бизнес оунеры, а уж DPO решает, как поступить в конкретной ситуации.