Sådan demonstrerer du overholdelse af GDPR artikel 37

Overholdelse af GDPR artikel 37 forklarer, hvornår organisationer skal udpege en databeskyttelsesansvarlig (DPO), og skitserer nøglekriterier såsom offentlige myndigheder, storstilet overvågning og behandling af særlige kategoridata, samtidig med at der lægges vægt på DPO'ens nødvendige ekspertise og

Book en demo
Forfatter
Max Edwards
Opdateret 10. marts 2025
LinkedIn Twitter Twitter

Forstå DPO-krav: Overholdelse under GDPR artikel 37

Databeskyttelsesansvarlige er en grundlæggende komponent i enhver organisations bredere cybersikkerhedsoperation.

GDPR artikel 37 understreger vigtigheden af ​​rollen og giver vejledning om, hvordan en DPO skal udpeges, rollens kerneaktiviteter, og hvordan sådanne udnævnelser kommunikeres.

GDPR Artikel 37 Lovtekst

EU GDPR-version

Udpegning af den databeskyttelsesansvarlige

  1. Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor:

    • a) behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen retter, der handler i deres dømmende egenskab
    • (b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, som i kraft af deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller
    • c) den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stor skala af særlige kategorier af oplysninger i henhold til artikel 9 og personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.
  2. En gruppe af virksomheder kan udpege en enkelt databeskyttelsesansvarlig, forudsat at en databeskyttelsesansvarlig er let tilgængelig fra hver virksomhed.
  3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan der udpeges en enkelt databeskyttelsesansvarlig for flere sådanne myndigheder eller organer under hensyntagen til deres organisationsstruktur og størrelse.
  4. I andre tilfælde end dem, der er omhandlet i stk. 1, kan den dataansvarlige eller databehandleren eller sammenslutningerne og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, eller, hvor det kræves i henhold til EU- eller medlemsstatslovgivningen, udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan fungere for sådanne sammenslutninger og andre organer, der repræsenterer dataansvarlige eller databehandlere.
  5. Den databeskyttelsesansvarlige udpeges på grundlag af faglige egenskaber og især ekspertviden om databeskyttelseslovgivning og -praksis og evnen til at udføre de opgaver, der er omhandlet i artikel 39.
  6. Den databeskyttelsesansvarlige kan være ansat hos den dataansvarlige eller databehandler eller udføre opgaverne på grundlag af en servicekontrakt.
  7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysningerne på den databeskyttelsesansvarlige og meddeler dem til tilsynsmyndigheden.

UK GDPR-version

Udpegning af den databeskyttelsesansvarlige

  1. Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor:

    • a) behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen retter, der handler i deres dømmende egenskab
    • (b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, som i kraft af deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller
    • c) den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stor skala af særlige kategorier af oplysninger i henhold til artikel 9 og personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.
  2. En gruppe af virksomheder kan udpege en enkelt databeskyttelsesansvarlig, forudsat at en databeskyttelsesansvarlig er let tilgængelig fra hver virksomhed.
  3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan der udpeges en enkelt databeskyttelsesansvarlig for flere sådanne myndigheder eller organer under hensyntagen til deres organisationsstruktur og størrelse.
  4. I andre tilfælde end dem, der er nævnt i stk. 1, kan den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan fungere for sådanne sammenslutninger og andre organer, der repræsenterer dataansvarlige eller databehandlere.
  5. Den databeskyttelsesansvarlige udpeges på grundlag af faglige egenskaber og især ekspertviden om databeskyttelseslovgivning og -praksis og evnen til at udføre de opgaver, der er omhandlet i artikel 39.
  6. Den databeskyttelsesansvarlige kan være ansat hos den dataansvarlige eller databehandler eller udføre opgaverne på grundlag af en servicekontrakt.
  7. Den registeransvarlige eller databehandleren offentliggør kontaktoplysningerne for den databeskyttelsesansvarlige og meddeler dem til kommissæren.


Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo


Teknisk kommentar

GDPR artikel 37 skitserer 7 nøgleområder, som organisationer skal tage i betragtning, når de udpeger og administrerer aktiviteterne i en Databeskyttelsesansvarlige:

  1. Den underliggende forpligtelse til at udpege en databeskyttelsesansvarlig.
  2. Ret til at udpege en DPO for store koncernvirksomheder.
  3. Muligheden for grupper af organisationer til at udpege en enkelt DPO, der imødekommer deres fælles forpligtelser og organisationsstruktur.
  4. Særlige forhold, der giver mulighed for at udpege en DPO (en mellemmand mellem organisationer og styrende myndigheder).
  5. DPO'ens ekspertise, herunder enhver relevant juridisk og operationel erfaring.
  6. Kontraherende DPO-opgaver i stedet for at udpege en internt.
  7. At gøre en DPOs kontaktoplysninger tilgængelige for hvem det er, der kræver dem, og som er lovligt tilladt at erhverve dem.

ISO 27701 paragraf 6.3.1.1 (Informationssikkerhedsroller og -ansvar) og EU GDPR artikel 37

I dette afsnit taler vi om GDPR artikel 37 (1)(a), 37(1)(b), 37(1)(c), 37(2), 37(3), 37(4), 37 (5) ), 37 (6), 37 (7)

Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.

Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte, der opretholder et acceptabelt kompetenceniveau.

Ansvarsområder bør omfatte:

  • Beskyttelse af PII og eventuelle privatlivsrelaterede aktiver.
  • Udførelse af procedurer for beskyttelse af privatlivets fred.
  • PII-relaterede risikostyringsaktiviteter, herunder afhjælpende handlinger.
  • Enhver, der bruger organisationens oplysninger og data, herunder brugen af ​​IKT-aktiver.
  • Personer med ansvar på øverste niveau for beskyttelse af privatlivets fred uddelegerer opgaver til andre.

ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.

Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.

Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701, paragraf 7.3.2).

Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.

Understøtter ISO 27701 klausuler

  • ISO 27701 7.3.2

Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler

GDPR artikelISO 27701 klausulISO 27701 understøttende klausuler
EU GDPR artikel 37 (1)(a) til 37 (7) ISO 27701 6.3.1.1 ISO 27701 7.3.2

Hvordan ISMS.online hjælper

Din komplette GDPR-løsning.

Vores præbyggede miljø passer problemfrit ind i dit ledelsessystem og giver dig mulighed for at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata.

Med ISMS.online kan du nemt demonstrere et niveau af beskyttelse af privatlivets fred, der rækker ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering.

Find ud af mere ved booking af en demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!