Sådan demonstrerer du overholdelse af GDPR artikel 37

Udpegning af den databeskyttelsesansvarlige

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

Databeskyttelsesansvarlige er en grundlæggende komponent i enhver organisations bredere cybersikkerhedsoperation.

GDPR artikel 37 understreger vigtigheden af ​​rollen og giver vejledning om, hvordan en DPO skal udpeges, rollens kerneaktiviteter, og hvordan sådanne udnævnelser kommunikeres.

GDPR Artikel 37 Lovtekst

EU GDPR-version

Udpegning af den databeskyttelsesansvarlige

  1. Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor:

    • a) behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen retter, der handler i deres dømmende egenskab

    • (b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, som i kraft af deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller

    • c) den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stor skala af særlige kategorier af oplysninger i henhold til artikel 9 og personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.

  2. En gruppe af virksomheder kan udpege en enkelt databeskyttelsesansvarlig, forudsat at en databeskyttelsesansvarlig er let tilgængelig fra hver virksomhed.

  3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan der udpeges en enkelt databeskyttelsesansvarlig for flere sådanne myndigheder eller organer under hensyntagen til deres organisationsstruktur og størrelse.

  4. I andre tilfælde end dem, der er omhandlet i stk. 1, kan den dataansvarlige eller databehandleren eller sammenslutningerne og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, eller, hvor det kræves i henhold til EU- eller medlemsstatslovgivningen, udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan fungere for sådanne sammenslutninger og andre organer, der repræsenterer dataansvarlige eller databehandlere.

  5. Den databeskyttelsesansvarlige udpeges på grundlag af faglige egenskaber og især ekspertviden om databeskyttelseslovgivning og -praksis og evnen til at udføre de opgaver, der er omhandlet i artikel 39.

  6. Den databeskyttelsesansvarlige kan være ansat hos den dataansvarlige eller databehandler eller udføre opgaverne på grundlag af en servicekontrakt.

  7. Den dataansvarlige eller databehandleren offentliggør kontaktoplysningerne på den databeskyttelsesansvarlige og meddeler dem til tilsynsmyndigheden.

UK GDPR-version

Udpegning af den databeskyttelsesansvarlige

  1. Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor:

    • a) behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen retter, der handler i deres dømmende egenskab

    • (b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, som i kraft af deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller

    • c) den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stor skala af særlige kategorier af oplysninger i henhold til artikel 9 og personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.

  2. En gruppe af virksomheder kan udpege en enkelt databeskyttelsesansvarlig, forudsat at en databeskyttelsesansvarlig er let tilgængelig fra hver virksomhed.

  3. Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan der udpeges en enkelt databeskyttelsesansvarlig for flere sådanne myndigheder eller organer under hensyntagen til deres organisationsstruktur og størrelse.

  4. I andre tilfælde end dem, der er nævnt i stk. 1, kan den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan fungere for sådanne sammenslutninger og andre organer, der repræsenterer dataansvarlige eller databehandlere.

  5. Den databeskyttelsesansvarlige udpeges på grundlag af faglige egenskaber og især ekspertviden om databeskyttelseslovgivning og -praksis og evnen til at udføre de opgaver, der er omhandlet i artikel 39.

  6. Den databeskyttelsesansvarlige kan være ansat hos den dataansvarlige eller databehandler eller udføre opgaverne på grundlag af en servicekontrakt.

  7. Den registeransvarlige eller databehandleren offentliggør kontaktoplysningerne for den databeskyttelsesansvarlige og meddeler dem til kommissæren.
Gå til emne

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

Teknisk kommentar

GDPR artikel 37 skitserer 7 nøgleområder, som organisationer skal tage i betragtning, når de udpeger og administrerer aktiviteterne i en Databeskyttelsesansvarlige:

  1. Den underliggende forpligtelse til at udpege en databeskyttelsesansvarlig.

  2. Ret til at udpege en DPO for store koncernvirksomheder.

  3. Muligheden for grupper af organisationer til at udpege en enkelt DPO, der imødekommer deres fælles forpligtelser og organisationsstruktur.

  4. Særlige forhold, der giver mulighed for at udpege en DPO (en mellemmand mellem organisationer og styrende myndigheder).

  5. DPO'ens ekspertise, herunder enhver relevant juridisk og operationel erfaring.

  6. Kontraherende DPO-opgaver i stedet for at udpege en internt.

  7. At gøre en DPOs kontaktoplysninger tilgængelige for hvem det er, der kræver dem, og som er lovligt tilladt at erhverve dem.

ISO 27701 paragraf 6.3.1.1 (Informationssikkerhedsroller og -ansvar) og EU GDPR artikel 37

I dette afsnit taler vi om GDPR artikel 37 (1)(a), 37(1)(b), 37(1)(c), 37(2), 37(3), 37(4), 37 (5) ), 37 (6), 37 (7)

Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.

Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte, der opretholder et acceptabelt kompetenceniveau.

Ansvarsområder bør omfatte:

  • Beskyttelse af PII og eventuelle privatlivsrelaterede aktiver.

  • Udførelse af procedurer for beskyttelse af privatlivets fred.

  • PII-relaterede risikostyringsaktiviteter, herunder afhjælpende handlinger.

  • Enhver, der bruger organisationens oplysninger og data, herunder brugen af ​​IKT-aktiver.

  • Personer med ansvar på øverste niveau for beskyttelse af privatlivets fred uddelegerer opgaver til andre.

ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.

Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.

Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701, paragraf 7.3.2).

Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.

Understøtter ISO 27701 klausuler

  • ISO 27701 7.3.2

Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler

GDPR artikelISO 27701 klausulISO 27701 understøttende klausuler
EU GDPR artikel 37 (1)(a) til 37 (7)ISO 27701 6.3.1.1ISO 27701 7.3.2

Hvordan ISMS.online hjælper

Din komplette GDPR-løsning.

Vores præbyggede miljø passer problemfrit ind i dit ledelsessystem og giver dig mulighed for at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata.

Med ISMS.online kan du nemt demonstrere et niveau af beskyttelse af privatlivets fred, der rækker ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering.

Find ud af mere ved booking af en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere