Databeskyttelsesansvarlige er en grundlæggende komponent i enhver organisations bredere cybersikkerhedsoperation.
GDPR artikel 37 understreger vigtigheden af rollen og giver vejledning om, hvordan en DPO skal udpeges, rollens kerneaktiviteter, og hvordan sådanne udnævnelser kommunikeres.
Udpegning af den databeskyttelsesansvarlige
- Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor:
- a) behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen retter, der handler i deres dømmende egenskab
- (b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, som i kraft af deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller
- c) den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stor skala af særlige kategorier af oplysninger i henhold til artikel 9 og personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.
- En gruppe af virksomheder kan udpege en enkelt databeskyttelsesansvarlig, forudsat at en databeskyttelsesansvarlig er let tilgængelig fra hver virksomhed.
- Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan der udpeges en enkelt databeskyttelsesansvarlig for flere sådanne myndigheder eller organer under hensyntagen til deres organisationsstruktur og størrelse.
- I andre tilfælde end dem, der er omhandlet i stk. 1, kan den dataansvarlige eller databehandleren eller sammenslutningerne og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, eller, hvor det kræves i henhold til EU- eller medlemsstatslovgivningen, udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan fungere for sådanne sammenslutninger og andre organer, der repræsenterer dataansvarlige eller databehandlere.
- Den databeskyttelsesansvarlige udpeges på grundlag af faglige egenskaber og især ekspertviden om databeskyttelseslovgivning og -praksis og evnen til at udføre de opgaver, der er omhandlet i artikel 39.
- Den databeskyttelsesansvarlige kan være ansat hos den dataansvarlige eller databehandler eller udføre opgaverne på grundlag af en servicekontrakt.
- Den dataansvarlige eller databehandleren offentliggør kontaktoplysningerne på den databeskyttelsesansvarlige og meddeler dem til tilsynsmyndigheden.
Udpegning af den databeskyttelsesansvarlige
- Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor:
- a) behandlingen udføres af en offentlig myndighed eller et offentligt organ, undtagen retter, der handler i deres dømmende egenskab
- (b) den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, som i kraft af deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala eller
- c) den dataansvarliges eller databehandlerens kerneaktiviteter består i behandling i stor skala af særlige kategorier af oplysninger i henhold til artikel 9 og personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.
- En gruppe af virksomheder kan udpege en enkelt databeskyttelsesansvarlig, forudsat at en databeskyttelsesansvarlig er let tilgængelig fra hver virksomhed.
- Hvis den dataansvarlige eller databehandleren er en offentlig myndighed eller et offentligt organ, kan der udpeges en enkelt databeskyttelsesansvarlig for flere sådanne myndigheder eller organer under hensyntagen til deres organisationsstruktur og størrelse.
- I andre tilfælde end dem, der er nævnt i stk. 1, kan den dataansvarlige eller databehandleren eller sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, udpege en databeskyttelsesansvarlig. Den databeskyttelsesansvarlige kan fungere for sådanne sammenslutninger og andre organer, der repræsenterer dataansvarlige eller databehandlere.
- Den databeskyttelsesansvarlige udpeges på grundlag af faglige egenskaber og især ekspertviden om databeskyttelseslovgivning og -praksis og evnen til at udføre de opgaver, der er omhandlet i artikel 39.
- Den databeskyttelsesansvarlige kan være ansat hos den dataansvarlige eller databehandler eller udføre opgaverne på grundlag af en servicekontrakt.
- Den registeransvarlige eller databehandleren offentliggør kontaktoplysningerne for den databeskyttelsesansvarlige og meddeler dem til kommissæren.
Vi er omkostningseffektive og hurtige
GDPR artikel 37 skitserer 7 nøgleområder, som organisationer skal tage i betragtning, når de udpeger og administrerer aktiviteterne i en Databeskyttelsesansvarlige:
I dette afsnit taler vi om GDPR artikel 37 (1)(a), 37(1)(b), 37(1)(c), 37(2), 37(3), 37(4), 37 (5) ), 37 (6), 37 (7)
Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.
Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte, der opretholder et acceptabelt kompetenceniveau.
Ansvarsområder bør omfatte:
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701, paragraf 7.3.2).
Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.
GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
---|---|---|
EU GDPR artikel 37 (1)(a) til 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Din komplette GDPR-løsning.
Vores præbyggede miljø passer problemfrit ind i dit ledelsessystem og giver dig mulighed for at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata.
Med ISMS.online kan du nemt demonstrere et niveau af beskyttelse af privatlivets fred, der rækker ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering.
Find ud af mere ved booking af en demo.
Bed om et tilbud