GDPR artikel 39 skitserer det minimumssæt af opgaver, som en DPO skal udføre for at blive betragtet som effektiv, herunder deres forpligtelser over for loven og deres interaktion med styrende myndigheder.
Databeskyttelsesrådgiverens opgaver
- Den databeskyttelsesansvarlige skal mindst have følgende opgaver:
- a) at informere og rådgive den dataansvarlige eller databehandleren og de ansatte, der udfører behandling, om deres forpligtelser i henhold til denne forordning og andre EU- eller medlemsstats databeskyttelsesbestemmelser
- (b) at overvåge overholdelsen af denne forordning, andre EU- eller medlemsstats databeskyttelsesbestemmelser og med den dataansvarliges eller databehandlerens politikker i forhold til beskyttelse af personoplysninger, herunder tildeling af ansvar, bevidstgørelse og uddannelse af personale involveret i behandlingsoperationer og de tilhørende revisioner;
- c) at yde rådgivning, når det anmodes om, med hensyn til konsekvensanalysen for databeskyttelse og overvåge dens ydeevne i henhold til artikel 35
- d) at samarbejde med tilsynsmyndigheden;
- e) at fungere som kontaktpunkt for tilsynsmyndigheden i spørgsmål vedrørende behandling, herunder den forudgående høring som omhandlet i artikel 36, og at høre, hvor det er relevant, med hensyn til ethvert andet spørgsmål.
- Den databeskyttelsesansvarlige skal ved udførelsen af sine opgaver tage behørigt hensyn til den risiko, der er forbundet med behandlingsoperationer, under hensyntagen til behandlingens art, omfang, kontekst og formål.
Databeskyttelsesrådgiverens opgaver
- Den databeskyttelsesansvarlige skal mindst have følgende opgaver:
- a) at informere og rådgive den dataansvarlige eller databehandleren og de ansatte, der udfører behandlingen, om deres forpligtelser i henhold til denne forordning og anden national lovgivning vedrørende databeskyttelse
- (b) at overvåge overholdelsen af denne forordning, af anden national lovgivning vedrørende databeskyttelse og med den dataansvarliges eller databehandlerens politikker i forhold til beskyttelse af personoplysninger, herunder tildeling af ansvar, bevidstgørelse og uddannelse af involveret personale i behandlingsoperationer og de tilhørende revisioner;
- c) at yde rådgivning, når det anmodes om, med hensyn til konsekvensanalysen for databeskyttelse og overvåge dens ydeevne i henhold til artikel 35
- (d) at samarbejde med kommissæren;
- e) at fungere som kontaktpunkt for kommissæren i spørgsmål vedrørende behandling, herunder den forudgående høring omhandlet i artikel 36, og at konsultere, hvor det er relevant, med hensyn til ethvert andet spørgsmål.
- Den databeskyttelsesansvarlige skal ved udførelsen af sine opgaver tage behørigt hensyn til den risiko, der er forbundet med behandlingsoperationer, under hensyntagen til behandlingens art, omfang, kontekst og formål.
DPO'er bør ikke kun informere og rådgive organisationer om behandlingsaktiviteter, men også overvåge overholdelse af enhver gældende lovgivning.
En organisations udpegede DPO har også en central rolle at spille, når der opstår behov for at udføre en Data Protection Impact Assessment (DPIA).
Det er vigtigt at bemærke, at selvom rollen som en DPO er strengt bundet af fortrolighedsprincipper, er de stadig i stand til at søge vejledning og rådgivning fra regulerende og juridiske myndigheder.
I dette afsnit taler vi om GDPR artikel 39(1)(a), 39(1)(b), 39(1)(c), 39(1)(d), 39(1)(e), 39( 2)
DPO'er bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte for at opretholde et acceptabelt kompetenceniveau.
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701 7.3.2), nemlig en DPO.
Derudover bør organisationer uddelegere ansvaret til en eller flere personer for at opbygge en organisation privatlivsstyringsprogram der understøtter overholdelse af lokale og nationale PII-love og -regler.
Som en generel tilgang bør organisationer implementere periodiske træningsprogrammer (inklusive under onboarding-fasen), der passer specifikt til deres egne generelle og emnespecifikke privatlivsbeskyttelsespolitikker og PIMS-relaterede krav.
Træningsformater kan omfatte:
Personale med en specialiseret rolle at spille inden for beskyttelse af privatlivets fred – f.eks. IKT-vedligeholdelsespersonale – bør drage fordel af specialiserede uddannelsesplaner, der tager højde for den integrerede rolle, de spiller i sikringen af PII.
Uddannelsesplaner/sessioner bør afsluttes med en vurdering, der giver organisationen et top-down-billede af kompetenceniveauer på medarbejder-for-medarbejder-basis.
For at supplere træning på arbejdspladsen bør organisationer også udrulle oplysningsprogrammer om beskyttelse af privatlivets fred, der giver personalet en række materialer, der fungerer som informationspunkter om emnet PII og organisatorisk beskyttelse af privatlivets fred.
Oplysningsprogrammer kan omfatte:
Oplysningsindsatsen bør fokuseres på:
PII bør behandles som sit eget særskilte emne inden for træningsprogrammer for beskyttelse af privatlivets fred.
Personalet skal gøres akut opmærksom på de specifikke juridiske, kommercielle, omdømmemæssige og disciplinære konsekvenser, der følger af uretmæssig tilegnelse og/eller forkert håndtering af PII.
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 39 (1)(a) til 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| EU GDPR artikel 39 (1)(b) | ISO 27701 6.4.2.2 | Ingen |
Støt bredere forretningsbeslutninger. Ved at have alle dine data samlet ét sted, designet til samarbejde, vil du være bedre rustet til at træffe de rigtige beslutninger.
Vær på forkant med forandringer. Risici er ikke statiske, så dine værktøjer skal kunne tilpasse sig. Håndter ubesværet trusler og muligheder ved hjælp af et integreret og dynamisk værktøj, der forenkler identifikation, evaluering og behandling af risici på en kontinuerlig basis.
Find ud af mere ved planlægning af en demo.
