Forståelse af GDPR Artikel 39: Nøgleansvar for en databeskyttelsesansvarlig
GDPR artikel 39 skitserer det minimumssæt af opgaver, som en DPO skal udføre for at blive betragtet som effektiv, herunder deres forpligtelser over for loven og deres interaktion med styrende myndigheder.
GDPR Artikel 39 Lovtekst
EU GDPR-version
Databeskyttelsesrådgiverens opgaver
- Den databeskyttelsesansvarlige skal mindst have følgende opgaver:
- a) at informere og rådgive den dataansvarlige eller databehandleren og de ansatte, der udfører behandling, om deres forpligtelser i henhold til denne forordning og andre EU- eller medlemsstats databeskyttelsesbestemmelser
- (b) at overvåge overholdelsen af denne forordning, andre EU- eller medlemsstats databeskyttelsesbestemmelser og med den dataansvarliges eller databehandlerens politikker i forhold til beskyttelse af personoplysninger, herunder tildeling af ansvar, bevidstgørelse og uddannelse af personale involveret i behandlingsoperationer og de tilhørende revisioner;
- c) at yde rådgivning, når det anmodes om, med hensyn til konsekvensanalysen for databeskyttelse og overvåge dens ydeevne i henhold til artikel 35
- d) at samarbejde med tilsynsmyndigheden;
- e) at fungere som kontaktpunkt for tilsynsmyndigheden i spørgsmål vedrørende behandling, herunder den forudgående høring som omhandlet i artikel 36, og at høre, hvor det er relevant, med hensyn til ethvert andet spørgsmål.
- Den databeskyttelsesansvarlige skal ved udførelsen af sine opgaver tage behørigt hensyn til den risiko, der er forbundet med behandlingsoperationer, under hensyntagen til behandlingens art, omfang, kontekst og formål.
UK GDPR-version
Databeskyttelsesrådgiverens opgaver
- Den databeskyttelsesansvarlige skal mindst have følgende opgaver:
- a) at informere og rådgive den dataansvarlige eller databehandleren og de ansatte, der udfører behandlingen, om deres forpligtelser i henhold til denne forordning og anden national lovgivning vedrørende databeskyttelse
- (b) at overvåge overholdelsen af denne forordning, af anden national lovgivning vedrørende databeskyttelse og med den dataansvarliges eller databehandlerens politikker i forhold til beskyttelse af personoplysninger, herunder tildeling af ansvar, bevidstgørelse og uddannelse af involveret personale i behandlingsoperationer og de tilhørende revisioner;
- c) at yde rådgivning, når det anmodes om, med hensyn til konsekvensanalysen for databeskyttelse og overvåge dens ydeevne i henhold til artikel 35
- (d) at samarbejde med kommissæren;
- e) at fungere som kontaktpunkt for kommissæren i spørgsmål vedrørende behandling, herunder den forudgående høring omhandlet i artikel 36, og at konsultere, hvor det er relevant, med hensyn til ethvert andet spørgsmål.
- Den databeskyttelsesansvarlige skal ved udførelsen af sine opgaver tage behørigt hensyn til den risiko, der er forbundet med behandlingsoperationer, under hensyntagen til behandlingens art, omfang, kontekst og formål.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
DPO'er bør ikke kun informere og rådgive organisationer om behandlingsaktiviteter, men også overvåge overholdelse af enhver gældende lovgivning.
En organisations udpegede DPO har også en central rolle at spille, når der opstår behov for at udføre en Data Protection Impact Assessment (DPIA).
Det er vigtigt at bemærke, at selvom rollen som en DPO er strengt bundet af fortrolighedsprincipper, er de stadig i stand til at søge vejledning og rådgivning fra regulerende og juridiske myndigheder.
ISO 27701 paragraf 6.3.1.1 (Informationssikkerhedsroller og -ansvar) og EU GDPR artikel 39
I dette afsnit taler vi om GDPR artikel 39(1)(a), 39(1)(b), 39(1)(c), 39(1)(d), 39(1)(e), 39( 2)
DPO'er bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte for at opretholde et acceptabelt kompetenceniveau.
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701 7.3.2), nemlig en DPO.
Derudover bør organisationer uddelegere ansvaret til en eller flere personer for at opbygge en organisation privatlivsstyringsprogram der understøtter overholdelse af lokale og nationale PII-love og -regler.
Understøtter ISO 27701 klausuler
- ISO 27701 7.3.2
ISO 27701 paragraf 6.4.2.2 (informationssikkerhedsbevidsthed, uddannelse og træning) og EU GDPR artikel 39 (1)(b)
Som en generel tilgang bør organisationer implementere periodiske træningsprogrammer (inklusive under onboarding-fasen), der passer specifikt til deres egne generelle og emnespecifikke privatlivsbeskyttelsespolitikker og PIMS-relaterede krav.
Træningsformater kan omfatte:
- e-læring.
- En-til-en rådgivning.
- Medarbejdere skygger for hinanden.
- Dedikerede træningsseminarer udført af emnespecifikke eller generaliserede specialister i privatlivsbeskyttelse.
- Vejledning på arbejdspladsen.
Personale med en specialiseret rolle at spille inden for beskyttelse af privatlivets fred – f.eks. IKT-vedligeholdelsespersonale – bør drage fordel af specialiserede uddannelsesplaner, der tager højde for den integrerede rolle, de spiller i sikringen af PII.
Uddannelsesplaner/sessioner bør afsluttes med en vurdering, der giver organisationen et top-down-billede af kompetenceniveauer på medarbejder-for-medarbejder-basis.
For at supplere træning på arbejdspladsen bør organisationer også udrulle oplysningsprogrammer om beskyttelse af privatlivets fred, der giver personalet en række materialer, der fungerer som informationspunkter om emnet PII og organisatorisk beskyttelse af privatlivets fred.
Oplysningsprogrammer kan omfatte:
- Foldere.
- Hæfter.
- Kontor plakater.
- Dedikerede hjemmesider.
- Team briefing sessioner.
Oplysningsindsatsen bør fokuseres på:
- Hvordan ledelsen planlægger at opretholde overholdelse af privatlivsbeskyttelse på tværs af organisationen, og hvem de vigtigste kontaktpunkter er for PII-relaterede spørgsmål.
- Hvad er organisationens compliance-krav under hensyntagen til love, regulatoriske bestemmelser, kontraktlige forpligtelser og leverandøraftaler.
- Understreger behovet for personlig ansvarlighed, når det kommer til at beskytte PII, og hvad konsekvenserne er for utilsigtede eller målrettede proceduremæssige brud.
- Grundlæggende IKT-sikkerhedsprincipper, såsom adgangskodesikkerhed og hændelsesrapportering.
- Hvordan personalet kan orientere sig om de finere aspekter af privatlivsbeskyttelse (yderligere læsning, ressourcelister osv.).
PII bør behandles som sit eget særskilte emne inden for træningsprogrammer for beskyttelse af privatlivets fred.
Personalet skal gøres akut opmærksom på de specifikke juridiske, kommercielle, omdømmemæssige og disciplinære konsekvenser, der følger af uretmæssig tilegnelse og/eller forkert håndtering af PII.
Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 39 (1)(a) til 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| EU GDPR artikel 39 (1)(b) | ISO 27701 6.4.2.2 | Ingen |
Hvordan ISMS.online Hjælp
Støt bredere forretningsbeslutninger. Ved at have alle dine data samlet ét sted, designet til samarbejde, vil du være bedre rustet til at træffe de rigtige beslutninger.
Vær på forkant med forandringer. Risici er ikke statiske, så dine værktøjer skal kunne tilpasse sig. Håndter ubesværet trusler og muligheder ved hjælp af et integreret og dynamisk værktøj, der forenkler identifikation, evaluering og behandling af risici på en kontinuerlig basis.
Find ud af mere ved planlægning af en demo.
