Förstå DPO-krav: Efterlevnad enligt GDPR Artikel 37
Dataskyddsombud är en grundläggande komponent i alla organisationers bredare cybersäkerhetsverksamhet.
GDPR Artikel 37 betonar vikten av rollen och ger vägledning om hur en uppgiftsskyddsombud ska utses, rollens kärnaktiviteter och hur sådana utnämningar kommuniceras.
GDPR Artikel 37 Lagtext
EU GDPR-version
Utnämning av dataskyddsombud
- Den registeransvarige och registerföraren ska utse ett dataskyddsombud i alla fall där:
- a) Behandlingen utförs av en offentlig myndighet eller ett offentligt organ, med undantag för domstolar som agerar i deras dömande egenskap.
- (b) Den registeransvariges eller registerförarens kärnverksamhet består av behandlingar som på grund av sin natur, sin omfattning och/eller sina syften kräver regelbunden och systematisk övervakning av registrerade i stor skala. eller
- (c) Den registeransvariges eller registerförarens kärnverksamhet består av behandling i stor skala av särskilda kategorier av uppgifter enligt artikel 9 och personuppgifter som avser brottsdomar och brott som avses i artikel 10.
- En företagsgrupp får utse ett enda dataskyddsombud förutsatt att ett dataskyddsombud är lättillgängligt från varje anläggning.
- Om den registeransvarige eller registerföraren är en offentlig myndighet eller ett offentligt organ, kan ett enda dataskyddsombud utses för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.
- I andra fall än de som avses i punkt 1 kan den personuppgiftsansvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare eller, när så krävs enligt unions- eller medlemsstatslagstiftning, utse ett dataskyddsombud. Dataskyddsombudet kan agera för sådana föreningar och andra organ som företräder registeransvariga eller registerförare.
- Dataskyddsombudet ska utses på grundval av yrkesmässiga egenskaper och i synnerhet expertkunskaper om dataskyddslagstiftning och -praxis och förmåga att fullgöra de uppgifter som avses i artikel 39.
- Dataskyddsombudet kan vara en anställd hos den registeransvarige eller registerföraren, eller utföra uppgifterna på grundval av ett tjänsteavtal.
- Den personuppgiftsansvarige eller registerföraren ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dem till tillsynsmyndigheten.
Storbritanniens GDPR-version
Utnämning av dataskyddsombud
- Den registeransvarige och registerföraren ska utse ett dataskyddsombud i alla fall där:
- a) Behandlingen utförs av en offentlig myndighet eller ett offentligt organ, med undantag för domstolar som agerar i deras dömande egenskap.
- (b) Den registeransvariges eller registerförarens kärnverksamhet består av behandlingar som på grund av sin natur, sin omfattning och/eller sina syften kräver regelbunden och systematisk övervakning av registrerade i stor skala. eller
- (c) Den registeransvariges eller registerförarens kärnverksamhet består av behandling i stor skala av särskilda kategorier av uppgifter enligt artikel 9 och personuppgifter som avser brottsdomar och brott som avses i artikel 10.
- En företagsgrupp får utse ett enda dataskyddsombud förutsatt att ett dataskyddsombud är lättillgängligt från varje anläggning.
- Om den registeransvarige eller registerföraren är en offentlig myndighet eller ett offentligt organ, kan ett enda dataskyddsombud utses för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek.
- I andra fall än de som avses i punkt 1 får den registeransvarige eller registerföraren eller sammanslutningar och andra organ som företräder kategorier av registeransvariga eller registerförare utse ett dataskyddsombud. Dataskyddsombudet kan agera för sådana föreningar och andra organ som företräder registeransvariga eller registerförare.
- Dataskyddsombudet ska utses på grundval av yrkesmässiga egenskaper och i synnerhet expertkunskaper om dataskyddslagstiftning och -praxis och förmåga att fullgöra de uppgifter som avses i artikel 39.
- Dataskyddsombudet kan vara en anställd hos den registeransvarige eller registerföraren, eller utföra uppgifterna på grundval av ett tjänsteavtal.
- Den registeransvarige eller registerföraren ska offentliggöra kontaktuppgifterna för dataskyddsombudet och meddela dem till kommissionären.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
GDPR artikel 37 beskriver 7 nyckelområden som organisationer måste ta hänsyn till när de utser och hanterar verksamheten för en Personuppgiftsombudet:
- Den underliggande skyldigheten att utse ett dataskyddsombud.
- Rätten att utse en DPO för stora koncernföretag.
- Möjligheten för grupper av organisationer att utse en enda DPO som tillgodoser deras delade skyldigheter och organisationsstruktur.
- Särskilda omständigheter som lämpar sig för att utse en DPO (en mellanhand mellan organisationer och styrande myndigheter).
- DPO:ns expertis, inklusive all relevant juridisk och operativ erfarenhet.
- Kontrakt av DPO-uppgifter, snarare än att utse en internt.
- Att göra en dataskyddsombuds kontaktinformation tillgänglig för vem det än är som kräver dem, och som enligt lag har rätt att förvärva dem.
ISO 27701 klausul 6.3.1.1 (Informationssäkerhetsroller och ansvarsområden) och EU GDPR artikel 37
I det här avsnittet talar vi om GDPR-artiklarna 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5) ), 37 (6), 37 (7)
Organisationer bör definiera roller och ansvar som är specifika för enskilda funktioner som ingår i deras integritetsskyddspolicy – både deras allmänna policy och ämnesspecifika policyer.
Individer med specifika ansvarsområden bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd som upprätthåller en acceptabel kompetensnivå.
Ansvarsområden bör omfatta:
- Skydd av PII och alla integritetsrelaterade tillgångar.
- Utföra integritetsskyddsförfaranden.
- PII-relaterade riskhanteringsaktiviteter, inklusive korrigerande åtgärder.
- Alla som använder organisationens information och data, inklusive användning av IKT-tillgångar.
- Individer med ansvar på toppnivå för integritetsskydd delegerar uppgifter till andra.
ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.
Alla ovanstående ansvarsområden och säkerhetsområden bör vara tydligt dokumenterade och göras tillgängliga för alla relevanta personal.
Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade frågor (se ISO 27701 klausul 7.3.2).
Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga ett organisatoriskt program för sekretessstyrning som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.
Stöder ISO 27701 klausuler
- ISO 27701 7.3.2
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 37 (1) (a) till 37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Hur ISMS.online hjälper
Din kompletta GDPR-lösning.
Vår förbyggda miljö passar sömlöst in i ditt ledningssystem och gör att du kan beskriva och demonstrera ditt sätt att skydda dina europeiska och brittiska kunddata.
Med ISMS.online kan du enkelt visa en nivå av integritetsskydd som går utöver "rimligt", allt på en säker, alltid-på plats.
Ta reda på mer av boka en demo.
