GDPR Artikel 39 beskriver minimiuppsättningen av uppgifter som en uppgiftsskyddsombud måste utföra för att anses effektiv, inklusive deras skyldigheter gentemot lagen och deras interaktion med styrande myndigheter.
Dataskyddsombudets uppgifter
- Dataskyddsombudet ska ha minst följande uppgifter:
- (a) Att informera och ge råd till den registeransvarige eller registerföraren och de anställda som utför behandling om sina skyldigheter enligt denna förordning och andra dataskyddsbestämmelser i unionen eller medlemsstaterna.
- (b) att övervaka efterlevnaden av denna förordning, med andra bestämmelser om dataskydd i unionen eller medlemsstaterna och med den personuppgiftsansvariges eller registerförarens policy i samband med skydd av personuppgifter, inklusive ansvarsfördelning, medvetandehöjande och utbildning av personal involverad i bearbetningsoperationer och tillhörande revisioner;
- c) Att på begäran ge råd när det gäller konsekvensbedömningen av dataskyddet och övervaka dess resultat i enlighet med artikel 35.
- d) att samarbeta med tillsynsmyndigheten.
- e) att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inklusive det förhandssamråd som avses i artikel 36, och att, när så är lämpligt, samråda med avseende på alla andra frågor.
- Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till den risk som är förenad med behandlingsverksamheten, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Dataskyddsombudets uppgifter
- Dataskyddsombudet ska ha minst följande uppgifter:
- (a) att informera och ge råd till den registeransvarige eller registerföraren och de anställda som utför behandling om sina skyldigheter enligt denna förordning och annan nationell lagstiftning som rör dataskydd.
- (b) att övervaka efterlevnaden av denna förordning, med annan inhemsk lagstiftning som rör dataskydd och med den personuppgiftsansvariges eller registerförarens policy i samband med skydd av personuppgifter, inklusive ansvarsfördelning, medvetandehöjande och utbildning av inblandad personal i bearbetningsoperationer och tillhörande revisioner;
- c) Att på begäran ge råd när det gäller konsekvensbedömningen av dataskyddet och övervaka dess resultat i enlighet med artikel 35.
- (d) att samarbeta med kommissionären;
- e) att fungera som kontaktpunkt för kommissionären i frågor som rör behandling, inklusive det förhandssamråd som avses i artikel 36, och att, när så är lämpligt, samråda med avseende på andra frågor.
- Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till den risk som är förenad med behandlingsverksamheten, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Dataskyddsansvariga bör inte bara informera och ge organisationer råd om bearbetningsaktiviteter, utan också övervaka efterlevnaden av all gällande lagstiftning.
En organisations utsedda uppgiftsskyddsombud har också en central roll att spela närhelst behov uppstår för att genomföra en dataskyddskonsekvensbedömning (DPIA).
Det är viktigt att notera att även om rollen som en uppgiftsskyddsombud är strikt bunden av sekretessprinciper, kan de fortfarande söka vägledning och råd från tillsynsmyndigheter och juridiska myndigheter.
I det här avsnittet talar vi om GDPR-artiklarna 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
DPO:er bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd för att upprätthålla en acceptabel kompetensnivå.
ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.
Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade ärenden (se ISO 27701 7.3.2), nämligen en DPO.
Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga en organisation integritetsstyrningsprogram som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.
Som ett allmänt tillvägagångssätt bör organisationer implementera regelbundna utbildningsprogram (inklusive under introduktionsfasen) som är specifikt anpassade till deras egna allmänna och ämnesspecifika integritetsskyddspolicyer och PIMS-relaterade krav.
Utbildningsformat kan inkludera:
Personal med en specialiserad roll att spela inom integritetsskydd – t.ex. personal för underhåll av IKT – bör dra nytta av specialiserade utbildningsplaner som tar hänsyn till den integrerade roll de spelar för att skydda PII.
Utbildningsplaner/sessioner bör avslutas med en bedömning som ger organisationen en top-down-vy av kompetensnivåer på anställd-för-anställd-basis.
För att komplettera arbetsplatsutbildningen bör organisationer också lansera program för medvetenhet om integritetsskydd som förser personalen med en rad material som fungerar som informationspunkter om ämnet PII och organisatoriskt integritetsskydd.
Medvetenhetsprogram kan inkludera:
Medvetenhetsinsatser bör fokuseras på:
PII bör behandlas som sitt eget distinkta ämne inom utbildningsprogram för integritetsskydd.
Personalen måste göras akut medveten om de specifika juridiska, kommersiella, anseende och disciplinära konsekvenser som blir följden av förskingring och/eller felaktig hantering av PII.
GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
---|---|---|
EU GDPR artiklarna 39 (1) (a) till 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
EU GDPR artikel 39 (1)(b) | ISO 27701 6.4.2.2 | Ingen |
Stöd bredare affärsbeslut. Genom att ha all din data på ett ställe, designad för samarbete, blir du bättre rustad att fatta rätt beslut.
Ligg före förändring. Risker är inte statiska, så dina verktyg måste kunna anpassa sig. Ta itu med hot och möjligheter utan ansträngning med hjälp av ett integrerat och dynamiskt verktyg som förenklar identifiering, utvärdering och behandling av risker på en kontinuerlig basis.
Ta reda på mer av schemalägga en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo