Förstå GDPR Artikel 39: Viktiga ansvarsområden för en dataskyddsombud
GDPR Artikel 39 beskriver minimiuppsättningen av uppgifter som en uppgiftsskyddsombud måste utföra för att anses effektiv, inklusive deras skyldigheter gentemot lagen och deras interaktion med styrande myndigheter.
GDPR Artikel 39 Lagtext
EU GDPR-version
Dataskyddsombudets uppgifter
- Dataskyddsombudet ska ha minst följande uppgifter:
- (a) Att informera och ge råd till den registeransvarige eller registerföraren och de anställda som utför behandling om sina skyldigheter enligt denna förordning och andra dataskyddsbestämmelser i unionen eller medlemsstaterna.
- (b) att övervaka efterlevnaden av denna förordning, med andra bestämmelser om dataskydd i unionen eller medlemsstaterna och med den personuppgiftsansvariges eller registerförarens policy i samband med skydd av personuppgifter, inklusive ansvarsfördelning, medvetandehöjande och utbildning av personal involverad i bearbetningsoperationer och tillhörande revisioner;
- c) Att på begäran ge råd när det gäller konsekvensbedömningen av dataskyddet och övervaka dess resultat i enlighet med artikel 35.
- d) att samarbeta med tillsynsmyndigheten.
- e) att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inklusive det förhandssamråd som avses i artikel 36, och att, när så är lämpligt, samråda med avseende på alla andra frågor.
- Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till den risk som är förenad med behandlingsverksamheten, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Storbritanniens GDPR-version
Dataskyddsombudets uppgifter
- Dataskyddsombudet ska ha minst följande uppgifter:
- (a) att informera och ge råd till den registeransvarige eller registerföraren och de anställda som utför behandling om sina skyldigheter enligt denna förordning och annan nationell lagstiftning som rör dataskydd.
- (b) att övervaka efterlevnaden av denna förordning, med annan inhemsk lagstiftning som rör dataskydd och med den personuppgiftsansvariges eller registerförarens policy i samband med skydd av personuppgifter, inklusive ansvarsfördelning, medvetandehöjande och utbildning av inblandad personal i bearbetningsoperationer och tillhörande revisioner;
- c) Att på begäran ge råd när det gäller konsekvensbedömningen av dataskyddet och övervaka dess resultat i enlighet med artikel 35.
- (d) att samarbeta med kommissionären;
- e) att fungera som kontaktpunkt för kommissionären i frågor som rör behandling, inklusive det förhandssamråd som avses i artikel 36, och att, när så är lämpligt, samråda med avseende på andra frågor.
- Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till den risk som är förenad med behandlingsverksamheten, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
Dataskyddsansvariga bör inte bara informera och ge organisationer råd om bearbetningsaktiviteter, utan också övervaka efterlevnaden av all gällande lagstiftning.
En organisations utsedda uppgiftsskyddsombud har också en central roll att spela närhelst behov uppstår för att genomföra en dataskyddskonsekvensbedömning (DPIA).
Det är viktigt att notera att även om rollen som en uppgiftsskyddsombud är strikt bunden av sekretessprinciper, kan de fortfarande söka vägledning och råd från tillsynsmyndigheter och juridiska myndigheter.
ISO 27701 klausul 6.3.1.1 (Informationssäkerhetsroller och ansvarsområden) och EU GDPR artikel 39
I det här avsnittet talar vi om GDPR-artiklarna 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
DPO:er bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd för att upprätthålla en acceptabel kompetensnivå.
ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.
Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade ärenden (se ISO 27701 7.3.2), nämligen en DPO.
Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga en organisation integritetsstyrningsprogram som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.
Stöder ISO 27701 klausuler
- ISO 27701 7.3.2
ISO 27701 klausul 6.4.2.2 (informationssäkerhetsmedvetenhet, utbildning och utbildning) och EU GDPR artikel 39 (1)(b)
Som ett allmänt tillvägagångssätt bör organisationer implementera regelbundna utbildningsprogram (inklusive under introduktionsfasen) som är specifikt anpassade till deras egna allmänna och ämnesspecifika integritetsskyddspolicyer och PIMS-relaterade krav.
Utbildningsformat kan inkludera:
- eLearning.
- En-till-en konsultverksamhet.
- Personal som skuggar varandra.
- Dedikerade utbildningsseminarier som genomförs av ämnesspecifika eller generaliserade integritetsskyddsspecialister.
- Arbetsplats mentorskap.
Personal med en specialiserad roll att spela inom integritetsskydd – t.ex. personal för underhåll av IKT – bör dra nytta av specialiserade utbildningsplaner som tar hänsyn till den integrerade roll de spelar för att skydda PII.
Utbildningsplaner/sessioner bör avslutas med en bedömning som ger organisationen en top-down-vy av kompetensnivåer på anställd-för-anställd-basis.
För att komplettera arbetsplatsutbildningen bör organisationer också lansera program för medvetenhet om integritetsskydd som förser personalen med en rad material som fungerar som informationspunkter om ämnet PII och organisatoriskt integritetsskydd.
Medvetenhetsprogram kan inkludera:
- Broschyrer.
- Häften.
- Kontorsaffischer.
- Dedikerade webbplatser.
- Team briefing sessioner.
Medvetenhetsinsatser bör fokuseras på:
- Hur ledningen planerar att upprätthålla efterlevnaden av integritetsskyddet i hela organisationen och vilka de viktigaste kontaktpunkterna är för PII-relaterade frågor.
- Vilka är organisationens efterlevnadskrav, med hänsyn till lagar, myndighetsbestämmelser, avtalsförpliktelser och leverantörsavtal.
- Understryker behovet av personligt ansvar när det gäller att skydda PII, och vilka konsekvenserna blir för oavsiktliga eller avsiktliga processuella överträdelser.
- Grundläggande ICT-säkerhetsprinciper, såsom lösenordssäkerhet och incidentrapportering.
- Hur personal kan informera sig om de finare aspekterna av integritetsskydd (vidareläsning, resurslistor etc.).
PII bör behandlas som sitt eget distinkta ämne inom utbildningsprogram för integritetsskydd.
Personalen måste göras akut medveten om de specifika juridiska, kommersiella, anseende och disciplinära konsekvenser som blir följden av förskingring och/eller felaktig hantering av PII.
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 39 (1) (a) till 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| EU GDPR artikel 39 (1)(b) | ISO 27701 6.4.2.2 | Ingen |
Hur ISMS.online Hjälp
Stöd bredare affärsbeslut. Genom att ha all din data på ett ställe, designad för samarbete, blir du bättre rustad att fatta rätt beslut.
Ligg före förändring. Risker är inte statiska, så dina verktyg måste kunna anpassa sig. Ta itu med hot och möjligheter utan ansträngning med hjälp av ett integrerat och dynamiskt verktyg som förenklar identifiering, utvärdering och behandling av risker på en kontinuerlig basis.
Ta reda på mer av schemalägga en demo.
