Hur man visar efterlevnad av GDPR artikel 39

Dataskyddsombudets uppgifter

Boka en demo

topp,vy,affärer,människor,arbete,hemifrån,använder,bärbar dator,på

GDPR Artikel 39 beskriver minimiuppsättningen av uppgifter som en uppgiftsskyddsombud måste utföra för att anses effektiv, inklusive deras skyldigheter gentemot lagen och deras interaktion med styrande myndigheter.

GDPR Artikel 39 Lagtext

EU GDPR-version

Dataskyddsombudets uppgifter

  1. Dataskyddsombudet ska ha minst följande uppgifter:

    • (a) Att informera och ge råd till den registeransvarige eller registerföraren och de anställda som utför behandling om sina skyldigheter enligt denna förordning och andra dataskyddsbestämmelser i unionen eller medlemsstaterna.

    • (b) att övervaka efterlevnaden av denna förordning, med andra bestämmelser om dataskydd i unionen eller medlemsstaterna och med den personuppgiftsansvariges eller registerförarens policy i samband med skydd av personuppgifter, inklusive ansvarsfördelning, medvetandehöjande och utbildning av personal involverad i bearbetningsoperationer och tillhörande revisioner;

    • c) Att på begäran ge råd när det gäller konsekvensbedömningen av dataskyddet och övervaka dess resultat i enlighet med artikel 35.

    • d) att samarbeta med tillsynsmyndigheten.

    • e) att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inklusive det förhandssamråd som avses i artikel 36, och att, när så är lämpligt, samråda med avseende på alla andra frågor.

  2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till den risk som är förenad med behandlingsverksamheten, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Storbritanniens GDPR-version

Dataskyddsombudets uppgifter

  1. Dataskyddsombudet ska ha minst följande uppgifter:

    • (a) att informera och ge råd till den registeransvarige eller registerföraren och de anställda som utför behandling om sina skyldigheter enligt denna förordning och annan nationell lagstiftning som rör dataskydd.

    • (b) att övervaka efterlevnaden av denna förordning, med annan inhemsk lagstiftning som rör dataskydd och med den personuppgiftsansvariges eller registerförarens policy i samband med skydd av personuppgifter, inklusive ansvarsfördelning, medvetandehöjande och utbildning av inblandad personal i bearbetningsoperationer och tillhörande revisioner;

    • c) Att på begäran ge råd när det gäller konsekvensbedömningen av dataskyddet och övervaka dess resultat i enlighet med artikel 35.

    • (d) att samarbeta med kommissionären;

    • e) att fungera som kontaktpunkt för kommissionären i frågor som rör behandling, inklusive det förhandssamråd som avses i artikel 36, och att, när så är lämpligt, samråda med avseende på andra frågor.

  2. Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till den risk som är förenad med behandlingsverksamheten, med beaktande av behandlingens art, omfattning, sammanhang och syften.
Hoppa till ämne
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

Teknisk kommentar

Dataskyddsansvariga bör inte bara informera och ge organisationer råd om bearbetningsaktiviteter, utan också övervaka efterlevnaden av all gällande lagstiftning.

En organisations utsedda uppgiftsskyddsombud har också en central roll att spela närhelst behov uppstår för att genomföra en dataskyddskonsekvensbedömning (DPIA).

Det är viktigt att notera att även om rollen som en uppgiftsskyddsombud är strikt bunden av sekretessprinciper, kan de fortfarande söka vägledning och råd från tillsynsmyndigheter och juridiska myndigheter.

ISO 27701 klausul 6.3.1.1 (Informationssäkerhetsroller och ansvarsområden) och EU GDPR artikel 39

I det här avsnittet talar vi om GDPR-artiklarna 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)

DPO:er bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd för att upprätthålla en acceptabel kompetensnivå.

ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.

Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade ärenden (se ISO 27701 7.3.2), nämligen en DPO.

Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga en organisation integritetsstyrningsprogram som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.

Stöder ISO 27701 klausuler

  • ISO 27701 7.3.2

ISO 27701 klausul 6.4.2.2 (informationssäkerhetsmedvetenhet, utbildning och utbildning) och EU GDPR artikel 39 (1)(b)

Som ett allmänt tillvägagångssätt bör organisationer implementera regelbundna utbildningsprogram (inklusive under introduktionsfasen) som är specifikt anpassade till deras egna allmänna och ämnesspecifika integritetsskyddspolicyer och PIMS-relaterade krav.

Utbildningsformat kan inkludera:

  • eLearning.

  • En-till-en konsultverksamhet.

  • Personal som skuggar varandra.

  • Dedikerade utbildningsseminarier som genomförs av ämnesspecifika eller generaliserade integritetsskyddsspecialister.

  • Arbetsplats mentorskap.

Personal med en specialiserad roll att spela inom integritetsskydd – t.ex. personal för underhåll av IKT – bör dra nytta av specialiserade utbildningsplaner som tar hänsyn till den integrerade roll de spelar för att skydda PII.

Utbildningsplaner/sessioner bör avslutas med en bedömning som ger organisationen en top-down-vy av kompetensnivåer på anställd-för-anställd-basis.

För att komplettera arbetsplatsutbildningen bör organisationer också lansera program för medvetenhet om integritetsskydd som förser personalen med en rad material som fungerar som informationspunkter om ämnet PII och organisatoriskt integritetsskydd.

Medvetenhetsprogram kan inkludera:

  • Broschyrer.

  • Häften.

  • Kontorsaffischer.

  • Dedikerade webbplatser.

  • Team briefing sessioner.

Medvetenhetsinsatser bör fokuseras på:

  • Hur ledningen planerar att upprätthålla efterlevnaden av integritetsskyddet i hela organisationen och vilka de viktigaste kontaktpunkterna är för PII-relaterade frågor.

  • Vilka är organisationens efterlevnadskrav, med hänsyn till lagar, myndighetsbestämmelser, avtalsförpliktelser och leverantörsavtal.

  • Understryker behovet av personligt ansvar när det gäller att skydda PII, och vilka konsekvenserna blir för oavsiktliga eller avsiktliga processuella överträdelser.

  • Grundläggande ICT-säkerhetsprinciper, såsom lösenordssäkerhet och incidentrapportering.

  • Hur personal kan informera sig om de finare aspekterna av integritetsskydd (vidareläsning, resurslistor etc.).

PII bör behandlas som sitt eget distinkta ämne inom utbildningsprogram för integritetsskydd.

Personalen måste göras akut medveten om de specifika juridiska, kommersiella, anseende och disciplinära konsekvenser som blir följden av förskingring och/eller felaktig hantering av PII.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artiklarna 39 (1) (a) till 39 (2)ISO 27701 6.3.1.1ISO 27701 7.3.2
EU GDPR artikel 39 (1)(b)ISO 27701 6.4.2.2Ingen

Hur ISMS.online Hjälp

Stöd bredare affärsbeslut. Genom att ha all din data på ett ställe, designad för samarbete, blir du bättre rustad att fatta rätt beslut.

Ligg före förändring. Risker är inte statiska, så dina verktyg måste kunna anpassa sig. Ta itu med hot och möjligheter utan ansträngning med hjälp av ett integrerat och dynamiskt verktyg som förenklar identifiering, utvärdering och behandling av risker på en kontinuerlig basis.

Ta reda på mer av schemalägga en demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer