Hvordan demonstrere samsvar med GDPR artikkel 37

Utpeking av personvernombudet

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Databeskyttelsesansvarlige er en grunnleggende komponent i enhver organisasjons bredere cybersikkerhetsoperasjon.

GDPR Artikkel 37 understreker viktigheten av rollen, og gir veiledning om hvordan en DPO bør utnevnes, rollens kjerneaktiviteter og hvordan slike ansettelser kommuniseres.

GDPR artikkel 37 juridisk tekst

EU GDPR-versjon

Utpeking av personvernombudet

  1. Den behandlingsansvarlige og databehandleren skal utpeke et databeskyttelsesansvarlig i alle tilfeller der:

    • (a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, med unntak av domstoler som handler i deres dømmende egenskap;

    • (b) den behandlingsansvarliges eller databehandlerens kjerneaktiviteter består av behandlingsoperasjoner som i kraft av sin natur, omfang og/eller formål krever regelmessig og systematisk overvåking av registrerte i stor skala; eller

    • (c) den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av spesielle kategorier av data i henhold til artikkel 9 og personopplysninger knyttet til straffedommer og lovbrudd nevnt i artikkel 10.

  2. En gruppe foretak kan utnevne et enkelt personvernombud forutsatt at et personvernombud er lett tilgjengelig fra hver virksomhet.

  3. Der den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ, kan en enkelt personvernombud utpekes for flere slike myndigheter eller organer, under hensyntagen til deres organisasjonsstruktur og størrelse.

  4. I andre tilfeller enn de som er nevnt i nr. 1, kan den behandlingsansvarlige eller databehandleren eller sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, eller, der det kreves av unions- eller medlemsstatslovgivningen, utpeke et personvernombud. Databeskyttelsesansvarlig kan opptre for slike foreninger og andre organer som representerer behandlingsansvarlige eller databehandlere.

  5. Personvernombudet skal utpekes på grunnlag av faglige egenskaper og særlig ekspertkunnskap om personvernlovgivning og -praksis og evne til å utføre oppgavene nevnt i artikkel 39.

  6. Personvernombudet kan være en ansatt hos behandlingsansvarlig eller databehandler, eller utføre oppgavene på grunnlag av en tjenestekontrakt.

  7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til personvernombudet og formidle dem til tilsynsmyndigheten.

UK GDPR-versjon

Utpeking av personvernombudet

  1. Den behandlingsansvarlige og databehandleren skal utpeke et databeskyttelsesansvarlig i alle tilfeller der:

    • (a) behandlingen utføres av en offentlig myndighet eller et offentlig organ, med unntak av domstoler som handler i deres dømmende egenskap;

    • (b) den behandlingsansvarliges eller databehandlerens kjerneaktiviteter består av behandlingsoperasjoner som i kraft av sin natur, omfang og/eller formål krever regelmessig og systematisk overvåking av registrerte i stor skala; eller

    • (c) den behandlingsansvarliges eller databehandlerens kjernevirksomhet består av behandling i stor skala av spesielle kategorier av data i henhold til artikkel 9 og personopplysninger knyttet til straffedommer og lovbrudd nevnt i artikkel 10.

  2. En gruppe foretak kan utnevne et enkelt personvernombud forutsatt at et personvernombud er lett tilgjengelig fra hver virksomhet.

  3. Der den behandlingsansvarlige eller databehandleren er en offentlig myndighet eller et offentlig organ, kan en enkelt personvernombud utpekes for flere slike myndigheter eller organer, under hensyntagen til deres organisasjonsstruktur og størrelse.

  4. I andre tilfeller enn de som er nevnt i nr. 1, kan den behandlingsansvarlige eller databehandleren eller sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere utpeke en personvernombud. Databeskyttelsesansvarlig kan opptre for slike foreninger og andre organer som representerer behandlingsansvarlige eller databehandlere.

  5. Personvernombudet skal utpekes på grunnlag av faglige egenskaper og særlig ekspertkunnskap om personvernlovgivning og -praksis og evne til å utføre oppgavene nevnt i artikkel 39.

  6. Personvernombudet kan være en ansatt hos behandlingsansvarlig eller databehandler, eller utføre oppgavene på grunnlag av en tjenestekontrakt.

  7. Den behandlingsansvarlige eller databehandleren skal offentliggjøre kontaktopplysningene til personvernombudet og kommunisere dem til kommissæren.
Gå til emnet

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

Teknisk kommentar

GDPR artikkel 37 skisserer 7 nøkkelområder som organisasjoner må ta i betraktning når de utnevner og administrerer aktivitetene til en Data Protection Officer:

  1. Den underliggende forpliktelsen til å utnevne en personvernombud.

  2. Rett til å utpeke en DPO for store konsernforetak.

  3. Muligheten for grupper av organisasjoner til å utnevne en enkelt DPO som ivaretar deres delte forpliktelser og organisasjonsstruktur.

  4. Spesielle forhold som gjør det mulig å utnevne en DPO (en mellommann mellom organisasjoner og styrende myndigheter).

  5. Kompetansen til DPO, inkludert relevant juridisk og operasjonell erfaring.

  6. Kontraherende DPO-oppgaver, i stedet for å utnevne en internt.

  7. Å gjøre en DPOs kontaktinformasjon tilgjengelig for hvem det enn er som krever dem, og som har lov til å skaffe dem.

ISO 27701 klausul 6.3.1.1 (Informasjonssikkerhetsroller og -ansvar) og EU GDPR artikkel 37

I denne delen snakker vi om GDPR artikkel 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5) ), 37 (6), 37 (7)

Organisasjoner bør definere roller og ansvar som er spesifikke for individuelle funksjoner i deres retningslinjer for personvern - både deres generelle retningslinjer og emnespesifikke retningslinjer.

Personer med spesifikke ansvarsområder bør være dyktige nok til å utføre personvernrelaterte oppgaver, og bør tilbys kontinuerlig støtte som opprettholder et akseptabelt kompetansenivå.

Ansvarsområder bør omfatte:

  • Beskyttelse av PII og eventuelle personvernrelaterte eiendeler.

  • Utføre personvernprosedyrer.

  • PII-relaterte risikostyringsaktiviteter, inkludert korrigerende tiltak.

  • Alle som bruker organisasjonens informasjon og data, herunder bruk av IKT-midler.

  • Personer med toppnivåansvar for personvern som delegerer oppgaver til andre.

ISO erkjenner at hver organisasjon er unik i måten de behandler informasjon på. De ovennevnte ansvarsområdene bør ledsages av sted- og anleggsspesifikke retningslinjer som tar hensyn til virkelige faktorer som påvirker en organisasjons PII-behandlingsoperasjon.

Alle de ovennevnte ansvarsområdene og sikkerhetsområdene bør være tydelig dokumentert og gjøres tilgjengelig for alle relevante ansatte.

Organisasjoner bør nominere en person som kunder (og eksterne myndigheter) kan bruke som et dedikert kontaktpunkt for alle PII-relaterte saker (se ISO 27701 klausul 7.3.2).

I tillegg bør organisasjoner delegere ansvar til en eller flere enkeltpersoner for å bygge et organisatorisk program for personvernstyring som styrker overholdelse av lokaliserte og nasjonale PII-lover og -forskrifter.

Støtter ISO 27701 klausuler

  • ISO 27701

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 37 (1) (a) til 37 (7)ISO 27701ISO 27701

Hvordan ISMS.online hjelper

Din komplette GDPR-løsning.

Vårt forhåndsbygde miljø passer sømløst inn i styringssystemet ditt og lar deg beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata.

Med ISMS.online kan du enkelt demonstrere et nivå av personvern som går utover "rimelig", alt på ett sikkert sted som alltid er på.

Finn ut mer av bestille en demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer