GDPR Artikkel 39 skisserer minimumssettet av plikter som en databeskyttelsesansvarlig må utføre for å anses som effektiv, inkludert deres forpliktelser overfor loven og deres samhandling med styrende myndigheter.
Oppgaver til personvernombudet
- Personvernombudet skal ha minst følgende oppgaver:
- (a) å informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen om sine forpliktelser i henhold til denne forordning og andre databeskyttelsesbestemmelser i EU eller medlemsstat;
- (b) å overvåke overholdelse av denne forordningen, andre EU- eller medlemsstats databeskyttelsesbestemmelser og med retningslinjer for behandlingsansvarlig eller databehandler i forhold til beskyttelse av personopplysninger, inkludert tildeling av ansvar, bevisstgjøring og opplæring av personalet involvert i behandlingsoperasjoner og relaterte revisjoner;
- (c) å gi råd når det blir bedt om det med hensyn til konsekvensvurderingen for databeskyttelse og overvåke ytelsen i henhold til artikkel 35;
- (d) å samarbeide med tilsynsmyndigheten;
- e) å fungere som kontaktpunkt for tilsynsmyndigheten i spørsmål knyttet til behandling, inkludert den forutgående konsultasjonen nevnt i artikkel 36, og konsultere, der det er hensiktsmessig, med hensyn til andre saker.
- Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoen knyttet til behandlingsoperasjoner, under hensyntagen til behandlingens art, omfang, kontekst og formål.
Oppgaver til personvernombudet
- Personvernombudet skal ha minst følgende oppgaver:
- (a) å informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen om sine forpliktelser i henhold til denne forordningen og annen nasjonal lovgivning knyttet til databeskyttelse;
- (b) å overvåke overholdelse av denne forordning, med annen nasjonal lovgivning knyttet til databeskyttelse og med retningslinjer for behandlingsansvarlig eller databehandler i forhold til beskyttelse av personopplysninger, inkludert tildeling av ansvar, bevisstgjøring og opplæring av involvert personale i behandlingsoperasjoner og tilhørende revisjoner;
- (c) å gi råd når det blir bedt om det med hensyn til konsekvensvurderingen for databeskyttelse og overvåke ytelsen i henhold til artikkel 35;
- (d) å samarbeide med kommissæren;
- (e) å fungere som kontaktpunkt for kommissæren i spørsmål knyttet til behandling, inkludert den forhåndskonsultasjonen som er nevnt i artikkel 36, og konsultere, der det er hensiktsmessig, med hensyn til andre saker.
- Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoen knyttet til behandlingsoperasjoner, under hensyntagen til behandlingens art, omfang, kontekst og formål.
Databeskyttelsesansvarlige bør ikke bare informere og gi råd til organisasjoner om behandlingsaktiviteter, men også overvåke overholdelse av gjeldende lovgivning.
En organisasjons utpekte DPO har også en sentral rolle å spille når det oppstår behov for å utføre en databeskyttelseskonsekvensvurdering (DPIA).
Det er viktig å merke seg at selv om rollen til en DPO er strengt bundet av konfidensialitetsprinsipper, er de fortsatt i stand til å søke veiledning og råd fra regulatoriske og juridiske myndigheter.
I denne delen snakker vi om GDPR artikkel 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
Databeskyttelsesansvarlige bør være dyktige nok til å utføre personvernrelaterte oppgaver, og bør tilbys kontinuerlig støtte for å opprettholde et akseptabelt kompetansenivå.
ISO erkjenner at hver organisasjon er unik i måten de behandler informasjon på. De ovennevnte ansvarsområdene bør ledsages av sted- og anleggsspesifikke retningslinjer som tar hensyn til virkelige faktorer som påvirker en organisasjons PII-behandlingsoperasjon.
Organisasjoner bør nominere en person som kunder (og eksterne myndigheter) kan bruke som et dedikert kontaktpunkt for alle PII-relaterte saker (se ISO 27701 7.3.2), nemlig en DPO.
I tillegg bør organisasjoner delegere ansvaret til en eller flere personer for å bygge en organisasjon program for personvernstyring som styrker overholdelse av lokale og nasjonale PII-lover og -forskrifter.
Som en generell tilnærming bør organisasjoner implementere periodiske opplæringsprogrammer (inkludert under innføringsfasen) som er spesielt tilpasset deres egne generelle og emnespesifikke retningslinjer for personvern, og PIMS-relaterte krav.
Opplæringsformater kan omfatte:
Personale med en spesialisert rolle å spille innen personvern – f.eks. IKT-vedlikeholdspersonale – bør dra nytte av spesialiserte opplæringsplaner som tar hensyn til den integrerte rollen de spiller i å ivareta PII.
Opplæringsplaner/-økter bør avsluttes med en vurdering som gir organisasjonen et ovenfra-og-ned-bilde av kompetansenivåer på ansatt-for-ansatt-basis.
For å utfylle opplæring på arbeidsplassen, bør organisasjoner også lansere bevisstgjøringsprogrammer for personvern som gir ansatte en rekke materialer som fungerer som informasjonspunkter om temaet PII og organisasjoners personvern.
Bevissthetsprogrammer kan omfatte:
Bevisstgjøringsarbeid bør fokuseres på:
PII bør behandles som sitt eget distinkte tema innenfor opplæringsprogrammer for personvern.
Personalet må gjøres akutt oppmerksomme på de spesifikke juridiske, kommersielle, omdømmemessige og disiplinære konsekvensene som følger av uriktig tilegnelse og/eller feilhåndtering av PII.
| GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
|---|---|---|
| EU GDPR artikkel 39 (1) (a) til 39 (2) | ISO 27701 | ISO 27701 |
| EU GDPR artikkel 39 (1)(b) | ISO 27701 | none |
Støtt bredere forretningsbeslutninger. Ved å ha alle dataene dine på ett sted, designet for samarbeid, vil du være bedre rustet til å ta de riktige avgjørelsene.
Vær i forkant av endring. Risikoer er ikke statiske, så verktøyene dine må kunne tilpasses. Håndter trusler og muligheter uanstrengt ved å bruke et integrert og dynamisk verktøy som forenkler identifisering, evaluering og behandling av risiko på kontinuerlig basis.
Finn ut mer av planlegger en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
