Generell databeskyttelsesforordning (GDPR) snakker mye om ansvarlighet og styring, og krever at organisasjoner er mer transparente om hva de gjør med personopplysninger.
"Det forventes at du iverksetter omfattende, men forholdsmessige styringstiltak. Gode praksisverktøy som ICO har forkjempet i lang tid som f.eks konsekvensvurderinger for personvern og personvern ved design er nå lovpålagt under visse omstendigheter.
"Informasjonskommissærens kontor"
Denne ansvarligheten og styringen krever at visse større organisasjoner ansetter en databeskyttelsesansvarlig (DPO) for å føre tilsyn med denne praksisen.
Å ansette en DPO ville åpenbart ikke være hensiktsmessig for alle organisasjoner. Så informasjonskommissærens kontor har kokt ned nødvendigheten av en DPO til følgende kategoriseringer.
Selv om organisasjonene ovenfor er lovpålagt å utnevne en DPO, kan det hende at noen virksomheter ønsker å frivillig utnevne en.
En DPO anses å være en bedriftssikkerhetsrolle som leder overholdelse av GDPR av en organisasjon.
DPOens minimumsoppgaver er definert i artikkel 39 i GDPR:
'Å informere og gi råd til organisasjonen og dens ansatte om deres forpliktelser til å overholde GDPR og annet databeskyttelse lover.'
«For å overvåke overholdelse av GDPR og andre databeskyttelseslover, inkludert styring av interne databeskyttelsesaktiviteter, gi råd om konsekvensvurderinger for databeskyttelse; trene opp ansatte og gjennomføre interne revisjoner.'
'Å være det første kontaktpunktet for tilsynsmyndigheter og for enkeltpersoner hvis data behandles (ansatte, kunder osv.).'
I tillegg til disse oppgavene må databeskyttelsesansvarlig sørge for at de rapporterer på styrenivå, eller hva det nå er det høyeste nivået i organisasjonen din. Faktisk opererer de uavhengig av organisasjonen som helhet, og må som sådan ha sin ansettelse beskyttet. Dette betyr at de ikke kan avskjediges eller straffes for bare å gjøre jobben til en DPO. I tillegg til dette må organisasjonen gi databeskyttelsesansvarlig alle ressursene de trenger for å oppfylle ovennevnte ansvar og plikter.
Selv om det ikke er noen formelle kvalifikasjoner for å bli en DPO, selv om vi har dokumentert en del offisiell opplæring på selve GDPR på vår GDPR-ressursside, må den rette kandidaten ha visse egenskaper og kunnskap.
DPO-en må ha bevist integritet og høy yrkesetikk for å kunne sikre at en organisasjon er forberedt på og deretter fortsetter å praktisere GDPR.
En skreddersydd praktisk økt basert på dine behov og mål
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang