Hoe om voldoening aan GDPR Artikel 37 te demonstreer

GDPR Article 37 compliance explains when organisations must appoint a Data Protection Officer (DPO), outlining key criteria such as public authorities, large-scale monitoring, and processing of special category data, while emphasising the DPO’s required expertise and

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 10 Maart 2025
LinkedIn Twitter Twitter

Understanding DPO Requirements: Compliance Under GDPR Article 37

Databeskermingsbeamptes is 'n fundamentele komponent van enige organisasie se breër kuberveiligheidsoperasie.

BBP Artikel 37 beklemtoon die belangrikheid van die rol, en bied leiding oor hoe 'n DPO aangestel moet word, die kernaktiwiteite van die rol, en hoe sulke aanstellings gekommunikeer word.

GDPR Artikel 37 Regstekst

EU GDPR weergawe

Aanwysing van die Databeskermingsbeampte

  1. Die kontroleerder en die verwerker sal 'n databeskermingsbeampte aanwys in enige geval waar:

    • (a) die verwerking deur 'n openbare owerheid of liggaam uitgevoer word, behalwe vir howe wat in hul regterlike hoedanigheid optree;
    • (b) die kernaktiwiteite van die kontroleerder of die verwerker bestaan ​​uit verwerkingsbedrywighede wat, uit hoofde van hul aard, hul omvang en/of hul doeleindes, gereelde en sistematiese monitering van datasubjekte op groot skaal vereis; of
    • (c) die kernaktiwiteite van die kontroleerder of die verwerker bestaan ​​uit die verwerking op 'n groot skaal van spesiale kategorieë data ingevolge Artikel 9 en persoonlike data met betrekking tot kriminele skuldigbevindings en misdrywe waarna in Artikel 10 verwys word.
  2. 'n Groep ondernemings kan 'n enkele databeskermingsbeampte aanstel mits 'n databeskermingsbeampte maklik toeganklik is vanaf elke onderneming.
  3. Waar die kontroleerder of die verwerker 'n openbare owerheid of liggaam is, kan 'n enkele databeskermingsbeampte vir verskeie sulke owerhede of liggame aangewys word, met inagneming van hul organisatoriese struktuur en grootte.
  4. In ander gevalle as dié waarna in paragraaf 1 verwys word, kan die kontroleerder of verwerker of verenigings en ander liggame wat kategorieë van beheerders of verwerkers verteenwoordig of, waar dit deur die wet van die Unie of die lidstaat vereis word, 'n databeskermingsbeampte aanwys. Die databeskermingsbeampte kan vir sulke verenigings en ander liggame optree wat beheerders of verwerkers verteenwoordig.
  5. Die databeskermingsbeampte sal aangewys word op grond van professionele kwaliteite en, in die besonder, kundige kennis van databeskermingswetgewing en -praktyke en die vermoë om die take na verwys in Artikel 39 te vervul.
  6. Die databeskermingsbeampte kan 'n personeellid van die kontroleerder of verwerker wees, of die take op grond van 'n dienskontrak vervul.
  7. Die kontroleerder of die verwerker sal die kontakbesonderhede van die databeskermingsbeampte publiseer en dit aan die toesighoudende owerheid kommunikeer.

Britse GDPR-weergawe

Aanwysing van die Databeskermingsbeampte

  1. Die kontroleerder en die verwerker sal 'n databeskermingsbeampte aanwys in enige geval waar:

    • (a) die verwerking deur 'n openbare owerheid of liggaam uitgevoer word, behalwe vir howe wat in hul regterlike hoedanigheid optree;
    • (b) die kernaktiwiteite van die kontroleerder of die verwerker bestaan ​​uit verwerkingsbedrywighede wat, uit hoofde van hul aard, hul omvang en/of hul doeleindes, gereelde en sistematiese monitering van datasubjekte op groot skaal vereis; of
    • (c) die kernaktiwiteite van die kontroleerder of die verwerker bestaan ​​uit die verwerking op 'n groot skaal van spesiale kategorieë data ingevolge Artikel 9 en persoonlike data met betrekking tot kriminele skuldigbevindings en misdrywe waarna in Artikel 10 verwys word.
  2. 'n Groep ondernemings kan 'n enkele databeskermingsbeampte aanstel mits 'n databeskermingsbeampte maklik toeganklik is vanaf elke onderneming.
  3. Waar die kontroleerder of die verwerker 'n openbare owerheid of liggaam is, kan 'n enkele databeskermingsbeampte vir verskeie sulke owerhede of liggame aangewys word, met inagneming van hul organisatoriese struktuur en grootte.
  4. In ander gevalle as dié waarna in paragraaf 1 verwys word, kan die beheerder of verwerker of verenigings en ander liggame wat kategorieë beheerders of verwerkers verteenwoordig, 'n databeskermingsbeampte aanwys. Die databeskermingsbeampte kan vir sulke verenigings en ander liggame optree wat beheerders of verwerkers verteenwoordig.
  5. Die databeskermingsbeampte sal aangewys word op grond van professionele kwaliteite en, in die besonder, kundige kennis van databeskermingswetgewing en -praktyke en die vermoë om die take na verwys in Artikel 39 te vervul.
  6. Die databeskermingsbeampte kan 'n personeellid van die kontroleerder of verwerker wees, of die take op grond van 'n dienskontrak vervul.
  7. Die kontroleerder of die verwerker sal die kontakbesonderhede van die databeskermingsbeampte publiseer en dit aan die Kommissaris kommunikeer.


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Tegniese Kommentaar

GDPR Artikel 37 skets 7 sleutelareas wat organisasies in ag moet neem wanneer hulle die aktiwiteite van 'n aanstelling en bestuur Data Protection Beampte:

  1. Die onderliggende verpligting om 'n Databeskermingsbeampte aan te stel.
  2. Die reg om 'n DPO vir groot groepondernemings aan te stel.
  3. Die vermoë vir groepe organisasies om 'n enkele DPO aan te stel wat voldoen aan hul gedeelde verpligtinge en organisasiestruktuur.
  4. Spesiale omstandighede wat hulle leen tot die aanstelling van 'n DPO ('n tussenganger tussen organisasies en beheerowerhede).
  5. Die kundigheid van die DPO, insluitend enige relevante regs- en operasionele ervaring.
  6. Kontraktering van DPO-pligte, eerder as om een ​​intern aan te stel.
  7. Om 'n DPO's se kontakbesonderhede beskikbaar te stel aan wie dit ook al is wat dit vereis, en wettiglik toegelaat word om dit te bekom.

ISO 27701 Klousule 6.3.1.1 (Inligtingsekerheidsrolle en -verantwoordelikhede) en EU GDPR Artikel 37

In hierdie afdeling praat ons oor GDPR Artikels 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5) ), 37 (6), 37 (7)

Organisasies moet rolle en verantwoordelikhede definieer wat spesifiek is vir individuele funksies wat binne hul privaatheidsbeskermingsbeleid vervat is – beide hul algemene beleid en onderwerpspesifieke beleide.

Individue met spesifieke verantwoordelikhede moet vaardig genoeg wees om privaatheidverwante take uit te voer, en moet voortdurende ondersteuning gebied word wat 'n aanvaarbare vlak van bevoegdheid handhaaf.

Verantwoordelikheidsareas moet die volgende insluit:

  • Die beskerming van PII en enige privaatheidsverwante bates.
  • Voer privaatheidsbeskermingsprosedures uit.
  • PII-verwante risikobestuursaktiwiteite, insluitend regstellende aksies.
  • Enigeen wat die organisasie se inligting en data gebruik, insluitend die gebruik van IKT-bates.
  • Individue met verantwoordelikheid op die hoogste vlak vir privaatheidsbeskerming wat take aan ander delegeer.

ISO erken dat elke organisasie uniek is in die manier waarop hulle inligting verwerk. Bogenoemde verantwoordelikheidsareas moet vergesel word van terrein- en fasiliteitspesifieke riglyne wat werklike wêreldfaktore in ag neem wat 'n organisasie se PII-verwerkingsoperasie raak.

Al die bogenoemde verantwoordelikhede en sekuriteitsareas moet duidelik gedokumenteer word en aan alle relevante personeellede beskikbaar gestel word.

Organisasies moet 'n individu nomineer wat kliënte (en eksterne owerhede) as 'n toegewyde kontakpunt vir alle PII-verwante aangeleenthede kan gebruik (sien ISO 27701 Klousule 7.3.2).

Daarbenewens moet organisasies verantwoordelikheid delegeer aan een of meer individue vir die bou van 'n organisatoriese privaatheidbestuursprogram wat die nakoming van gelokaliseerde en nasionale PII-wette en regulasies versterk.

Ondersteun ISO 27701-klousules

  • ISO 27701 7.3.2

Indeks van gekoppelde EU GDPR-artikels en ISO 27701-klousules

GDPR artikelISO 27701-klousuleISO 27701 Ondersteunende klousules
EU GDPR Artikels 37 (1)(a) tot 37 (7) ISO 27701 6.3.1.1 ISO 27701 7.3.2

Hoe ISMS.online help

Jou volledige GDPR-oplossing.

Ons voorafgeboude omgewing pas naatloos by jou bestuurstelsel in en stel jou in staat om jou benadering tot die beskerming van jou Europese en Britse klantdata te beskryf en te demonstreer.

Met ISMS.online kan jy maklik 'n vlak van privaatheidbeskerming demonstreer wat verder gaan as 'redelik', alles op een veilige, altyd-aan-plek.

Vind meer uit deur bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!