BBP Artikel 39 skets die minimum stel pligte wat 'n DPO moet uitvoer om as doeltreffend beskou te word, insluitend hul verpligtinge teenoor die wet en hul interaksie met beheerowerhede.
Take van die Databeskermingsbeampte
- Die databeskermingsbeampte moet ten minste die volgende take hê:
- (a) om die kontroleerder of die verwerker en die werknemers wat die verwerking uitvoer van hul verpligtinge ingevolge hierdie Regulasie en ander Unie- of Lidstaat-databeskermingsbepalings in te lig en te adviseer;
- (b) om voldoening aan hierdie Regulasie, met ander Unie- of Lidstaat-databeskermingsbepalings en met die beleid van die kontroleerder of verwerker met betrekking tot die beskerming van persoonlike data, insluitend die toewysing van verantwoordelikhede, bewusmaking en opleiding van personeel te monitor betrokke by verwerkingsbedrywighede, en die verwante oudits;
- (c) om advies te verskaf waar versoek met betrekking tot die databeskermingsimpakbeoordeling en die prestasie daarvan ooreenkomstig Artikel 35 te monitor;
- (d) om met die toesighoudende owerheid saam te werk;
- (e) om op te tree as die kontakpunt vir die toesighoudende owerheid oor kwessies wat verband hou met verwerking, insluitend die voorafgaande konsultasie waarna in Artikel 36 verwys word, en om, waar toepaslik, te konsulteer met betrekking tot enige ander aangeleentheid.
- Die databeskermingsbeampte moet in die uitvoering van sy of haar take die risiko verbonde aan verwerkingsoperasies in ag neem, met inagneming van die aard, omvang, konteks en doeleindes van verwerking.
Take van die databeskermingsbeampte
- Die databeskermingsbeampte moet ten minste die volgende take hê:
- (a) om die kontroleerder of die verwerker en die werknemers wat verwerking uitvoer van hul verpligtinge kragtens hierdie Regulasie en ander nasionale wetgewing met betrekking tot databeskerming in te lig en te adviseer;
- (b) om voldoening aan hierdie Regulasie, met ander binnelandse wetgewing met betrekking tot databeskerming en met die beleid van die kontroleerder of verwerker met betrekking tot die beskerming van persoonlike data te monitor, insluitend die toewysing van verantwoordelikhede, bewusmaking en opleiding van betrokke personeel in verwerkingsbedrywighede, en die verwante oudits;
- (c) om advies te verskaf waar versoek met betrekking tot die databeskermingsimpakbeoordeling en die prestasie daarvan ooreenkomstig Artikel 35 te monitor;
- (d) om met die Kommissaris saam te werk;
- (e) om as die kontakpunt vir die Kommissaris op te tree oor kwessies met betrekking tot verwerking, insluitend die voorafberaadslaging waarna in Artikel 36 verwys word, en om, waar toepaslik, te konsulteer met betrekking tot enige ander aangeleentheid.
- Die databeskermingsbeampte moet in die uitvoering van sy of haar take die risiko verbonde aan verwerkingsoperasies in ag neem, met inagneming van die aard, omvang, konteks en doeleindes van verwerking.
DPO's moet nie net organisasies inlig en adviseer oor verwerkingsaktiwiteite nie, maar moet ook voldoening aan enige heersende wetgewing monitor.
'n Organisasie se aangewese DPO het ook 'n sentrale rol om te speel wanneer die behoefte ontstaan om 'n die Databeskermingsimpakbepaling (DPIA) uit te voer.
Dit is belangrik om daarop te let dat hoewel die rol van 'n DPO streng gebonde is aan vertroulikheidsbeginsels, hulle steeds in staat is om leiding en advies van regulatoriese en regsowerhede in te win.
In hierdie afdeling praat ons oor GDPR Artikels 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
DPO's moet vaardig genoeg wees om privaatheidsverwante take uit te voer, en moet voortdurende ondersteuning gebied word om 'n aanvaarbare vlak van bevoegdheid te handhaaf.
ISO erken dat elke organisasie uniek is in die manier waarop hulle inligting verwerk. Bogenoemde verantwoordelikheidsareas moet vergesel word van terrein- en fasiliteitspesifieke riglyne wat werklike wêreldfaktore in ag neem wat 'n organisasie se PII-verwerkingsoperasie raak.
Organisasies moet 'n individu nomineer wat kliënte (en eksterne owerhede) as 'n toegewyde kontakpunt vir alle PII-verwante aangeleenthede kan gebruik (sien ISO 27701 7.3.2), naamlik 'n DPO.
Daarbenewens moet organisasies verantwoordelikheid delegeer aan een of meer individue vir die bou van 'n organisasie privaatheidsbeheerprogram wat die nakoming van gelokaliseerde en nasionale PII-wette en regulasies versterk.
As 'n algemene benadering moet organisasies periodieke opleidingsprogramme (insluitend tydens die aanboordfase) implementeer wat spesifiek ooreenstem met hul eie algemene en onderwerpspesifieke privaatheidsbeskermingsbeleide, en PIMS-verwante vereistes.
Opleidingsformate kan die volgende insluit:
Personeel met 'n gespesialiseerde rol om te speel in privaatheidsbeskerming – bv. IKT-instandhoudingspersoneel – behoort voordeel te trek uit gespesialiseerde opleidingsplanne wat die integrale rol wat hulle speel in die beveiliging van PII in ag neem.
Opleidingsplanne/sessies moet afgesluit word met 'n assessering wat die organisasie 'n bo-na-onder-oorsig gee van bevoegdheidsvlakke op 'n werknemer-vir-werknemer-basis.
Om opleiding in die werkplek aan te vul, moet organisasies ook bewusmakingsprogramme vir privaatheidbeskerming ontplooi wat personeel voorsien van 'n reeks materiaal wat as inligtingspunte optree oor die onderwerp van PII en organisatoriese privaatheidbeskerming.
Bewusmakingsprogramme kan die volgende insluit:
Bewusmakingspogings moet gefokus wees op:
PII moet as sy eie afsonderlike onderwerp binne privaatheidsbeskermingsopleidingsprogramme hanteer word.
Personeel moet deeglik bewus gemaak word van die spesifieke wetlike, kommersiële, reputasie- en dissiplinêre gevolge wat voortspruit uit die wanaanwending en/of wanhantering van PII.
GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
---|---|---|
EU GDPR Artikels 39 (1)(a) tot 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
EU GDPR Artikel 39 (1)(b) | ISO 27701 6.4.2.2 | Geen |
Ondersteun wyer besigheidsbesluite. Deur al jou data op een plek te hê, ontwerp vir samewerking, sal jy beter toegerus wees om die regte besluite te neem.
Bly voor verandering. Risiko's is nie staties nie, so jou gereedskap moet kan aanpas. Bedreigings en geleenthede moeiteloos aan te spreek deur 'n geïntegreerde en dinamiese instrument wat identifisering, evaluering en behandeling van risiko op 'n deurlopende basis vergemaklik.
Vind meer uit deur skeduleer 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo