DSGVO Artikel 39 verstehen: Hauptverantwortlichkeiten eines Datenschutzbeauftragten
Datenschutz Artikel 39 beschreibt die Mindestpflichten, die ein Datenschutzbeauftragter erfüllen muss, um als wirksam zu gelten, einschließlich seiner Pflichten gegenüber dem Gesetz und seiner Interaktion mit den Regierungsbehörden.
DSGVO Artikel 39 Gesetzestext
EU-DSGVO-Version
Aufgaben des Datenschutzbeauftragten
- Der Datenschutzbeauftragte hat mindestens folgende Aufgaben:
- (a) den Verantwortlichen oder den Auftragsverarbeiter und die Mitarbeiter, die die Verarbeitung durchführen, über ihre Pflichten gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten zu informieren und zu beraten;
- (b) die Einhaltung dieser Verordnung, anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten sowie der Richtlinien des Verantwortlichen oder Auftragsverarbeiters in Bezug auf den Schutz personenbezogener Daten zu überwachen, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des Personals an Verarbeitungsvorgängen und den damit verbundenen Prüfungen beteiligt;
- (c) auf Anfrage Beratung in Bezug auf die Datenschutz-Folgenabschätzung zu leisten und deren Leistung gemäß Artikel 35 zu überwachen;
- (d) mit der Aufsichtsbehörde zusammenzuarbeiten;
- (e) als Kontaktstelle für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung zu fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls in Bezug auf alle anderen Angelegenheiten zu konsultieren.
- Der Datenschutzbeauftragte muss bei der Wahrnehmung seiner Aufgaben das mit den Verarbeitungsvorgängen verbundene Risiko angemessen berücksichtigen und dabei Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigen.
Britische DSGVO-Version
Aufgaben des Datenschutzbeauftragten
- Der Datenschutzbeauftragte hat mindestens folgende Aufgaben:
- (a) den Verantwortlichen oder den Auftragsverarbeiter und die Mitarbeiter, die die Verarbeitung durchführen, über ihre Pflichten gemäß dieser Verordnung und anderen nationalen Datenschutzgesetzen zu informieren und zu beraten;
- (b) die Einhaltung dieser Verordnung, anderer innerstaatlicher Datenschutzgesetze und der Richtlinien des Verantwortlichen oder Auftragsverarbeiters in Bezug auf den Schutz personenbezogener Daten zu überwachen, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des beteiligten Personals bei Verarbeitungsvorgängen und den damit verbundenen Prüfungen;
- (c) auf Anfrage Beratung in Bezug auf die Datenschutz-Folgenabschätzung zu leisten und deren Leistung gemäß Artikel 35 zu überwachen;
- (d) mit dem Kommissar zusammenzuarbeiten;
- (e) als Kontaktstelle für das Kommissionsmitglied in Fragen der Verarbeitung zu fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Konsultationen zu allen anderen Angelegenheiten durchzuführen.
- Der Datenschutzbeauftragte muss bei der Wahrnehmung seiner Aufgaben das mit den Verarbeitungsvorgängen verbundene Risiko angemessen berücksichtigen und dabei Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Technischer Kommentar
Datenschutzbeauftragte sollten Organisationen nicht nur über Verarbeitungsaktivitäten informieren und beraten, sondern auch die Einhaltung aller geltenden Gesetze überwachen.
Der von einer Organisation benannte Datenschutzbeauftragte spielt auch eine zentrale Rolle, wenn die Notwendigkeit besteht, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
Es ist wichtig zu beachten, dass die Rolle eines Datenschutzbeauftragten zwar streng an die Vertraulichkeitsgrundsätze gebunden ist, er jedoch dennoch die Möglichkeit hat, sich von Regulierungs- und Justizbehörden beraten zu lassen.
ISO 27701 Abschnitt 6.3.1.1 (Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit) und EU-DSGVO Artikel 39
In diesem Abschnitt sprechen wir über die DSGVO-Artikel 39 (1)(a), 39 (1)(b), 39 (1)(c), 39 (1)(d), 39 (1)(e), 39 ( 2)
Datenschutzbeauftragte sollten ausreichend qualifiziert sein, um datenschutzbezogene Aufgaben auszuführen, und ihnen sollte kontinuierliche Unterstützung angeboten werden, um ein akzeptables Kompetenzniveau aufrechtzuerhalten.
ISO erkennt an, dass jede Organisation in der Art und Weise, wie sie Informationen verarbeitet, einzigartig ist. Die oben genannten Verantwortungsbereiche sollten von standort- und einrichtungsspezifischen Richtlinien begleitet werden, die reale Faktoren berücksichtigen, die sich auf den PII-Verarbeitungsvorgang einer Organisation auswirken.
Organisationen sollten eine Person benennen, die Kunden (und externen Behörden) als dedizierter Ansprechpartner für alle PII-bezogenen Angelegenheiten nutzen kann (siehe ISO 27701 7.3.2), nämlich einen DPO.
Darüber hinaus sollten Organisationen die Verantwortung für den Aufbau einer Organisation an eine oder mehrere Personen delegieren Datenschutz-Governance-Programm Dies stärkt die Einhaltung lokaler und nationaler PII-Gesetze und -Vorschriften.
Unterstützende ISO 27701-Klauseln
- ISO 27701 7.3.2
ISO 27701 Abschnitt 6.4.2.2 (Informationssicherheitsbewusstsein, Aus- und Weiterbildung) und EU-DSGVO Artikel 39 (1)(b)
Als allgemeinen Ansatz sollten Organisationen regelmäßige Schulungsprogramme implementieren (auch während der Onboarding-Phase), die speziell auf ihre eigenen allgemeinen und themenspezifischen Datenschutzrichtlinien und PIMS-bezogenen Anforderungen abgestimmt sind.
Zu den Schulungsformaten können gehören:
- E-Learning.
- Individuelle Beratung.
- Mitarbeiter beschatten sich gegenseitig.
- Spezielle Schulungsseminare, durchgeführt von themenspezifischen oder allgemeinen Datenschutzspezialisten.
- Mentoring am Arbeitsplatz.
Mitarbeiter mit einer besonderen Rolle beim Schutz der Privatsphäre – z. B. IKT-Wartungspersonal – sollten von speziellen Schulungsplänen profitieren, die die integrale Rolle berücksichtigen, die sie beim Schutz personenbezogener Daten spielen.
Schulungspläne/-sitzungen sollten mit einer Bewertung abschließen, die der Organisation einen Top-Down-Überblick über die Kompetenzniveaus jedes einzelnen Mitarbeiters bietet.
Ergänzend zu Schulungen am Arbeitsplatz sollten Unternehmen auch Programme zur Sensibilisierung für den Schutz der Privatsphäre einführen, die den Mitarbeitern eine Reihe von Materialien zur Verfügung stellen, die als Informationspunkte zum Thema PII und organisatorischer Datenschutz dienen.
Sensibilisierungsprogramme können Folgendes umfassen:
- Flugblätter.
- Broschüren.
- Büroplakate.
- Dedizierte Websites.
- Team-Briefing-Sitzungen.
Die Sensibilisierungsbemühungen sollten sich auf Folgendes konzentrieren:
- Wie das Management die Einhaltung des Datenschutzes im gesamten Unternehmen aufrechterhalten will und wer die Hauptansprechpartner für personenbezogene Daten sind.
- Was sind die Compliance-Anforderungen der Organisation unter Berücksichtigung von Gesetzen, behördlichen Bestimmungen, vertraglichen Verpflichtungen und Lieferantenvereinbarungen?
- Betonung der Notwendigkeit persönlicher Verantwortung beim Schutz personenbezogener Daten und der Konsequenzen bei versehentlichen oder vorsätzlichen Verfahrensverstößen.
- Grundlegende IKT-Sicherheitsprinzipien wie Passwortsicherheit und Vorfallmeldung.
- Wie sich das Personal über die feineren Aspekte des Datenschutzes informieren kann (weiterführende Literatur, Ressourcenlisten usw.).
PII sollte als eigenständiges Thema in Schulungsprogrammen zum Schutz der Privatsphäre behandelt werden.
Das Personal muss sich der spezifischen rechtlichen, kommerziellen, rufschädigenden und disziplinarischen Konsequenzen bewusst sein, die sich aus der widerrechtlichen Aneignung und/oder dem Missbrauch personenbezogener Daten ergeben.
Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 39 (1)(a) bis 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| EU-DSGVO Artikel 39 Absatz 1 Buchstabe b | ISO 27701 6.4.2.2 | Non |
Wie ISMS.online hilft
Unterstützen Sie umfassendere Geschäftsentscheidungen. Indem Sie alle Ihre Daten an einem Ort haben, der für die Zusammenarbeit konzipiert ist, sind Sie besser gerüstet, um die richtigen Entscheidungen zu treffen.
Bleiben Sie dem Wandel immer einen Schritt voraus. Risiken sind nicht statisch, daher müssen Ihre Tools anpassungsfähig sein. Bewältigen Sie Bedrohungen und Chancen mühelos mit einem integrierten und dynamischen Tool, das die kontinuierliche Identifizierung, Bewertung und Behandlung von Risiken vereinfacht.
Erfahren Sie mehr von Planen einer Demo.
