Yleinen tietosuoja-asetus (GDPR) puhuu paljon vastuullisuudesta ja hallinnosta, mikä edellyttää organisaatioiden olevan avoimempia sen suhteen, mitä ne tekevät henkilötiedoille.
”Teidän odotetaan toteuttavan kattavia mutta oikeasuhteisia hallintotoimenpiteitä. Hyviä käytännön työkaluja, joita ICO on puolustanut pitkään, kuten yksityisyyden vaikutusten arvioinnit ja sisäänrakennettu yksityisyys ovat nyt lain edellyttämiä tietyissä olosuhteissa.
"Tiedostopäällikön toimisto"
Tämä vastuullisuus ja hallinto edellyttää, että tietyt suuremmat organisaatiot palkkaavat tietosuojavastaavan (DPO) valvomaan näitä käytäntöjä.
Tietosuojavastaavan palkkaaminen ei tietenkään olisi tarkoituksenmukaista kaikille organisaatioille. Tietosuojavaltuutetun toimisto on siis tiivistänyt DPO:n tarpeellisuuden seuraaviin luokitteluihin.
Vaikka edellä mainitut organisaatiot ovat lain mukaan velvollisia nimittämään tietosuojavastaavan, jotkin yritykset saattavat haluta nimittää sellaisen vapaaehtoisesti.
Tietosuojavastaavaa pidetään yrityksen tietoturvaroolina, joka johtaa GDPR:n noudattaminen organisaatiosta.
Tietosuojavastaavan vähimmäistehtävät on määritelty GDPR:n artiklassa 39:
"Ilmoittaa ja neuvoa organisaatiota ja sen työntekijöitä heidän velvollisuuksistaan noudattaa GDPR:ää ja muita tietosuoja lait.'
"Valvoa GDPR:n ja muiden tietosuojalakien noudattamista, mukaan lukien sisäisten tietosuojatoimien hallinta, neuvonta tietosuojan vaikutusten arvioinneissa; kouluttaa henkilöstöä ja suorittaa sisäisiä tarkastuksia.
"Olla ensimmäinen yhteyspiste valvontaviranomaisille ja henkilöille, joiden tietoja käsitellään (työntekijät, asiakkaat jne.)."
Näiden tehtävien lisäksi tietosuojavastaavan on varmistettava, että he raportoivat hallituksen tasolla tai missä tahansa organisaatiosi korkeimmalla tasolla. Itse asiassa he toimivat itsenäisesti organisaatiosta kokonaisuutena, ja siksi heidän työnsä on suojattava. Tämä tarkoittaa, että heitä ei voida irtisanoa tai rangaista pelkästään tietosuojavastaavan työn suorittamisesta. Tämän lisäksi organisaation tulee tarjota tietosuojavastaavalle kaikki resurssit, joita he tarvitsevat edellä mainittujen vastuiden ja velvollisuuksien täyttämiseksi.
Vaikka tietosuojavastaavaksi tuleminen ei edellytä muodollista pätevyyttä, vaikka olemme dokumentoineet GDPR-resurssisivullamme jonkin verran virallista koulutusta itse GDPR:stä, oikealta ehdokkaalta edellytetään tiettyjä ominaisuuksia ja tietoja.
Tietosuojavastaavalla on oltava todistettu rehellisyys ja korkea ammattietiikka voidakseen varmistaa, että organisaatio on valmistautunut GDPR:ään ja jatkaa sen noudattamista.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa