在我们最近的文章中,我们讨论了《通用数据保护条例》(GDPR)是什么、它适用于谁、它的原则、它为数据主体提供的权利以及处理个人数据的法律基础。我们还研究了GDPR 如何影响企业。在本系列文章的第三部分中,我们将探讨 GDPR 合规所必需的领导和监督要素,包括组织结构、任命 DPO 和预算设定。
GDPR 领导和监督为问责制奠定了基础。数据保护和隐私相关合规性要求组织为某些任务分配人员。虽然并非所有组织都需要 DPO,但每个处理个人数据的人都必须分配足够的资源,以确保符合 GDPR 原则。责任不能仅仅落在 DPO 或隐私负责人身上;高级管理层和董事会必须发挥积极作用。
无论您是建立初始合规流程的初创企业,还是希望增强隐私和数据保护计划以利用最佳合规性提供的机会的成熟组织,都需要仔细考虑以下事项:
该计划在组织内处于什么位置?
谁将领导合规项目?
是否需要数据保护官(DPO)?
DPO 或合规官将向谁汇报?
需要哪些物质资源(办公室、设备、全职或兼职员工)和财政资源?
继续阅读,了解如何在实践中回答这些问题。
您的组织结构如何支持隐私和数据保护合规性
企业必须在隐私合规方面投入更多资金,因为《GDPR》要求整个组织都必须从设计上贯彻隐私和数据保护。然而,越来越多的证据表明,有效的隐私实践为商业实体带来了有形和无形的利益。
正如我们在最近讨论 GDPR 如何影响企业的文章中提到的,2021 年的一项研究表明,那些拥有完善隐私实践的组织获得的商业利益高于平均水平,并能迅速适应国内和国际监管变化。此外,35% 的公司报告称,他们获得的收益至少是其在隐私和数据保护合规性方面的投资的两倍。
确保董事会或最高管理层负责数据保护和信息治理。
让高级管理层以身作则,推动数据保护合规。
确保有明确的报告路线,并且信息在相关团体(例如董事会和信息治理指导小组)之间流动。
确保数据保护和信息治理政策中清晰地说明了组织结构。
确保在隐私合规相关的职位描述中明确列出报告线,并且如果报告线发生变化,则更新职位描述。
确保数据保护和信息治理人员了解组织结构及其职责。
您还必须考虑其他事项,例如 GDPR 合规计划将在您的企业中处于什么位置。所有组织都是独一无二的,因此没有正确或错误的决定。中小企业可能需要比大型跨国组织更简单的设置,但这并不意味着决策过程不应经过仔细考虑和记录。
IAPP 2020 年度治理报告深入分析了隐私合规计划在组织中的位置。在超过一半(54%)的案例中,法律部门承担了责任。
隐私功能的位置
最后,您需要确定 DPO(或如果您没有 DPO,则为合规主管)在组织中向谁汇报。GDPR 第 38(3) 条要求 DPO 独立行使职能,并且“应直接向最高管理层汇报”,ICO 提供了有关DPO 汇报路线的信息,并在DPO 资源的作用中详细讨论了此事。
选择 GDPR 管理团队和 DPO
您需要做出的首要决定之一是您的组 whatsapp 号码数据 织是否需要或应该任命 DPO。GDPR 第 37 条规定了任命 DPO 的标准,并规定在英国或欧盟/欧洲经济区内处理个人数据的公共当局或机构必须任命 DPO。当企业的核心活动涉及大规模定期或系统性处理个人数据,以及或涉及英国和/或欧盟/欧洲经济区公民的更敏感的特殊类别数据时,企业必须任命 DPO。但是,即使您的企业没有强制要求任命 DPO,您也应该进行审查以评估是否应该自愿任命。
第 38 条概述了控制者和 自我驱动和远见卓识的营销主管 处 理者的义务,在选择管理团队执行第 39 条所述的任务时必须考虑这些义务。其中一项义务包括:
“提供执行这些任务所需的资源和访问个人数据和处理操作,并维护他或她的专业知识。”
无论谁加入隐私和数据保护合规 西班牙电台 管理团队,都需要时间、联系人和理解,以确保获得适当的资源,例如持续培训和访问隐私日志的权限。
DPO 的任务在第 39 条中规定,该条规定:
数据保护官至少应承担以下职责:
告知并建议控制者或处理者以及执行处理工作的员工其根据本条例以及其他与数据保护有关的国内法所承担的义务;
监督对本条例、其他与数据保护条款相关的国内法以及控制者或处理者关于个人数据保护的政策的遵守情况,包括分配职责、提高参与处理操作的工作人员的认识和培训,以及相关的审计;
根据第 35 条的规定,根据数据保护影响评估的要求提供建议并监控其绩效;
与专员合作;
作为专员在处理相关问题上的联络点,包括第 36 条所述的事先磋商,并在适当情况下就任何其他事项进行磋商。
为了完成这些任务,DPO 必须参与数据保护和隐私合规的每个阶段,包括您的企业进行的任何数据保护风险评估。
与 DPO 或隐私主管一起工作的是一个团队,负责监督数据保护事宜的实际实施,例如处理数据主体权利请求、确保现有政策和程序合规且适合目的,以及提供内部沟通和培训。合规团队的平均人数为 15 名全职员工和 18 名兼职员工。