GDPR Lovtekst med Forklaring (Awareness krav)
Artikel 25 – Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
Artikel 25 i GDPR, der omhandler "Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger", fokuserer primært på at indarbejde databeskyttelsesprincipper direkte i teknologiske design og driftsprocedurer. Selvom denne artikel ikke eksplicit nævner medarbejderuddannelse, kan betydningen af uddannelse og bevidstgørelse implicit afledes fra behovet for at implementere de tekniske og organisatoriske foranstaltninger, som artiklen foreskriver.
- Databeskyttelse gennem design: Dette princip kræver, at databeskyttelse skal overvejes og integreres i alle faser af behandlingen af personoplysninger, fra det tidlige designstadium af enhver system-, produkt- eller procesudvikling. At forstå og implementere dette effektivt kræver, at personale, der er involveret i sådanne projekter, modtager uddannelse og løbende opdatering om bedste praksisser i databeskyttelse.
- Databeskyttelse gennem standardindstillinger: Dette kræver, at systemer og applikationer som standard indstilles til at indsamle og behandle den mindste mængde personoplysninger, der er nødvendige for det specifikke formål. For at dette kan implementeres korrekt, skal personale, der arbejder med systemindstillinger og databehandlingsaktiviteter, være klædt på til at forstå og anvende disse principper.
Træning og uddannelse kan derfor ses som en integreret del af at sikre, at de ansatte forstår og kan anvende principperne om databeskyttelse gennem design og standardindstillinger. Det hjælper med at opfylde GDPR's krav og sikrer, at teknologier og forretningsprocesser er ordentligt konfigureret fra starten for at beskytte brugernes data.
I det hele taget spiller uddannelse af medarbejdere en kritisk rolle i at sikre GDPR-compliance gennem hele organisationen, selvom specifikke artikler som Artikel 25 ikke direkte påbyder uddannelse. Denne forståelse og tilgang til implementering af databeskyttelse fra designfasen kræver velinformerede medarbejdere på alle niveauer.
Artikel 32 – Behandlingssikkerhed
d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Denne artikel understreger behovet for at implementere passende sikkerhedsforanstaltninger for at beskytte personoplysninger. En del af at opretholde disse sikkerhedsforanstaltninger omfatter korrekt træning og bevidstgørelse blandt medarbejderne.
Selvom Artikel 32 ikke eksplicit nævner uddannelse og træning af medarbejdere som en obligatorisk foranstaltning, kan punkt 1d tolkes som støttende for dette. Punkt 1d taler om behovet for en procedure til regelmæssig afprøvning, vurdering og evaluering af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden. Regelmæssig træning af medarbejdere kan anses for at være en del af sådanne evalueringer og foranstaltninger, da det hjælper med at sikre, at medarbejdere forstår og kan anvende de nødvendige sikkerhedsforanstaltninger korrekt.
Artikel 39: Databeskyttelsesrådgiverens opgaver
b) at overvåge overholdelsen af denne forordning, af anden EU-ret eller national ret i medlemsstaterne om databeskyttelse og af den dataansvarliges eller databehandlerens politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagner og uddannelse af det personale, der medvirker ved behandlingsaktiviteter, og de tilhørende revisioner
Databeskyttelsesrådgiveren skal have mindst følgende opgaver: b) at overvåge overholdelsen af denne forordning, af andre unionsretsforskrifter eller medlemsstaternes nationale retsforskrifter om databeskyttelse og af den dataansvarliges eller databehandlerens politikker for beskyttelse af personoplysninger, herunder tildeling af ansvarsområder, uddannelse af personale, der deltager i behandlingsoperationerne..
Artikel 47 – Bindende virksomhedsregler
n) den passende databeskyttelsesuddannelse, som personale, der har permanent eller regelmæssig adgang til personoplysninger, skal følge.
Dette punkt fastslår direkte, at uddannelse i databeskyttelse er et krav for personale, der regelmæssigt har adgang til personoplysninger inden for virksomheder, der anvender bindende virksomhedsregler. Det understreger betydningen af at sikre, at medarbejdere er ordentligt uddannede i håndteringen og beskyttelsen af personoplysninger, hvilket er en central del af GDPR's sikkerhedsforanstaltninger. Dette er også en del af de bredere krav i GDPR, som fordrer, at organisationer aktivt arbejder på at sikre overholdelsen af databeskyttelseslovgivningen, herunder gennem medarbejderuddannelse.