Bei ihren Bezugnahmen auf die Begriffe „Beschäftigte“ und „Arbeitnehmer“ in dieser Stellungnahme beschränkt die Datenschutzgruppe den Bedeutungsumfang dieser Begriffe keineswegs auf Personen, die einen Arbeitsvertrag haben, der nach geltendem Arbeitsrecht als solcher anerkannt wird. Im Laufe der letzten Jahrzehnte haben neue Geschäftsmodelle, die auf unterschiedlichen Arbeitsbeziehungen und insbesondere auf der Beschäftigung auf freiberuflicher Grundlage beruhen, größere Verbreitung gefunden. Diese Stellungnahme soll alle Situationen abdecken, in denen ein Beschäftigungsverhältnis besteht, wobei es keine Rolle spielt, ob dieses Verhältnis auf einem Arbeitsvertrag beruht oder nicht.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 39(1)(b) GDPR:
6.4.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Должны быть приняты меры, включая информирование об инцидентах, чтобы гарантировать, что соответствующий персонал осведомлен о возможных последствиях для организации (например, правовые последствия, потеря бизнеса и ущерба для бренда или репутации), для сотрудника (например, дисциплинарные последствия) и субъекта ПИИ (например, физические, материальные и эмоциональные последствия) нарушения правил и процедур конфиденциальности или безопасности, особенно тех, которые касаются обработки ПИИ.
ПРИМЕЧАНИЕ. Такие меры могут включать использование соответствующего периодического обучения для персонала, имеющего доступ к ПИИ.