Tietosuojavastaavat ovat olennainen osa minkä tahansa organisaation laajempaa kyberturvallisuustoimintaa.
GDPR Artikla 37 korostaa roolin tärkeyttä ja antaa ohjeita siitä, kuinka tietosuojavastaava tulisi nimittää, roolin ydintoiminnot ja miten tällaisista nimityksistä tiedotetaan.
Tietosuojavastaavan nimeäminen
- Rekisterinpitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava kaikissa tapauksissa, joissa:
- a) käsittelyn suorittaa julkinen viranomainen tai elin, lukuun ottamatta tuomioistuimia, jotka toimivat lainkäyttötehtävissä;
- b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoiminta koostuu käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mittakaavassa; tai
- c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu 9 artiklan mukaisten tietojen ja 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely laajassa mittakaavassa.
- Yritysryhmä voi nimittää yhden tietosuojavastaavan edellyttäen, että tietosuojavastaava on helposti tavoitettavissa jokaisesta toimipaikasta.
- Jos rekisterinpitäjä tai henkilötietojen käsittelijä on julkinen viranomainen tai elin, usealle tällaiselle viranomaiselle tai elimelle voidaan nimetä yksi tietosuojavastaava, kun otetaan huomioon niiden organisaatiorakenne ja koko.
- Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai käsittelijöiden ryhmiä edustavat yhdistykset ja muut elimet voivat nimetä tietosuojavastaavan tai unionin tai jäsenvaltion lainsäädännön niin edellyttäessä. Tietosuojavastaava voi toimia tällaisten yhdistysten ja muiden rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien elinten puolesta.
- Tietosuojavastaava on nimettävä ammatillisten ominaisuuksien ja erityisesti tietosuojalainsäädännön ja -käytäntöjen asiantuntemuksen sekä kyvyn suorittaa 39 artiklassa tarkoitetut tehtävät.
- Tietosuojavastaava voi olla rekisterinpitäjän tai käsittelijän toimihenkilö tai hoitaa tehtäviä palvelusopimuksen perusteella.
- Rekisterinpitäjän tai henkilötietojen käsittelijän on julkaistava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.
Tietosuojavastaavan nimeäminen
- Rekisterinpitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava kaikissa tapauksissa, joissa:
- a) käsittelyn suorittaa julkinen viranomainen tai elin, lukuun ottamatta tuomioistuimia, jotka toimivat lainkäyttötehtävissä;
- b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoiminta koostuu käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mittakaavassa; tai
- c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu 9 artiklan mukaisten tietojen ja 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely laajassa mittakaavassa.
- Yritysryhmä voi nimittää yhden tietosuojavastaavan edellyttäen, että tietosuojavastaava on helposti tavoitettavissa jokaisesta toimipaikasta.
- Jos rekisterinpitäjä tai henkilötietojen käsittelijä on julkinen viranomainen tai elin, usealle tällaiselle viranomaiselle tai elimelle voidaan nimetä yksi tietosuojavastaava, kun otetaan huomioon niiden organisaatiorakenne ja koko.
- Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai käsittelijöiden ryhmiä edustavat yhdistykset ja muut elimet voivat nimetä tietosuojavastaavan. Tietosuojavastaava voi toimia tällaisten yhdistysten ja muiden rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien elinten puolesta.
- Tietosuojavastaava on nimettävä ammatillisten ominaisuuksien ja erityisesti tietosuojalainsäädännön ja -käytäntöjen asiantuntemuksen sekä kyvyn suorittaa 39 artiklassa tarkoitetut tehtävät.
- Tietosuojavastaava voi olla rekisterinpitäjän tai käsittelijän toimihenkilö tai hoitaa tehtäviä palvelusopimuksen perusteella.
- Rekisterinpitäjän tai henkilötietojen käsittelijän on julkaistava tietosuojavastaavan yhteystiedot ja ilmoitettava ne komission jäsenelle.
Olemme kustannustehokkaita ja nopeita
GDPR:n 37 artiklassa hahmotellaan 7 avainaluetta, jotka organisaatioiden on otettava huomioon nimittäessään ja hallinnoiessaan toimintaa Tietosuojavastaava:
Tässä osiossa puhumme GDPR-artikkeleista 37 (1) (a), 37 (1) (b), 37 (1) (c), 37 (2), 37 (3), 37 (4), 37 (5). ), 37 (6), 37 (7)
Organisaatioiden tulee määritellä roolit ja vastuut, jotka liittyvät yksityisyyden suojakäytäntöihin sisältyviin yksittäisiin toimintoihin – sekä yleisiin että aihekohtaisiin käytäntöihinsä.
Henkilöiden, joilla on erityisiä vastuita, tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulee tarjota jatkuvaa tukea, joka ylläpitää hyväksyttävää pätevyyden tasoa.
Vastuualueisiin tulee kuulua:
ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.
Kaikki edellä mainitut vastuut ja turvallisuusalueet tulee dokumentoida selkeästi ja asettaa kaikkien asianomaisten henkilöstön jäsenten saataville.
Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701, kohta 7.3.2).
Lisäksi organisaatioiden tulee siirtää vastuu yhdelle tai useammalle henkilölle sellaisen organisaation yksityisyyden hallintaohjelman luomisesta, joka tukee paikallisten ja kansallisten henkilökohtaisia tunnistetietoja koskevien lakien ja määräysten noudattamista.
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
---|---|---|
EU:n GDPR:n artiklat 37 (1) (a)–37 (7) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Täydellinen GDPR-ratkaisusi.
Valmiiksi rakennettu ympäristömme sopii saumattomasti hallintajärjestelmääsi ja antaa sinun kuvailla ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen.
ISMS.onlinen avulla voit helposti osoittaa yksityisyyden suojan tason, joka ylittää "kohtuullisen" tason, kaikki yhdessä turvallisessa, aina päällä olevassa paikassa.
Lisätietoja: varata demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Pyydä tarjous