Kuinka osoittaa GDPR-artiklan 37 noudattaminen

Tietosuojavastaavan nimeäminen

Varaa demo

ryhmä,onnellisia,työtovereita,keskustelemassa,konferenssissa,huoneessa

Tietosuojavastaavat ovat olennainen osa minkä tahansa organisaation laajempaa kyberturvallisuustoimintaa.

GDPR Artikla 37 korostaa roolin tärkeyttä ja antaa ohjeita siitä, kuinka tietosuojavastaava tulisi nimittää, roolin ydintoiminnot ja miten tällaisista nimityksistä tiedotetaan.

GDPR artiklan 37 lakiteksti

EU:n GDPR-versio

Tietosuojavastaavan nimeäminen

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava kaikissa tapauksissa, joissa:

    • a) käsittelyn suorittaa julkinen viranomainen tai elin, lukuun ottamatta tuomioistuimia, jotka toimivat lainkäyttötehtävissä;

    • b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoiminta koostuu käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mittakaavassa; tai

    • c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu 9 artiklan mukaisten tietojen ja 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely laajassa mittakaavassa.

  2. Yritysryhmä voi nimittää yhden tietosuojavastaavan edellyttäen, että tietosuojavastaava on helposti tavoitettavissa jokaisesta toimipaikasta.

  3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on julkinen viranomainen tai elin, usealle tällaiselle viranomaiselle tai elimelle voidaan nimetä yksi tietosuojavastaava, kun otetaan huomioon niiden organisaatiorakenne ja koko.

  4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai käsittelijöiden ryhmiä edustavat yhdistykset ja muut elimet voivat nimetä tietosuojavastaavan tai unionin tai jäsenvaltion lainsäädännön niin edellyttäessä. Tietosuojavastaava voi toimia tällaisten yhdistysten ja muiden rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien elinten puolesta.

  5. Tietosuojavastaava on nimettävä ammatillisten ominaisuuksien ja erityisesti tietosuojalainsäädännön ja -käytäntöjen asiantuntemuksen sekä kyvyn suorittaa 39 artiklassa tarkoitetut tehtävät.

  6. Tietosuojavastaava voi olla rekisterinpitäjän tai käsittelijän toimihenkilö tai hoitaa tehtäviä palvelusopimuksen perusteella.

  7. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkaistava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

Yhdistyneen kuningaskunnan GDPR-versio

Tietosuojavastaavan nimeäminen

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava kaikissa tapauksissa, joissa:

    • a) käsittelyn suorittaa julkinen viranomainen tai elin, lukuun ottamatta tuomioistuimia, jotka toimivat lainkäyttötehtävissä;

    • b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoiminta koostuu käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mittakaavassa; tai

    • c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu 9 artiklan mukaisten tietojen ja 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely laajassa mittakaavassa.

  2. Yritysryhmä voi nimittää yhden tietosuojavastaavan edellyttäen, että tietosuojavastaava on helposti tavoitettavissa jokaisesta toimipaikasta.

  3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on julkinen viranomainen tai elin, usealle tällaiselle viranomaiselle tai elimelle voidaan nimetä yksi tietosuojavastaava, kun otetaan huomioon niiden organisaatiorakenne ja koko.

  4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai käsittelijöiden ryhmiä edustavat yhdistykset ja muut elimet voivat nimetä tietosuojavastaavan. Tietosuojavastaava voi toimia tällaisten yhdistysten ja muiden rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien elinten puolesta.

  5. Tietosuojavastaava on nimettävä ammatillisten ominaisuuksien ja erityisesti tietosuojalainsäädännön ja -käytäntöjen asiantuntemuksen sekä kyvyn suorittaa 39 artiklassa tarkoitetut tehtävät.

  6. Tietosuojavastaava voi olla rekisterinpitäjän tai käsittelijän toimihenkilö tai hoitaa tehtäviä palvelusopimuksen perusteella.

  7. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkaistava tietosuojavastaavan yhteystiedot ja ilmoitettava ne komission jäsenelle.
Siirry aiheeseen

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

Tekninen kommentti

GDPR:n 37 artiklassa hahmotellaan 7 avainaluetta, jotka organisaatioiden on otettava huomioon nimittäessään ja hallinnoiessaan toimintaa Tietosuojavastaava:

  1. Perusvelvollisuus nimittää tietosuojavastaava.

  2. Oikeus nimittää tietosuojavastaava suurille konserniyrityksille.

  3. Organisaatioryhmien mahdollisuus nimittää yksi tietosuojavastaava, joka huolehtii niiden yhteisistä velvoitteista ja organisaatiorakenteesta.

  4. Erityisolosuhteet, jotka sopivat DPO:n (välittäjä organisaatioiden ja hallintoviranomaisten välillä) nimittämiseen.

  5. Tietosuojavastaavan asiantuntemus, mukaan lukien asiaankuuluva oikeudellinen ja operatiivinen kokemus.

  6. Sopimusten tekeminen tietosuojavastaavan tehtävistä sen sijaan, että nimitettäisiin yksi.

  7. Tietosuojavastaavien yhteystietojen asettaminen niiden saataville, jotka niitä tarvitsevat ja joilla on laillinen lupa hankkia ne.

ISO 27701 -lauseke 6.3.1.1 (Tietoturvaroolit ja -vastuut) ja EU:n GDPR:n artikla 37

Tässä osiossa puhumme GDPR-artikkeleista 37 (1) (a), 37 (1) (b), 37 (1) (c), 37 (2), 37 (3), 37 (4), 37 (5). ), 37 (6), 37 (7)

Organisaatioiden tulee määritellä roolit ja vastuut, jotka liittyvät yksityisyyden suojakäytäntöihin sisältyviin yksittäisiin toimintoihin – sekä yleisiin että aihekohtaisiin käytäntöihinsä.

Henkilöiden, joilla on erityisiä vastuita, tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulee tarjota jatkuvaa tukea, joka ylläpitää hyväksyttävää pätevyyden tasoa.

Vastuualueisiin tulee kuulua:

  • Henkilökohtaisten tunnistetietojen ja kaiken yksityisyyteen liittyvän omaisuuden suojaaminen.

  • Yksityisyyden suojamenettelyjen suorittaminen.

  • Henkilökohtaisiin tietoihin liittyvät riskienhallintatoimet, mukaan lukien korjaavat toimet.

  • Jokainen, joka käyttää organisaation tietoja, mukaan lukien ICT-omaisuuden käyttö.

  • Yksityisyyden suojasta ylimmän tason vastuulla olevat henkilöt, jotka delegoivat tehtäviä muille.

ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.

Kaikki edellä mainitut vastuut ja turvallisuusalueet tulee dokumentoida selkeästi ja asettaa kaikkien asianomaisten henkilöstön jäsenten saataville.

Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701, kohta 7.3.2).

Lisäksi organisaatioiden tulee siirtää vastuu yhdelle tai useammalle henkilölle sellaisen organisaation yksityisyyden hallintaohjelman luomisesta, joka tukee paikallisten ja kansallisten henkilökohtaisia ​​tunnistetietoja koskevien lakien ja määräysten noudattamista.

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artiklat 37 (1) (a)–37 (7)ISO 27701 6.3.1.1ISO 27701 7.3.2

Miten ISMS.online auttaa

Täydellinen GDPR-ratkaisusi.

Valmiiksi rakennettu ympäristömme sopii saumattomasti hallintajärjestelmääsi ja antaa sinun kuvailla ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen.

ISMS.onlinen avulla voit helposti osoittaa yksityisyyden suojan tason, joka ylittää "kohtuullisen" tason, kaikki yhdessä turvallisessa, aina päällä olevassa paikassa.

Lisätietoja: varata demo.

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja