Kuinka osoittaa GDPR-artiklan 38 noudattaminen

GDPR:n artiklassa 38 selitetään tietosuojavastaavan (DPO) rooli ja vastuut korostaen heidän riippumattomuuttaan, osallistumistaan ​​tietosuojaasioihin ja rekisteröityjen saatavuutta varmistaen samalla, että eturistiriitoja ei synny ja GDPR-säännösten noudattaminen.

Varaa demo
kirjailija
Max Edwards
Päivitetty 11. maaliskuuta 2025
LinkedIn Twitter Twitter

GDPR-artikla 38:n tärkeimmät vaatimukset: Mitä yritysten on tiedettävä

Jatkoa 37 artiklaan, jossa käsitellään nimittäminen tietosuojavastaava, GDPR 38 artiklassa hahmotellaan laajuus tehtävistään, asemastaan ​​organisaatiossa sekä tietyistä tehtävistä ja velvollisuuksista.

GDPR artiklan 38 lakiteksti

EU:n GDPR-versio

Tietosuojavastaavan asema

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava on asianmukaisesti ja oikea-aikaisesti mukana kaikissa henkilötietojen suojaamiseen liittyvissä asioissa.
  2. Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavaltuutettua 39 artiklassa tarkoitettujen tehtävien suorittamisessa tarjoamalla tarvittavat resurssit näiden tehtävien suorittamiseen ja henkilötietoihin pääsyyn ja käsittelytoimiin sekä hänen asiantuntemuksensa ylläpitämiseen.
  3. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava ei saa ohjeita näiden tehtävien suorittamisesta. Rekisterinpitäjä tai käsittelijä ei saa erottaa tai rangaista häntä hänen tehtäviensä suorittamisesta. Tietosuojavastaavan on raportoitava suoraan rekisterinpitäjän tai käsittelijän korkeimmalle johtotasolle.
  4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja tämän asetuksen mukaisten oikeuksiensa käyttämiseen liittyvissä asioissa.
  5. Tietosuojavastaava on tehtäviensä suorittamisen osalta unionin tai jäsenvaltion lainsäädännön mukainen salassapitovelvollisuus tai luottamuksellisuus.
  6. Tietosuojavastaava voi hoitaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät johda eturistiriitaan.

Yhdistyneen kuningaskunnan GDPR-versio

Tietosuojavastaavan asema

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava on asianmukaisesti ja oikea-aikaisesti mukana kaikissa henkilötietojen suojaamiseen liittyvissä asioissa.
  2. Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavaltuutettua 39 artiklassa tarkoitettujen tehtävien suorittamisessa tarjoamalla tarvittavat resurssit näiden tehtävien suorittamiseen ja henkilötietoihin pääsyyn ja käsittelytoimiin sekä hänen asiantuntemuksensa ylläpitämiseen.
  3. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava ei saa ohjeita näiden tehtävien suorittamisesta. Rekisterinpitäjä tai käsittelijä ei saa erottaa tai rangaista häntä hänen tehtäviensä suorittamisesta. Tietosuojavastaavan on raportoitava suoraan rekisterinpitäjän tai käsittelijän korkeimmalle johtotasolle.
  4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja tämän asetuksen mukaisten oikeuksiensa käyttämiseen liittyvissä asioissa.
  5. Tietosuojavastaava on tehtäviensä suorittamisessa kansallisen lainsäädännön mukaisesti sidottu salassapitovelvollisuuteen tai luottamuksellisuuteen.
  6. Tietosuojavastaava voi hoitaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät johda eturistiriitaan.


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Tekninen kommentti

GDPR:n artikla 38 käsittelee kolmea päätoiminta-aluetta, jotka koskevat tietosuojavastaavan tehtävien laajuutta organisaatiossa:

  1. Erityinen rooli organisaation tietosuojavastaavien toiminnasta ja siitä, miten he osallistuvat yksilön tietojen suojaamiseen.
  2. Ylläpidon tärkeys puolueettomuus ja luottamuksellisuus, kun he suorittavat tehtäviään, ilman organisaation johdon tarpeetonta valvontaa tai puuttumista asiaan.
  3. Tarve välttää mitä tahansa eturistiriidat, jos tietosuojavastaava hoitaa organisaatiossa jotain muuta roolia, joka liittyy tai ei liity hänen velvollisuuksiinsa DPO:na.

ISO 27701 -lauseke 6.3.1.1 (Tietoturvaroolit ja -vastuut) ja EU:n GDPR:n artikla 38

Tässä osiossa puhumme GDPR-artikkeleista 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)

Organisaatioiden tulee määritellä roolit ja vastuut, jotka liittyvät yksityisyyden suojakäytäntöihin sisältyviin yksittäisiin toimintoihin – sekä yleisiin että aihekohtaisiin käytäntöihinsä.

Henkilöiden, joilla on erityisiä vastuita, tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulee tarjota jatkuvaa tukea, joka ylläpitää hyväksyttävää pätevyyden tasoa.

Vastuualueisiin tulee kuulua:

  • Henkilökohtaisten tunnistetietojen ja kaiken yksityisyyteen liittyvän omaisuuden suojaaminen.
  • Yksityisyyden suojamenettelyjen suorittaminen.
  • Henkilökohtaisiin tietoihin liittyvät riskienhallintatoimet, mukaan lukien korjaavat toimet.
  • Jokainen, joka käyttää organisaation tietoja, mukaan lukien ICT-omaisuuden käyttö.
  • Yksityisyyden suojasta ylimmän tason vastuulla olevat henkilöt, jotka delegoivat tehtäviä muille.

ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.

Kaikki edellä mainitut vastuut ja turvallisuusalueet tulee dokumentoida selkeästi ja asettaa kaikkien asianomaisten henkilöstön jäsenten saataville.

Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701, kohta 7.3.2).

Lisäksi organisaatioiden tulee siirtää vastuu yhdelle tai useammalle henkilölle sellaisen organisaation yksityisyyden hallintaohjelman luomisesta, joka tukee paikallisten ja kansallisten henkilökohtaisia ​​tunnistetietoja koskevien lakien ja määräysten noudattamista.

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701 -lauseke 6.10.2.4 (Luottamuksellisuus- tai salassapitosopimukset) ja EU:n GDPR:n artikla 38 (5)

NDA:ita laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:

  • Tarjoa määritelmä suojattavalle tiedolle.
  • Ilmoita selkeästi sopimuksen odotettu kesto.
  • Ilmoita selkeästi tarvittavat toimenpiteet, kun sopimus on irtisanottu.
  • Kaikki velvollisuudet, jotka vahvistetut allekirjoittajat ovat sopineet.
  • Tietojen omistusoikeus (mukaan lukien IP ja liikesalaisuudet).
  • Miten allekirjoittajat saavat käyttää tietoja.
  • Selvitä selkeästi organisaation oikeus valvoa luottamuksellisia tietoja.
  • Kaikki seuraukset, jotka johtuvat noudattamatta jättämisestä.
  • Tarkistaa säännöllisesti heidän luottamuksellisuustarpeensa ja muokkaa tulevia sopimuksia vastaavasti.

Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 kontrollit 5.31, 5.32, 5.33 ja 5.34).

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Hakemisto linkitetyistä EU:n GDPR-artikkeleista, ISO 27701 -lausekkeista ja ISO 27002 -säädöksistä

GDPR-artikkeliISO 27701 -lausekeISO 27002 -säätimet
EU:n GDPR:n artiklat 38 (1)–38 (6) ISO 27701 6.3.1.1
ISO 27701 7.3.2		Ei eristetty
EU:n GDPR:n artikla 38 (5) ISO 27701 6.10.2.4 ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Miten ISMS.online Ohje

GDPR-vaatimustenmukaisuus ISMS.onlinen kanssa

"Ota käyttöön, mukauta, lisää" -toteutustapamme ISMS.online-alustalla helpottaa GDPR-vaatimustenmukaisuuden osoittamista. Lisäksi hyödyt tehokkaista aikaa säästävistä ominaisuuksista.

Jos tapahtuu pahin, olet valmis. Dokumentoimalla ja oppimalla jokaisesta tapauksesta, teemme sinun helpoksi suunnitella ja viestiä tietomurroistasi.

Lisätietoja: varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Grid Leader - kevät 2025
Momentum Leader - kevät 2025
Aluejohtaja – kevät 2025 Iso-Britannia
Alueellinen johtaja – kevät 2025 EU
Paras arvio ROI Enterprise – kevät 2025
Todennäköisimmin suositella yritystä - kevät 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

SOC 2 on täällä! Vahvista turvallisuuttasi ja rakenna asiakkaiden luottamusta tehokkaalla vaatimustenmukaisuusratkaisullamme jo tänään!