Kuinka osoittaa GDPR-artiklan 38 noudattaminen

Tietosuojavastaavan asema

Varaa demo

ryhmä,onnellisia,työtovereita,keskustelemassa,konferenssissa,huoneessa

Jatkoa 37 artiklaan, jossa käsitellään nimittäminen tietosuojavastaava, GDPR 38 artiklassa hahmotellaan laajuus tehtävistään, asemastaan ​​organisaatiossa sekä tietyistä tehtävistä ja velvollisuuksista.

GDPR artiklan 38 lakiteksti

EU:n GDPR-versio

Tietosuojavastaavan asema

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava on asianmukaisesti ja oikea-aikaisesti mukana kaikissa henkilötietojen suojaamiseen liittyvissä asioissa.

  2. Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavaltuutettua 39 artiklassa tarkoitettujen tehtävien suorittamisessa tarjoamalla tarvittavat resurssit näiden tehtävien suorittamiseen ja henkilötietoihin pääsyyn ja käsittelytoimiin sekä hänen asiantuntemuksensa ylläpitämiseen.

  3. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava ei saa ohjeita näiden tehtävien suorittamisesta. Rekisterinpitäjä tai käsittelijä ei saa erottaa tai rangaista häntä hänen tehtäviensä suorittamisesta. Tietosuojavastaavan on raportoitava suoraan rekisterinpitäjän tai käsittelijän korkeimmalle johtotasolle.

  4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja tämän asetuksen mukaisten oikeuksiensa käyttämiseen liittyvissä asioissa.

  5. Tietosuojavastaava on tehtäviensä suorittamisen osalta unionin tai jäsenvaltion lainsäädännön mukainen salassapitovelvollisuus tai luottamuksellisuus.

  6. Tietosuojavastaava voi hoitaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät johda eturistiriitaan.

Yhdistyneen kuningaskunnan GDPR-versio

Tietosuojavastaavan asema

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava on asianmukaisesti ja oikea-aikaisesti mukana kaikissa henkilötietojen suojaamiseen liittyvissä asioissa.

  2. Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavaltuutettua 39 artiklassa tarkoitettujen tehtävien suorittamisessa tarjoamalla tarvittavat resurssit näiden tehtävien suorittamiseen ja henkilötietoihin pääsyyn ja käsittelytoimiin sekä hänen asiantuntemuksensa ylläpitämiseen.

  3. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava ei saa ohjeita näiden tehtävien suorittamisesta. Rekisterinpitäjä tai käsittelijä ei saa erottaa tai rangaista häntä hänen tehtäviensä suorittamisesta. Tietosuojavastaavan on raportoitava suoraan rekisterinpitäjän tai käsittelijän korkeimmalle johtotasolle.

  4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja tämän asetuksen mukaisten oikeuksiensa käyttämiseen liittyvissä asioissa.

  5. Tietosuojavastaava on tehtäviensä suorittamisessa kansallisen lainsäädännön mukaisesti sidottu salassapitovelvollisuuteen tai luottamuksellisuuteen.

  6. Tietosuojavastaava voi hoitaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät johda eturistiriitaan.
Siirry aiheeseen

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

Tekninen kommentti

GDPR:n artikla 38 käsittelee kolmea päätoiminta-aluetta, jotka koskevat tietosuojavastaavan tehtävien laajuutta organisaatiossa:

  1. Erityinen rooli organisaation tietosuojavastaavien toiminnasta ja siitä, miten he osallistuvat yksilön tietojen suojaamiseen.

  2. Ylläpidon tärkeys puolueettomuus ja luottamuksellisuus, kun he suorittavat tehtäviään, ilman organisaation johdon tarpeetonta valvontaa tai puuttumista asiaan.

  3. Tarve välttää mitä tahansa eturistiriidat, jos tietosuojavastaava hoitaa organisaatiossa jotain muuta roolia, joka liittyy tai ei liity hänen velvollisuuksiinsa DPO:na.

ISO 27701 -lauseke 6.3.1.1 (Tietoturvaroolit ja -vastuut) ja EU:n GDPR:n artikla 38

Tässä osiossa puhumme GDPR-artikkeleista 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)

Organisaatioiden tulee määritellä roolit ja vastuut, jotka liittyvät yksityisyyden suojakäytäntöihin sisältyviin yksittäisiin toimintoihin – sekä yleisiin että aihekohtaisiin käytäntöihinsä.

Henkilöiden, joilla on erityisiä vastuita, tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulee tarjota jatkuvaa tukea, joka ylläpitää hyväksyttävää pätevyyden tasoa.

Vastuualueisiin tulee kuulua:

  • Henkilökohtaisten tunnistetietojen ja kaiken yksityisyyteen liittyvän omaisuuden suojaaminen.

  • Yksityisyyden suojamenettelyjen suorittaminen.

  • Henkilökohtaisiin tietoihin liittyvät riskienhallintatoimet, mukaan lukien korjaavat toimet.

  • Jokainen, joka käyttää organisaation tietoja, mukaan lukien ICT-omaisuuden käyttö.

  • Yksityisyyden suojasta ylimmän tason vastuulla olevat henkilöt, jotka delegoivat tehtäviä muille.

ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.

Kaikki edellä mainitut vastuut ja turvallisuusalueet tulee dokumentoida selkeästi ja asettaa kaikkien asianomaisten henkilöstön jäsenten saataville.

Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701, kohta 7.3.2).

Lisäksi organisaatioiden tulee siirtää vastuu yhdelle tai useammalle henkilölle sellaisen organisaation yksityisyyden hallintaohjelman luomisesta, joka tukee paikallisten ja kansallisten henkilökohtaisia ​​tunnistetietoja koskevien lakien ja määräysten noudattamista.

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISO 27701 -lauseke 6.10.2.4 (Luottamuksellisuus- tai salassapitosopimukset) ja EU:n GDPR:n artikla 38 (5)

NDA:ita laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:

  • Tarjoa määritelmä suojattavalle tiedolle.

  • Ilmoita selkeästi sopimuksen odotettu kesto.

  • Ilmoita selkeästi tarvittavat toimenpiteet, kun sopimus on irtisanottu.

  • Kaikki velvollisuudet, jotka vahvistetut allekirjoittajat ovat sopineet.

  • Tietojen omistusoikeus (mukaan lukien IP ja liikesalaisuudet).

  • Miten allekirjoittajat saavat käyttää tietoja.

  • Selvitä selkeästi organisaation oikeus valvoa luottamuksellisia tietoja.

  • Kaikki seuraukset, jotka johtuvat noudattamatta jättämisestä.

  • Tarkistaa säännöllisesti heidän luottamuksellisuustarpeensa ja muokkaa tulevia sopimuksia vastaavasti.

Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 kontrollit 5.31, 5.32, 5.33 ja 5.34).

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27002 -säätimet
EU:n GDPR:n artiklat 38 (1)–38 (6)ISO 27701 6.3.1.1
ISO 27701 7.3.2		Ei eristetty
EU:n GDPR:n artikla 38 (5)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Miten ISMS.online Ohje

GDPR-vaatimustenmukaisuus ISMS.onlinen kanssa

"Ota käyttöön, mukauta, lisää" -toteutustapamme ISMS.online-alustalla helpottaa GDPR-vaatimustenmukaisuuden osoittamista. Lisäksi hyödyt tehokkaista aikaa säästävistä ominaisuuksista.

Jos tapahtuu pahin, olet valmis. Dokumentoimalla ja oppimalla jokaisesta tapauksesta, teemme sinun helpoksi suunnitella ja viestiä tietomurroistasi.

Lisätietoja: varata demo.

Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.

Emmie Cooney
Operaatiojohtaja, Amigo

Varaa esittelysi

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja