Jatkoa 37 artiklaan, jossa käsitellään nimittäminen tietosuojavastaava, GDPR 38 artiklassa hahmotellaan laajuus tehtävistään, asemastaan organisaatiossa sekä tietyistä tehtävistä ja velvollisuuksista.
Tietosuojavastaavan asema
- Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava on asianmukaisesti ja oikea-aikaisesti mukana kaikissa henkilötietojen suojaamiseen liittyvissä asioissa.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavaltuutettua 39 artiklassa tarkoitettujen tehtävien suorittamisessa tarjoamalla tarvittavat resurssit näiden tehtävien suorittamiseen ja henkilötietoihin pääsyyn ja käsittelytoimiin sekä hänen asiantuntemuksensa ylläpitämiseen.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava ei saa ohjeita näiden tehtävien suorittamisesta. Rekisterinpitäjä tai käsittelijä ei saa erottaa tai rangaista häntä hänen tehtäviensä suorittamisesta. Tietosuojavastaavan on raportoitava suoraan rekisterinpitäjän tai käsittelijän korkeimmalle johtotasolle.
- Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja tämän asetuksen mukaisten oikeuksiensa käyttämiseen liittyvissä asioissa.
- Tietosuojavastaava on tehtäviensä suorittamisen osalta unionin tai jäsenvaltion lainsäädännön mukainen salassapitovelvollisuus tai luottamuksellisuus.
- Tietosuojavastaava voi hoitaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät johda eturistiriitaan.
Tietosuojavastaavan asema
- Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava on asianmukaisesti ja oikea-aikaisesti mukana kaikissa henkilötietojen suojaamiseen liittyvissä asioissa.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavaltuutettua 39 artiklassa tarkoitettujen tehtävien suorittamisessa tarjoamalla tarvittavat resurssit näiden tehtävien suorittamiseen ja henkilötietoihin pääsyyn ja käsittelytoimiin sekä hänen asiantuntemuksensa ylläpitämiseen.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava ei saa ohjeita näiden tehtävien suorittamisesta. Rekisterinpitäjä tai käsittelijä ei saa erottaa tai rangaista häntä hänen tehtäviensä suorittamisesta. Tietosuojavastaavan on raportoitava suoraan rekisterinpitäjän tai käsittelijän korkeimmalle johtotasolle.
- Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa henkilötietojensa käsittelyyn ja tämän asetuksen mukaisten oikeuksiensa käyttämiseen liittyvissä asioissa.
- Tietosuojavastaava on tehtäviensä suorittamisessa kansallisen lainsäädännön mukaisesti sidottu salassapitovelvollisuuteen tai luottamuksellisuuteen.
- Tietosuojavastaava voi hoitaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät johda eturistiriitaan.
Olemme kustannustehokkaita ja nopeita
GDPR:n artikla 38 käsittelee kolmea päätoiminta-aluetta, jotka koskevat tietosuojavastaavan tehtävien laajuutta organisaatiossa:
Tässä osiossa puhumme GDPR-artikkeleista 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisaatioiden tulee määritellä roolit ja vastuut, jotka liittyvät yksityisyyden suojakäytäntöihin sisältyviin yksittäisiin toimintoihin – sekä yleisiin että aihekohtaisiin käytäntöihinsä.
Henkilöiden, joilla on erityisiä vastuita, tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulee tarjota jatkuvaa tukea, joka ylläpitää hyväksyttävää pätevyyden tasoa.
Vastuualueisiin tulee kuulua:
ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.
Kaikki edellä mainitut vastuut ja turvallisuusalueet tulee dokumentoida selkeästi ja asettaa kaikkien asianomaisten henkilöstön jäsenten saataville.
Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701, kohta 7.3.2).
Lisäksi organisaatioiden tulee siirtää vastuu yhdelle tai useammalle henkilölle sellaisen organisaation yksityisyyden hallintaohjelman luomisesta, joka tukee paikallisten ja kansallisten henkilökohtaisia tunnistetietoja koskevien lakien ja määräysten noudattamista.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
NDA:ita laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:
Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 kontrollit 5.31, 5.32, 5.33 ja 5.34).
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27002 -säätimet |
---|---|---|
EU:n GDPR:n artiklat 38 (1)–38 (6) | ISO 27701 6.3.1.1 ISO 27701 7.3.2 | Ei eristetty |
EU:n GDPR:n artikla 38 (5) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
GDPR-vaatimustenmukaisuus ISMS.onlinen kanssa
"Ota käyttöön, mukauta, lisää" -toteutustapamme ISMS.online-alustalla helpottaa GDPR-vaatimustenmukaisuuden osoittamista. Lisäksi hyödyt tehokkaista aikaa säästävistä ominaisuuksista.
Jos tapahtuu pahin, olet valmis. Dokumentoimalla ja oppimalla jokaisesta tapauksesta, teemme sinun helpoksi suunnitella ja viestiä tietomurroistasi.
Lisätietoja: varata demo.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Pyydä tarjous