GDPR Artikla 39 hahmotellaan vähimmäistehtävät, jotka tietosuojavastaavan on suoritettava voidakseen katsoa olevansa tehokkaita, mukaan lukien hänen velvollisuutensa lakia kohtaan ja vuorovaikutus hallintoviranomaisten kanssa.
Tietosuojavastaavan tehtävät
- Tietosuojavastaavalla on oltava vähintään seuraavat tehtävät:
- a) tiedottaa rekisterinpitäjälle tai henkilötietojen käsittelijälle ja käsittelyä suorittaville työntekijöille tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisista velvollisuuksistaan ja neuvoo niitä;
- b) valvoa tämän asetuksen, unionin tai jäsenvaltioiden muiden tietosuojasäännösten sekä rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaamista koskevien politiikkojen noudattamista, mukaan lukien vastuiden jakaminen, tietoisuuden lisääminen ja henkilöstön koulutus. osallistuminen käsittelytoimiin ja niihin liittyviin tarkastuksiin;
- c) antaa pyydettäessä neuvoja tietosuojavaikutusten arvioinnista ja seurata sen toimintaa 35 artiklan mukaisesti;
- d) tehdä yhteistyötä valvontaviranomaisen kanssa;
- e) toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklassa tarkoitettu ennakkoneuvottelu, ja neuvotella tarvittaessa kaikista muista asioista.
- Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitukset.
Tietosuojavastaavan tehtävät
- Tietosuojavastaavalla on oltava vähintään seuraavat tehtävät:
- a) tiedottaa ja neuvoa rekisterinpitäjälle tai henkilötietojen käsittelijälle ja käsittelyä suorittaville työntekijöille tämän asetuksen ja muun kansallisen tietosuojalainsäädännön mukaisista velvollisuuksistaan;
- b) valvoa tämän asetuksen, muun tietosuojaan liittyvän kansallisen lainsäädännön sekä rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaa koskevien politiikkojen noudattamista, mukaan lukien vastuualueiden jakaminen, tietoisuuden lisääminen ja asianomaisen henkilöstön koulutus. käsittelytoimissa ja niihin liittyvissä tarkastuksissa;
- c) antaa pyydettäessä neuvoja tietosuojavaikutusten arvioinnista ja seurata sen toimintaa 35 artiklan mukaisesti;
- d) tehdä yhteistyötä komission jäsenen kanssa;
- e) toimia komission jäsenen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklassa tarkoitettu ennakkoneuvottelu, ja tarvittaessa neuvotella kaikista muista asioista.
- Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitukset.
Tietosuojavastaavien ei pitäisi ainoastaan tiedottaa ja neuvoa organisaatioita käsittelytoimista, vaan myös valvoa voimassa olevan lainsäädännön noudattamista.
Organisaation nimeämällä DPO:lla on myös keskeinen rooli aina, kun on tarpeen suorittaa tietosuojavaikutusten arviointi (DPIA).
On tärkeää huomata, että vaikka tietosuojavastaavan rooli on tiukasti sidottu luottamuksellisuusperiaatteisiin, he voivat silti pyytää ohjausta ja neuvoja sääntely- ja lakiviranomaisilta.
Tässä osiossa puhumme GDPR-artikkeleista 39 (1) (a), 39 (1) (b), 39 (1) (c), 39 (1) (d), 39 (1) (e), 39 ( 2)
Tietosuojavastaavien tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulisi tarjota jatkuvaa tukea, jotta he voivat säilyttää hyväksyttävän pätevyyden.
ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.
Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701 7.3.2), nimittäin tietosuojavastaava.
Lisäksi organisaatioiden tulee delegoida vastuu organisaation rakentamisesta yhdelle tai useammalle henkilölle yksityisyyden hallintaohjelma joka tukee paikallisten ja kansallisten henkilökohtaisia tunnistetietoja koskevien lakien ja määräysten noudattamista.
Yleisenä lähestymistapana organisaatioiden tulisi toteuttaa määräaikaiskoulutusohjelmia (mukaan lukien perehdytysvaiheen aikana), jotka ovat nimenomaan omien yleisten ja aihekohtaisten yksityisyyden suojakäytäntöjen ja PIMS-vaatimusten mukaisia.
Koulutusmuodot voivat sisältää:
Henkilöstön, jolla on erityistehtävä yksityisyyden suojaan – esimerkiksi tieto- ja viestintätekniikan huoltohenkilöstön – tulisi hyötyä erityiskoulutussuunnitelmista, joissa otetaan huomioon heidän keskeinen roolinsa henkilötietojen suojaamisessa.
Koulutussuunnitelmien/istuntojen tulee päättyä arviointiin, joka tarjoaa organisaatiolle ylhäältä alas näkymän pätevyyden tasoista työntekijäkohtaisesti.
Työpaikkakoulutuksen täydentämiseksi organisaatioiden tulisi myös ottaa käyttöön yksityisyyden suojan tiedotusohjelmia, jotka tarjoavat henkilöstölle erilaisia materiaaleja, jotka toimivat tietopisteinä henkilökohtaisista tunnisteista ja organisaation yksityisyyden suojasta.
Tietoisuusohjelmat voivat sisältää:
Tietoisuuden lisäämispyrkimykset olisi keskitettävä:
Henkilökohtaisia tunnistetietoja tulee käsitellä omana erillisenä aiheensa yksityisyyden suojan koulutusohjelmissa.
Henkilökunta on saatava tarkasti tietoiseksi erityisistä oikeudellisista, kaupallisista, maineeseen liittyvistä ja kurinpidollisista seurauksista, jotka johtuvat henkilökohtaisten tunnistetietojen väärinkäytöstä ja/tai väärinkäytöstä.
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
---|---|---|
EU:n GDPR:n artiklat 39 (1) (a)–39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
EU:n GDPR 39 artiklan 1 kohdan b alakohta | ISO 27701 6.4.2.2 | Ei eristetty |
Tue laajempia liiketoimintapäätöksiä. Kun kaikki tietosi on yhdessä paikassa, joka on suunniteltu yhteistyöhön, sinulla on paremmat valmiudet tehdä oikeita päätöksiä.
Pysy muutoksen edellä. Riskit eivät ole staattisia, joten työkalujesi on kyettävä mukautumaan. Tartu uhkiin ja mahdollisuuksiin vaivattomasti integroidun ja dynaamisen työkalun avulla, joka yksinkertaistaa riskien tunnistamista, arviointia ja käsittelyä jatkuvasti.
Lisätietoja: ajoittamalla demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi