Kuinka osoittaa GDPR-artiklan 39 noudattaminen

GDPR:n artiklassa 39 hahmotellaan tietosuojavastaavan (DPO) tärkeimmät vastuut, mukaan lukien tietosuojaa koskeva neuvonta, vaatimustenmukaisuuden valvonta, DPIA:n ohjaaminen ja yhteydenpito valvontaviranomaisiin. Se korostaa myös GDPR:n ja ISO 27701:n välistä yhdenmukaisuutta PII (Personally Identifiable Information) -suojauksen ja vaatimustenmukaisuuden vahvistamiseksi.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 10. maaliskuuta 2025
LinkedIn Twitter Twitter

Ymmärrä GDPR:n artikla 39: Tietosuojavastaavan keskeiset vastuut

GDPR Artikla 39 hahmotellaan vähimmäistehtävät, jotka tietosuojavastaavan on suoritettava voidakseen katsoa olevansa tehokkaita, mukaan lukien hänen velvollisuutensa lakia kohtaan ja vuorovaikutus hallintoviranomaisten kanssa.

GDPR artiklan 39 lakiteksti

EU:n GDPR-versio

Tietosuojavastaavan tehtävät

  1. Tietosuojavastaavalla on oltava vähintään seuraavat tehtävät:

    • a) tiedottaa rekisterinpitäjälle tai henkilötietojen käsittelijälle ja käsittelyä suorittaville työntekijöille tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisista velvollisuuksistaan ​​ja neuvoo niitä;
    • b) valvoa tämän asetuksen, unionin tai jäsenvaltioiden muiden tietosuojasäännösten sekä rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaamista koskevien politiikkojen noudattamista, mukaan lukien vastuiden jakaminen, tietoisuuden lisääminen ja henkilöstön koulutus. osallistuminen käsittelytoimiin ja niihin liittyviin tarkastuksiin;
    • c) antaa pyydettäessä neuvoja tietosuojavaikutusten arvioinnista ja seurata sen toimintaa 35 artiklan mukaisesti;
    • d) tehdä yhteistyötä valvontaviranomaisen kanssa;
    • e) toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklassa tarkoitettu ennakkoneuvottelu, ja neuvotella tarvittaessa kaikista muista asioista.
  2. Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitukset.

Yhdistyneen kuningaskunnan GDPR-versio

Tietosuojavastaavan tehtävät

  1. Tietosuojavastaavalla on oltava vähintään seuraavat tehtävät:

    • a) tiedottaa ja neuvoa rekisterinpitäjälle tai henkilötietojen käsittelijälle ja käsittelyä suorittaville työntekijöille tämän asetuksen ja muun kansallisen tietosuojalainsäädännön mukaisista velvollisuuksistaan;
    • b) valvoa tämän asetuksen, muun tietosuojaan liittyvän kansallisen lainsäädännön sekä rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaa koskevien politiikkojen noudattamista, mukaan lukien vastuualueiden jakaminen, tietoisuuden lisääminen ja asianomaisen henkilöstön koulutus. käsittelytoimissa ja niihin liittyvissä tarkastuksissa;
    • c) antaa pyydettäessä neuvoja tietosuojavaikutusten arvioinnista ja seurata sen toimintaa 35 artiklan mukaisesti;
    • d) tehdä yhteistyötä komission jäsenen kanssa;
    • e) toimia komission jäsenen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklassa tarkoitettu ennakkoneuvottelu, ja tarvittaessa neuvotella kaikista muista asioista.
  2. Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitukset.


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Tekninen kommentti

Tietosuojavastaavien ei pitäisi ainoastaan ​​tiedottaa ja neuvoa organisaatioita käsittelytoimista, vaan myös valvoa voimassa olevan lainsäädännön noudattamista.

Organisaation nimeämällä DPO:lla on myös keskeinen rooli aina, kun on tarpeen suorittaa tietosuojavaikutusten arviointi (DPIA).

On tärkeää huomata, että vaikka tietosuojavastaavan rooli on tiukasti sidottu luottamuksellisuusperiaatteisiin, he voivat silti pyytää ohjausta ja neuvoja sääntely- ja lakiviranomaisilta.

ISO 27701 -lauseke 6.3.1.1 (Tietoturvaroolit ja -vastuut) ja EU:n GDPR:n artikla 39

Tässä osiossa puhumme GDPR-artikkeleista 39 (1) (a), 39 (1) (b), 39 (1) (c), 39 (1) (d), 39 (1) (e), 39 ( 2)

Tietosuojavastaavien tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulisi tarjota jatkuvaa tukea, jotta he voivat säilyttää hyväksyttävän pätevyyden.

ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.

Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701 7.3.2), nimittäin tietosuojavastaava.

Lisäksi organisaatioiden tulee delegoida vastuu organisaation rakentamisesta yhdelle tai useammalle henkilölle yksityisyyden hallintaohjelma joka tukee paikallisten ja kansallisten henkilökohtaisia ​​tunnistetietoja koskevien lakien ja määräysten noudattamista.

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2

ISO 27701 -lauseke 6.4.2.2 (Tietoturvatietoisuus, koulutus ja koulutus) ja EU:n GDPR:n artiklan 39 (1) b alakohta

Yleisenä lähestymistapana organisaatioiden tulisi toteuttaa määräaikaiskoulutusohjelmia (mukaan lukien perehdytysvaiheen aikana), jotka ovat nimenomaan omien yleisten ja aihekohtaisten yksityisyyden suojakäytäntöjen ja PIMS-vaatimusten mukaisia.

Koulutusmuodot voivat sisältää:

  • eLearning.
  • Henkilökohtainen konsultointi.
  • Henkilökunnan jäsenet varjostavat toisiaan.
  • Aihekohtaisten tai yleisten yksityisyyden suojan asiantuntijoiden järjestämät koulutusseminaarit.
  • Työpaikan mentorointi.

Henkilöstön, jolla on erityistehtävä yksityisyyden suojaan – esimerkiksi tieto- ja viestintätekniikan huoltohenkilöstön – tulisi hyötyä erityiskoulutussuunnitelmista, joissa otetaan huomioon heidän keskeinen roolinsa henkilötietojen suojaamisessa.

Koulutussuunnitelmien/istuntojen tulee päättyä arviointiin, joka tarjoaa organisaatiolle ylhäältä alas näkymän pätevyyden tasoista työntekijäkohtaisesti.

Työpaikkakoulutuksen täydentämiseksi organisaatioiden tulisi myös ottaa käyttöön yksityisyyden suojan tiedotusohjelmia, jotka tarjoavat henkilöstölle erilaisia ​​materiaaleja, jotka toimivat tietopisteinä henkilökohtaisista tunnisteista ja organisaation yksityisyyden suojasta.

Tietoisuusohjelmat voivat sisältää:

  • Esitteitä.
  • Kirjaset.
  • Toimistojulisteet.
  • Omat verkkosivustot.
  • Ryhmän tiedotustilaisuudet.

Tietoisuuden lisäämispyrkimykset olisi keskitettävä:

  • Miten johto aikoo ylläpitää yksityisyyden suojan noudattamista koko organisaatiossa ja ketkä ovat tärkeimmät yhteyshenkilöt henkilötietoihin liittyvissä asioissa.
  • Mitkä ovat organisaation vaatimustenmukaisuusvaatimukset lait, määräykset, sopimusvelvoitteet ja toimittajasopimukset huomioon ottaen.
  • Korostetaan henkilökohtaisen vastuuvelvollisuuden tarvetta henkilökohtaisten tunnistetietojen suojaamisessa ja mitä seurauksia on tahattomista tai tarkoituksellisista menettelytaparikkomuksista.
  • ICT-turvallisuuden perusperiaatteet, kuten salasanasuojaus ja tapahtumaraportointi.
  • Kuinka henkilöstö voi perehtyä yksityisyyden suojan hienompiin näkökohtiin (lisätietoa, resurssiluettelot jne.).

Henkilökohtaisia ​​tunnistetietoja tulee käsitellä omana erillisenä aiheensa yksityisyyden suojan koulutusohjelmissa.

Henkilökunta on saatava tarkasti tietoiseksi erityisistä oikeudellisista, kaupallisista, maineeseen liittyvistä ja kurinpidollisista seurauksista, jotka johtuvat henkilökohtaisten tunnistetietojen väärinkäytöstä ja/tai väärinkäytöstä.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artiklat 39 (1) (a)–39 (2) ISO 27701 6.3.1.1 ISO 27701 7.3.2
EU:n GDPR 39 artiklan 1 kohdan b alakohta ISO 27701 6.4.2.2Ei eristetty

Miten ISMS.online Ohje

Tue laajempia liiketoimintapäätöksiä. Kun kaikki tietosi on yhdessä paikassa, joka on suunniteltu yhteistyöhön, sinulla on paremmat valmiudet tehdä oikeita päätöksiä.

Pysy muutoksen edellä. Riskit eivät ole staattisia, joten työkalujesi on kyettävä mukautumaan. Tartu uhkiin ja mahdollisuuksiin vaivattomasti integroidun ja dynaamisen työkalun avulla, joka yksinkertaistaa riskien tunnistamista, arviointia ja käsittelyä jatkuvasti.

Lisätietoja: ajoittamalla demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!