Viktiga krav i GDPR Artikel 38: Vad företag behöver veta
Efter artikel 37 som handlar om tidsbeställning av en DPO, GDPR Artikel 38 beskriver omfattning om sina arbetsuppgifter, sin position i organisationen och vissa specifika uppgifter och uppgifter.
GDPR Artikel 38 Lagtext
EU GDPR-version
Befattning som dataskyddsombud
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet är involverat, korrekt och i tid, i alla frågor som rör skyddet av personuppgifter.
- Den personuppgiftsansvarige och registerföraren ska stödja dataskyddsombudet i att utföra de uppgifter som avses i artikel 39 genom att tillhandahålla resurser som krävs för att utföra dessa uppgifter och tillgång till personuppgifter och behandlingar samt för att upprätthålla hans eller hennes expertkunskap.
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet inte får några instruktioner angående utövandet av dessa uppgifter. Han eller hon ska inte avskedas eller straffas av den registeransvarige eller registerföraren för att han eller hon utfört sina uppgifter. Dataskyddsombudet ska direkt rapportera till den registeransvariges eller registerförarens högsta ledningsnivå.
- Registrerade kan kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av sina rättigheter enligt denna förordning.
- Dataskyddsombudet ska vara bunden av sekretess eller konfidentialitet när det gäller utförandet av sina uppgifter, i enlighet med unions- eller medlemsstatslagstiftningen.
- Dataskyddsombudet kan utföra andra uppgifter och uppgifter. Den personuppgiftsansvarige eller registerföraren ska säkerställa att sådana uppgifter och uppgifter inte leder till en intressekonflikt.
Storbritanniens GDPR-version
Befattning som dataskyddsombud
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet är involverat, korrekt och i tid, i alla frågor som rör skyddet av personuppgifter.
- Den personuppgiftsansvarige och registerföraren ska stödja dataskyddsombudet i att utföra de uppgifter som avses i artikel 39 genom att tillhandahålla resurser som krävs för att utföra dessa uppgifter och tillgång till personuppgifter och behandlingar samt för att upprätthålla hans eller hennes expertkunskap.
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet inte får några instruktioner angående utövandet av dessa uppgifter. Han eller hon ska inte avskedas eller straffas av den registeransvarige eller registerföraren för att han eller hon utfört sina uppgifter. Dataskyddsombudet ska direkt rapportera till den registeransvariges eller registerförarens högsta ledningsnivå.
- Registrerade kan kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av sina rättigheter enligt denna förordning.
- Dataskyddsombudet ska vara bunden av sekretess eller konfidentialitet när det gäller utförandet av sina uppgifter, i enlighet med nationell lagstiftning.
- Dataskyddsombudet kan utföra andra uppgifter och uppgifter. Den personuppgiftsansvarige eller registerföraren ska säkerställa att sådana uppgifter och uppgifter inte leder till en intressekonflikt.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
GDPR Artikel 38 behandlar tre huvudsakliga verksamhetsområden som berör omfattningen av en dataskyddsombuds uppgifter inom organisationen:
- Det specifika roll av dataskyddsombudet inom organisationen, och hur de är involverade i skyddet av en individs uppgifter.
- Vikten av att underhålla opartiskhet och konfidentialitet, när de utför sina uppgifter, fri från otillbörlig granskning eller inblandning från organisationsledningen.
- Behovet av att undvika någon intressekonflikt, om uppgiftsskyddsombudet utför någon annan roll inom organisationen, antingen kopplad till eller inte kopplad till deras skyldigheter som uppgiftsskyddsombud.
ISO 27701 klausul 6.3.1.1 (Informationssäkerhetsroller och ansvarsområden) och EU GDPR artikel 38
I det här avsnittet talar vi om GDPR-artiklarna 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisationer bör definiera roller och ansvar som är specifika för enskilda funktioner som ingår i deras integritetsskyddspolicy – både deras allmänna policy och ämnesspecifika policyer.
Individer med specifika ansvarsområden bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd som upprätthåller en acceptabel kompetensnivå.
Ansvarsområden bör omfatta:
- Skydd av PII och alla integritetsrelaterade tillgångar.
- Utföra integritetsskyddsförfaranden.
- PII-relaterade riskhanteringsaktiviteter, inklusive korrigerande åtgärder.
- Alla som använder organisationens information och data, inklusive användning av IKT-tillgångar.
- Individer med ansvar på toppnivå för integritetsskydd delegerar uppgifter till andra.
ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.
Alla ovanstående ansvarsområden och säkerhetsområden bör vara tydligt dokumenterade och göras tillgängliga för alla relevanta personal.
Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade frågor (se ISO 27701 klausul 7.3.2).
Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga ett organisatoriskt program för sekretessstyrning som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.
Stöder ISO 27701 klausuler
- ISO 27701 7.3.2
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 6.10.2.4 (Konfidentialitet eller sekretessavtal) och EU GDPR artikel 38 (5)
När organisationer utarbetar, implementerar och underhåller NDA:er bör de:
- Erbjud en definition av den information som ska skyddas.
- Ange tydligt den förväntade varaktigheten av avtalet.
- Ange tydligt vilka åtgärder som krävs när ett avtal har sagts upp.
- Eventuellt ansvar som överenskommits av bekräftade undertecknare.
- Äganderätt till information (inklusive IP och affärshemligheter).
- Hur undertecknare får använda informationen.
- Beskriv tydligt organisationens rätt att övervaka konfidentiell information.
- Eventuella konsekvenser som kommer att uppstå av bristande efterlevnad.
- Går regelbundet igenom deras sekretessbehov och anpassar eventuella framtida avtal därefter.
Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDA och sekretessavtal (se ISO 27002 kontroller 5.31, 5.32, 5.33 och 5.34).
Stöder ISO 27002 kontroller
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Index över länkade EU GDPR-artiklar, ISO 27701-klausuler och ISO 27002-kontroller
| GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
|---|---|---|
| EU GDPR artiklarna 38 (1) till 38 (6) |
ISO 27701 6.3.1.1 ISO 27701 7.3.2 |
Ingen |
| EU GDPR artikel 38 (5) | ISO 27701 6.10.2.4 |
ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
Hur ISMS.online Hjälp
GDPR-efterlevnad med ISMS.online
Vår implementeringsmetod 'Adoptera, anpassa, lägg till' på ISMS.online-plattformen gör det enkelt att demonstrera din GDPR-efterlevnadsmetod. Dessutom kommer du att dra nytta av kraftfulla tidsbesparande funktioner.
Om det värsta skulle hända är du förberedd. Genom att dokumentera och lära av varje incident gör vi det enkelt för dig att planera och kommunicera ditt arbetsflöde för brott.
Ta reda på mer av boka en demo.
