Hur man visar efterlevnad av GDPR artikel 38

Befattning som dataskyddsombud

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

Efter artikel 37 som handlar om tidsbeställning av en DPO, GDPR Artikel 38 beskriver omfattning om sina arbetsuppgifter, sin position i organisationen och vissa specifika uppgifter och uppgifter.

GDPR Artikel 38 Lagtext

EU GDPR-version

Befattning som dataskyddsombud

  1. Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet är involverat, korrekt och i tid, i alla frågor som rör skyddet av personuppgifter.

  2. Den personuppgiftsansvarige och registerföraren ska stödja dataskyddsombudet i att utföra de uppgifter som avses i artikel 39 genom att tillhandahålla resurser som krävs för att utföra dessa uppgifter och tillgång till personuppgifter och behandlingar samt för att upprätthålla hans eller hennes expertkunskap.

  3. Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet inte får några instruktioner angående utövandet av dessa uppgifter. Han eller hon ska inte avskedas eller straffas av den registeransvarige eller registerföraren för att han eller hon utfört sina uppgifter. Dataskyddsombudet ska direkt rapportera till den registeransvariges eller registerförarens högsta ledningsnivå.

  4. Registrerade kan kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av sina rättigheter enligt denna förordning.

  5. Dataskyddsombudet ska vara bunden av sekretess eller konfidentialitet när det gäller utförandet av sina uppgifter, i enlighet med unions- eller medlemsstatslagstiftningen.

  6. Dataskyddsombudet kan utföra andra uppgifter och uppgifter. Den personuppgiftsansvarige eller registerföraren ska säkerställa att sådana uppgifter och uppgifter inte leder till en intressekonflikt.

Storbritanniens GDPR-version

Befattning som dataskyddsombud

  1. Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet är involverat, korrekt och i tid, i alla frågor som rör skyddet av personuppgifter.

  2. Den personuppgiftsansvarige och registerföraren ska stödja dataskyddsombudet i att utföra de uppgifter som avses i artikel 39 genom att tillhandahålla resurser som krävs för att utföra dessa uppgifter och tillgång till personuppgifter och behandlingar samt för att upprätthålla hans eller hennes expertkunskap.

  3. Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet inte får några instruktioner angående utövandet av dessa uppgifter. Han eller hon ska inte avskedas eller straffas av den registeransvarige eller registerföraren för att han eller hon utfört sina uppgifter. Dataskyddsombudet ska direkt rapportera till den registeransvariges eller registerförarens högsta ledningsnivå.

  4. Registrerade kan kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av sina rättigheter enligt denna förordning.

  5. Dataskyddsombudet ska vara bunden av sekretess eller konfidentialitet när det gäller utförandet av sina uppgifter, i enlighet med nationell lagstiftning.

  6. Dataskyddsombudet kan utföra andra uppgifter och uppgifter. Den personuppgiftsansvarige eller registerföraren ska säkerställa att sådana uppgifter och uppgifter inte leder till en intressekonflikt.
Hoppa till ämne

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

Teknisk kommentar

GDPR Artikel 38 behandlar tre huvudsakliga verksamhetsområden som berör omfattningen av en dataskyddsombuds uppgifter inom organisationen:

  1. Det specifika roll av dataskyddsombudet inom organisationen, och hur de är involverade i skyddet av en individs uppgifter.

  2. Vikten av att underhålla opartiskhet och konfidentialitet, när de utför sina uppgifter, fri från otillbörlig granskning eller inblandning från organisationsledningen.

  3. Behovet av att undvika någon intressekonflikt, om uppgiftsskyddsombudet utför någon annan roll inom organisationen, antingen kopplad till eller inte kopplad till deras skyldigheter som uppgiftsskyddsombud.

ISO 27701 klausul 6.3.1.1 (Informationssäkerhetsroller och ansvarsområden) och EU GDPR artikel 38

I det här avsnittet talar vi om GDPR-artiklarna 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)

Organisationer bör definiera roller och ansvar som är specifika för enskilda funktioner som ingår i deras integritetsskyddspolicy – ​​både deras allmänna policy och ämnesspecifika policyer.

Individer med specifika ansvarsområden bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd som upprätthåller en acceptabel kompetensnivå.

Ansvarsområden bör omfatta:

  • Skydd av PII och alla integritetsrelaterade tillgångar.

  • Utföra integritetsskyddsförfaranden.

  • PII-relaterade riskhanteringsaktiviteter, inklusive korrigerande åtgärder.

  • Alla som använder organisationens information och data, inklusive användning av IKT-tillgångar.

  • Individer med ansvar på toppnivå för integritetsskydd delegerar uppgifter till andra.

ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.

Alla ovanstående ansvarsområden och säkerhetsområden bör vara tydligt dokumenterade och göras tillgängliga för alla relevanta personal.

Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade frågor (se ISO 27701 klausul 7.3.2).

Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga ett organisatoriskt program för sekretessstyrning som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.

Stöder ISO 27701 klausuler

  • ISO 27701 7.3.2

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISO 27701 klausul 6.10.2.4 (Konfidentialitet eller sekretessavtal) och EU GDPR artikel 38 (5)

När organisationer utarbetar, implementerar och underhåller NDA:er bör de:

  • Erbjud en definition av den information som ska skyddas.

  • Ange tydligt den förväntade varaktigheten av avtalet.

  • Ange tydligt vilka åtgärder som krävs när ett avtal har sagts upp.

  • Eventuellt ansvar som överenskommits av bekräftade undertecknare.

  • Äganderätt till information (inklusive IP och affärshemligheter).

  • Hur undertecknare får använda informationen.

  • Beskriv tydligt organisationens rätt att övervaka konfidentiell information.

  • Eventuella konsekvenser som kommer att uppstå av bristande efterlevnad.

  • Går regelbundet igenom deras sekretessbehov och anpassar eventuella framtida avtal därefter.

Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDA och sekretessavtal (se ISO 27002 kontroller 5.31, 5.32, 5.33 och 5.34).

Stöder ISO 27002 kontroller

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27002 kontroller
EU GDPR artiklarna 38 (1) till 38 (6)ISO 27701 6.3.1.1
ISO 27701 7.3.2		Ingen
EU GDPR artikel 38 (5)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Hur ISMS.online Hjälp

GDPR-efterlevnad med ISMS.online

Vår implementeringsmetod 'Adoptera, anpassa, lägg till' på ISMS.online-plattformen gör det enkelt att demonstrera din GDPR-efterlevnadsmetod. Dessutom kommer du att dra nytta av kraftfulla tidsbesparande funktioner.

Om det värsta skulle hända är du förberedd. Genom att dokumentera och lära av varje incident gör vi det enkelt för dig att planera och kommunicera ditt arbetsflöde för brott.

Ta reda på mer av boka en demo.

Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.

Emmie Cooney
Driftchef, Vän

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer