Efter artikel 37 som handlar om tidsbeställning av en DPO, GDPR Artikel 38 beskriver omfattning om sina arbetsuppgifter, sin position i organisationen och vissa specifika uppgifter och uppgifter.
Befattning som dataskyddsombud
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet är involverat, korrekt och i tid, i alla frågor som rör skyddet av personuppgifter.
- Den personuppgiftsansvarige och registerföraren ska stödja dataskyddsombudet i att utföra de uppgifter som avses i artikel 39 genom att tillhandahålla resurser som krävs för att utföra dessa uppgifter och tillgång till personuppgifter och behandlingar samt för att upprätthålla hans eller hennes expertkunskap.
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet inte får några instruktioner angående utövandet av dessa uppgifter. Han eller hon ska inte avskedas eller straffas av den registeransvarige eller registerföraren för att han eller hon utfört sina uppgifter. Dataskyddsombudet ska direkt rapportera till den registeransvariges eller registerförarens högsta ledningsnivå.
- Registrerade kan kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av sina rättigheter enligt denna förordning.
- Dataskyddsombudet ska vara bunden av sekretess eller konfidentialitet när det gäller utförandet av sina uppgifter, i enlighet med unions- eller medlemsstatslagstiftningen.
- Dataskyddsombudet kan utföra andra uppgifter och uppgifter. Den personuppgiftsansvarige eller registerföraren ska säkerställa att sådana uppgifter och uppgifter inte leder till en intressekonflikt.
Befattning som dataskyddsombud
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet är involverat, korrekt och i tid, i alla frågor som rör skyddet av personuppgifter.
- Den personuppgiftsansvarige och registerföraren ska stödja dataskyddsombudet i att utföra de uppgifter som avses i artikel 39 genom att tillhandahålla resurser som krävs för att utföra dessa uppgifter och tillgång till personuppgifter och behandlingar samt för att upprätthålla hans eller hennes expertkunskap.
- Den personuppgiftsansvarige och registerföraren ska se till att dataskyddsombudet inte får några instruktioner angående utövandet av dessa uppgifter. Han eller hon ska inte avskedas eller straffas av den registeransvarige eller registerföraren för att han eller hon utfört sina uppgifter. Dataskyddsombudet ska direkt rapportera till den registeransvariges eller registerförarens högsta ledningsnivå.
- Registrerade kan kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av sina rättigheter enligt denna förordning.
- Dataskyddsombudet ska vara bunden av sekretess eller konfidentialitet när det gäller utförandet av sina uppgifter, i enlighet med nationell lagstiftning.
- Dataskyddsombudet kan utföra andra uppgifter och uppgifter. Den personuppgiftsansvarige eller registerföraren ska säkerställa att sådana uppgifter och uppgifter inte leder till en intressekonflikt.
GDPR Artikel 38 behandlar tre huvudsakliga verksamhetsområden som berör omfattningen av en dataskyddsombuds uppgifter inom organisationen:
I det här avsnittet talar vi om GDPR-artiklarna 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisationer bör definiera roller och ansvar som är specifika för enskilda funktioner som ingår i deras integritetsskyddspolicy – både deras allmänna policy och ämnesspecifika policyer.
Individer med specifika ansvarsområden bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd som upprätthåller en acceptabel kompetensnivå.
Ansvarsområden bör omfatta:
ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.
Alla ovanstående ansvarsområden och säkerhetsområden bör vara tydligt dokumenterade och göras tillgängliga för alla relevanta personal.
Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade frågor (se ISO 27701 klausul 7.3.2).
Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga ett organisatoriskt program för sekretessstyrning som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
När organisationer utarbetar, implementerar och underhåller NDA:er bör de:
Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDA och sekretessavtal (se ISO 27002 kontroller 5.31, 5.32, 5.33 och 5.34).
GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artiklarna 38 (1) till 38 (6) | ISO 27701 6.3.1.1 ISO 27701 7.3.2 | Ingen |
EU GDPR artikel 38 (5) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
GDPR-efterlevnad med ISMS.online
Vår implementeringsmetod 'Adoptera, anpassa, lägg till' på ISMS.online-plattformen gör det enkelt att demonstrera din GDPR-efterlevnadsmetod. Dessutom kommer du att dra nytta av kraftfulla tidsbesparande funktioner.
Om det värsta skulle hända är du förberedd. Genom att dokumentera och lära av varje incident gör vi det enkelt för dig att planera och kommunicera ditt arbetsflöde för brott.
Ta reda på mer av boka en demo.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Begär offert