Nøglekrav i GDPR Artikel 38: Hvad virksomheder behøver at vide
I forlængelse af artikel 37, der omhandler udnævnelse af en DPO, GDPR Artikel 38 skitserer rækkevidde af deres opgaver, deres stilling i organisationen og nogle specifikke opgaver og pligter.
GDPR Artikel 38 Lovtekst
EU GDPR-version
Stilling som databeskyttelsesrådgiver
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige er involveret korrekt og rettidigt i alle spørgsmål, der vedrører beskyttelse af personoplysninger.
- Den dataansvarlige og databehandleren skal støtte den databeskyttelsesansvarlige i udførelsen af de opgaver, der er omhandlet i artikel 39, ved at stille de nødvendige ressourcer til rådighed for at udføre disse opgaver og adgang til personoplysninger og behandlingsoperationer og for at bevare hans eller hendes ekspertviden.
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige ikke modtager instruktioner vedrørende udførelsen af disse opgaver. Han eller hun må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Den databeskyttelsesansvarlige rapporterer direkte til den dataansvarliges eller databehandlerens højeste ledelsesniveau.
- Registrerede kan kontakte den databeskyttelsesansvarlige med hensyn til alle spørgsmål i forbindelse med behandlingen af deres personoplysninger og udøvelsen af deres rettigheder i henhold til denne forordning.
- Den databeskyttelsesansvarlige er bundet af tavshedspligt eller fortrolighed med hensyn til udførelsen af hans eller hendes opgaver i overensstemmelse med EU- eller medlemsstatslovgivningen.
- Den databeskyttelsesansvarlige kan udføre andre opgaver og pligter. Den dataansvarlige eller databehandler skal sikre, at sådanne opgaver og pligter ikke resulterer i en interessekonflikt.
UK GDPR-version
Stilling som databeskyttelsesrådgiver
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige er involveret korrekt og rettidigt i alle spørgsmål, der vedrører beskyttelse af personoplysninger.
- Den dataansvarlige og databehandleren skal støtte den databeskyttelsesansvarlige i udførelsen af de opgaver, der er omhandlet i artikel 39, ved at stille de nødvendige ressourcer til rådighed for at udføre disse opgaver og adgang til personoplysninger og behandlingsoperationer og for at bevare hans eller hendes ekspertviden.
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige ikke modtager instruktioner vedrørende udførelsen af disse opgaver. Han eller hun må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Den databeskyttelsesansvarlige rapporterer direkte til den dataansvarliges eller databehandlerens højeste ledelsesniveau.
- Registrerede kan kontakte den databeskyttelsesansvarlige med hensyn til alle spørgsmål i forbindelse med behandlingen af deres personoplysninger og udøvelsen af deres rettigheder i henhold til denne forordning.
- Den databeskyttelsesansvarlige er bundet af tavshedspligt eller fortrolighed vedrørende udførelsen af hans eller hendes opgaver i overensstemmelse med national lovgivning.
- Den databeskyttelsesansvarlige kan udføre andre opgaver og pligter. Den dataansvarlige eller databehandler skal sikre, at sådanne opgaver og pligter ikke resulterer i en interessekonflikt.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
GDPR artikel 38 omhandler tre hovedområder, der vedrører omfanget af en databeskyttelsesansvarligs opgaver i organisationen:
- Den specifikke rolle af DPO'en i organisationen, og hvordan de er involveret i beskyttelsen af en persons data.
- Vigtigheden af at vedligeholde upartiskhed og fortrolighed, når de udfører deres opgaver, fri for unødig kontrol eller indblanding fra organisationens ledelse.
- Behovet for at undgå evt interessekonflikter, hvis DPO'en varetager en anden rolle i organisationen, enten forbundet eller ikke forbundet med deres forpligtelser som DPO.
ISO 27701 paragraf 6.3.1.1 (Informationssikkerhedsroller og -ansvar) og EU GDPR artikel 38
I dette afsnit taler vi om GDPR artikel 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.
Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte, der opretholder et acceptabelt kompetenceniveau.
Ansvarsområder bør omfatte:
- Beskyttelse af PII og eventuelle privatlivsrelaterede aktiver.
- Udførelse af procedurer for beskyttelse af privatlivets fred.
- PII-relaterede risikostyringsaktiviteter, herunder afhjælpende handlinger.
- Enhver, der bruger organisationens oplysninger og data, herunder brugen af IKT-aktiver.
- Personer med ansvar på øverste niveau for beskyttelse af privatlivets fred uddelegerer opgaver til andre.
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701, paragraf 7.3.2).
Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.
Understøtter ISO 27701 klausuler
- ISO 27701 7.3.2
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.10.2.4 (aftaler om fortrolighed eller fortrolighed) og EU GDPR artikel 38, stk.
Når organisationer udarbejder, implementerer og vedligeholder NDA'er, bør de:
- Giv en definition af de oplysninger, der skal beskyttes.
- Angiv tydeligt den forventede varighed af aftalen.
- Angiv tydeligt eventuelle nødvendige handlinger, når en aftale er blevet opsagt.
- Ethvert ansvar, der er aftalt af bekræftede underskrivere.
- Ejerskab af oplysninger (herunder IP og forretningshemmeligheder).
- Hvordan underskrivere har tilladelse til at bruge oplysningerne.
- Angiv klart organisationens ret til at overvåge fortrolige oplysninger.
- Eventuelle konsekvenser, der vil opstå af manglende overholdelse.
- Gennemgå regelmæssigt deres behov for fortrolighed og justere eventuelle fremtidige aftaler i overensstemmelse hermed.
Fortrolighedslovene varierer fra jurisdiktion til jurisdiktion, og organisationer bør overveje deres egne juridiske og regulatoriske forpligtelser, når de udarbejder NDA'er og fortrolighedsaftaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).
Understøtter ISO 27002 kontroller
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Indeks over linkede EU GDPR-artikler, ISO 27701-klausuler og ISO 27002-kontroller
| GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
|---|---|---|
| EU GDPR artikel 38 (1) til 38 (6) |
ISO 27701 6.3.1.1 ISO 27701 7.3.2 |
Ingen |
| EU GDPR artikel 38 (5) | ISO 27701 6.10.2.4 |
ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
Hvordan ISMS.online Hjælp
GDPR overholdelse af ISMS.online
Vores 'Adopter, Adapt, Add' implementeringstilgang på ISMS.online platformen gør det nemt at demonstrere din GDPR compliance tilgang. Derudover vil du drage fordel af kraftfulde tidsbesparende funktioner.
I tilfælde af det værste sker, vil du være forberedt. Ved at dokumentere og lære af hver hændelse gør vi det nemt for dig at planlægge og kommunikere dit brud-workflow.
Find ud af mere ved booking af en demo.
