I forlængelse af artikel 37, der omhandler udnævnelse af en DPO, GDPR Artikel 38 skitserer rækkevidde af deres opgaver, deres stilling i organisationen og nogle specifikke opgaver og pligter.
Stilling som databeskyttelsesrådgiver
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige er involveret korrekt og rettidigt i alle spørgsmål, der vedrører beskyttelse af personoplysninger.
- Den dataansvarlige og databehandleren skal støtte den databeskyttelsesansvarlige i udførelsen af de opgaver, der er omhandlet i artikel 39, ved at stille de nødvendige ressourcer til rådighed for at udføre disse opgaver og adgang til personoplysninger og behandlingsoperationer og for at bevare hans eller hendes ekspertviden.
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige ikke modtager instruktioner vedrørende udførelsen af disse opgaver. Han eller hun må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Den databeskyttelsesansvarlige rapporterer direkte til den dataansvarliges eller databehandlerens højeste ledelsesniveau.
- Registrerede kan kontakte den databeskyttelsesansvarlige med hensyn til alle spørgsmål i forbindelse med behandlingen af deres personoplysninger og udøvelsen af deres rettigheder i henhold til denne forordning.
- Den databeskyttelsesansvarlige er bundet af tavshedspligt eller fortrolighed med hensyn til udførelsen af hans eller hendes opgaver i overensstemmelse med EU- eller medlemsstatslovgivningen.
- Den databeskyttelsesansvarlige kan udføre andre opgaver og pligter. Den dataansvarlige eller databehandler skal sikre, at sådanne opgaver og pligter ikke resulterer i en interessekonflikt.
Stilling som databeskyttelsesrådgiver
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige er involveret korrekt og rettidigt i alle spørgsmål, der vedrører beskyttelse af personoplysninger.
- Den dataansvarlige og databehandleren skal støtte den databeskyttelsesansvarlige i udførelsen af de opgaver, der er omhandlet i artikel 39, ved at stille de nødvendige ressourcer til rådighed for at udføre disse opgaver og adgang til personoplysninger og behandlingsoperationer og for at bevare hans eller hendes ekspertviden.
- Den dataansvarlige og databehandleren skal sikre, at den databeskyttelsesansvarlige ikke modtager instruktioner vedrørende udførelsen af disse opgaver. Han eller hun må ikke afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver. Den databeskyttelsesansvarlige rapporterer direkte til den dataansvarliges eller databehandlerens højeste ledelsesniveau.
- Registrerede kan kontakte den databeskyttelsesansvarlige med hensyn til alle spørgsmål i forbindelse med behandlingen af deres personoplysninger og udøvelsen af deres rettigheder i henhold til denne forordning.
- Den databeskyttelsesansvarlige er bundet af tavshedspligt eller fortrolighed vedrørende udførelsen af hans eller hendes opgaver i overensstemmelse med national lovgivning.
- Den databeskyttelsesansvarlige kan udføre andre opgaver og pligter. Den dataansvarlige eller databehandler skal sikre, at sådanne opgaver og pligter ikke resulterer i en interessekonflikt.
Vi er omkostningseffektive og hurtige
GDPR artikel 38 omhandler tre hovedområder, der vedrører omfanget af en databeskyttelsesansvarligs opgaver i organisationen:
I dette afsnit taler vi om GDPR artikel 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.
Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte, der opretholder et acceptabelt kompetenceniveau.
Ansvarsområder bør omfatte:
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701, paragraf 7.3.2).
Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.
Når organisationer udarbejder, implementerer og vedligeholder NDA'er, bør de:
Fortrolighedslovene varierer fra jurisdiktion til jurisdiktion, og organisationer bør overveje deres egne juridiske og regulatoriske forpligtelser, når de udarbejder NDA'er og fortrolighedsaftaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).
| GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
|---|---|---|
| EU GDPR artikel 38 (1) til 38 (6) | ISO 27701 6.3.1.1 ISO 27701 7.3.2 | Ingen |
| EU GDPR artikel 38 (5) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
GDPR overholdelse af ISMS.online
Vores 'Adopter, Adapt, Add' implementeringstilgang på ISMS.online platformen gør det nemt at demonstrere din GDPR compliance tilgang. Derudover vil du drage fordel af kraftfulde tidsbesparende funktioner.
I tilfælde af det værste sker, vil du være forberedt. Ved at dokumentere og lære af hver hændelse gør vi det nemt for dig at planlægge og kommunikere dit brud-workflow.
Find ud af mere ved booking af en demo.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Bed om et tilbud
