כיצד להוכיח ציות ל-GDPR סעיף 37

ייעודו של קצין הגנת המידע

הזמן הדגמה

קבוצה,של,שמחים,עמיתים לעבודה,דיונים,בחדר,וועידה

קציני הגנת מידע הם מרכיב בסיסי בכל פעילות אבטחת סייבר רחבה יותר של ארגון.

GDPR סעיף 37 מדגיש את חשיבות התפקיד, ומציע הדרכה כיצד יש למנות DPO, פעילויות הליבה של התפקיד וכיצד מתקשרים מינויים כאלה.

GDPR סעיף 37 טקסט משפטי

גרסת GDPR של האיחוד האירופי

ייעודו של קצין הגנת המידע

  1. הבקר והמעבד יקבעו קצין הגנת מידע בכל מקרה בו:

    • (א) העיבוד מתבצע על ידי רשות או גוף ציבורי, למעט בתי משפט הפועלים בתפקידם השיפוטי;

    • (ב) פעילויות הליבה של הבקר או המעבד מורכבות מפעולות עיבוד המחייבות, מתוקף טבען, היקפן ו/או מטרותיהן, מעקב שוטף ושיטתי אחר נושאי המידע בקנה מידה גדול; אוֹ

    • (ג) פעילויות הליבה של הבקר או המעבד מורכבות מעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים לפי סעיף 9 ונתונים אישיים הנוגעים להרשעות ועבירות פליליות האמורות בסעיף 10.

  2. קבוצה של חברות רשאית למנות קצין הגנת מידע יחיד בתנאי שמכל מפעל יהיה גישה נוחה לקצין הגנת מידע.

  3. כאשר הבקר או המעבד הם רשות או גוף ציבוריים, ניתן לייעד קצין הגנת מידע יחיד עבור מספר רשויות או גופים כאלה, תוך התחשבות במבנה הארגוני ובגודלם.

  4. במקרים אחרים מאלה המוזכרים בסעיף 1, הבקר או המעבד או עמותות וגופים אחרים המייצגים קטגוריות של בקרים או מעבדים רשאים או, כאשר הדבר נדרש על פי חוק האיחוד או המדינה החברות, יקבע קצין הגנת מידע. קצין הגנת המידע עשוי לפעול עבור עמותות כאלה וגופים אחרים המייצגים בקרים או מעבדים.

  5. קצין הגנת המידע יוגדר על בסיס תכונות מקצועיות ובמיוחד ידע מומחה בדיני הגנת מידע ושיטות עבודה ויכולת למלא את המשימות האמורות בסעיף 39.

  6. קצין הגנת המידע יכול להיות איש צוות של הבקר או המעבד, או למלא את המשימות על בסיס חוזה שירות.

  7. הבקר או המעבד יפרסמו את פרטי ההתקשרות של קצין הגנת המידע ויעבירו אותם לרשות הפיקוח.

גרסת GDPR בבריטניה

ייעודו של קצין הגנת המידע

  1. הבקר והמעבד יקבעו קצין הגנת מידע בכל מקרה בו:

    • (א) העיבוד מתבצע על ידי רשות או גוף ציבורי, למעט בתי משפט הפועלים בתפקידם השיפוטי;

    • (ב) פעילויות הליבה של הבקר או המעבד מורכבות מפעולות עיבוד המחייבות, מתוקף טבען, היקפן ו/או מטרותיהן, מעקב שוטף ושיטתי אחר נושאי המידע בקנה מידה גדול; אוֹ

    • (ג) פעילויות הליבה של הבקר או המעבד מורכבות מעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים לפי סעיף 9 ונתונים אישיים הנוגעים להרשעות ועבירות פליליות האמורות בסעיף 10.

  2. קבוצה של חברות רשאית למנות קצין הגנת מידע יחיד בתנאי שמכל מפעל יהיה גישה נוחה לקצין הגנת מידע.

  3. כאשר הבקר או המעבד הם רשות או גוף ציבוריים, ניתן לייעד קצין הגנת מידע יחיד עבור מספר רשויות או גופים כאלה, תוך התחשבות במבנה הארגוני ובגודלם.

  4. במקרים אחרים מאלה הנזכרים בסעיף 1, הבקר או המעבד או עמותות וגופים אחרים המייצגים קטגוריות של בקרים או מעבדים רשאים לקבוע קצין הגנת מידע. קצין הגנת המידע עשוי לפעול עבור עמותות כאלה וגופים אחרים המייצגים בקרים או מעבדים.

  5. קצין הגנת המידע יוגדר על בסיס תכונות מקצועיות ובמיוחד ידע מומחה בדיני הגנת מידע ושיטות עבודה ויכולת למלא את המשימות האמורות בסעיף 39.

  6. קצין הגנת המידע יכול להיות איש צוות של הבקר או המעבד, או למלא את המשימות על בסיס חוזה שירות.

  7. הבקר או המעבד יפרסמו את פרטי ההתקשרות של קצין הגנת המידע ויעבירו אותם לממונה.
קפוץ לנושא

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

פרשנות טכנית

סעיף 37 של GDPR מתאר 7 תחומים מרכזיים שארגונים צריכים לקחת בחשבון בעת ​​מינוי וניהול הפעילויות של קצין הגנה על נתונים:

  1. החובה הבסיסית למנות קצין הגנת מידע.

  2. הזכות למנות DPO לחברות קבוצתיות גדולות.

  3. היכולת של קבוצות של ארגונים למנות DPO יחיד הנותן מענה לחובות ולמבנה הארגוני המשותף שלהם.

  4. נסיבות מיוחדות המאפשרות מינוי DPO (מתווך בין ארגונים ורשויות שלטון).

  5. המומחיות של ה-DPO, לרבות כל ניסיון משפטי ותפעולי רלוונטי.

  6. התקשרות עם תפקידי DPO, במקום מינוי פנימי.

  7. הפיכת פרטי ההתקשרות של DPO לזמינים למי שדורש אותם, ומותר על פי חוק לרכוש אותם.

ISO 27701 סעיף 6.3.1.1 (תפקידים ואחריות של אבטחת מידע) וסעיף 37 של ה-EU GDPR

בסעיף זה אנו מדברים על סעיפים GDPR 37 (1)(א), 37 (1)(ב), 37 (1)(ג), 37 (2), 37 (3), 37 (4), 37 (5) ), 37 (6), 37 (7)

ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.

אנשים בעלי אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת השומרת על רמת כשירות מקובלת.

תחומי אחריות צריכים לכלול:

  • הגנה על PII וכל נכס הקשור לפרטיות.

  • ביצוע נהלי הגנת הפרטיות.

  • פעילויות ניהול סיכונים הקשורות ל-PII, כולל פעולות מתקנות.

  • כל מי שמשתמש במידע ובנתונים של הארגון, לרבות שימוש בנכסי תקשוב.

  • אנשים עם אחריות ברמה העליונה להגנת הפרטיות מאצילים משימות לאחרים.

ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.

יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.

ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל הנושאים הקשורים ל-PII (ראה ISO 27701 סעיף 7.3.2).

בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.3.2

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
סעיפים GDPR של האיחוד האירופי 37 (1)(א) עד 37 (7)ISO 27701 6.3.1.1ISO 27701 7.3.2

כיצד ISMS.online עוזר

פתרון ה-GDPR המלא שלך.

הסביבה הבנויה מראש שלנו משתלבת בצורה חלקה במערכת הניהול שלך ומאפשרת לך לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות שלך באירופה ובבריטניה.

עם ISMS.online, אתה יכול להדגים בקלות רמה של הגנה על פרטיות החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.

למידע נוסף על ידי הזמנת הדגמה.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף