כיצד להוכיח ציות ל-GDPR סעיף 38

תפקיד קצין הגנת המידע

הזמן הדגמה

קבוצה,של,שמחים,עמיתים לעבודה,דיונים,בחדר,וועידה

בהמשך לסעיף 37 העוסק ב קביעת פגישה של DPO, GDPR סעיף 38 מתאר את היקף של חובותיהם, תפקידם בארגון וכמה משימות וחובות ספציפיים.

GDPR סעיף 38 טקסט משפטי

גרסת GDPR של האיחוד האירופי

תפקיד קצין הגנת המידע

  1. הבקר והמעבד יוודא כי קצין הגנת המידע מעורב, כראוי ובזמן, בכל הנושאים הנוגעים להגנה על נתונים אישיים.

  2. הבקר והמעבד יתמכו בקצין הגנת המידע בביצוע המשימות האמורות בסעיף 39 על ידי אספקת משאבים הדרושים לביצוע משימות אלו וגישה לנתונים אישיים ולפעולות עיבוד, ולשמירה על הידע המומחה שלו.

  3. הבקר והמעבד יוודא כי קצין הגנת המידע לא יקבל הנחיות לגבי ביצוע משימות אלו. הוא או היא לא יפוטר או יענש על ידי הבקר או המעבד בגין ביצוע משימותיו. קצין הגנת המידע ידווח ישירות לדרג הניהולי הגבוה ביותר של הבקר או המעבד.

  4. נושאי המידע רשאים לפנות לקצין הגנת המידע בכל הקשור לעיבוד הנתונים האישיים שלהם ולמימוש זכויותיהם לפי תקנה זו.

  5. קצין הגנת המידע יהיה כפוף לסודיות או לסודיות בנוגע לביצוע משימותיו, בהתאם לחוק האיחוד או המדינות החברות.

  6. קצין הגנת המידע רשאי למלא משימות וחובות אחרות. הבקר או המעבד יוודא שכל משימות וחובות כאלה לא יגרמו לניגוד עניינים.

גרסת GDPR בבריטניה

תפקיד קצין הגנת המידע

  1. הבקר והמעבד יוודא כי קצין הגנת המידע מעורב, כראוי ובזמן, בכל הנושאים הנוגעים להגנה על נתונים אישיים.

  2. הבקר והמעבד יתמכו בקצין הגנת המידע בביצוע המשימות האמורות בסעיף 39 על ידי אספקת משאבים הדרושים לביצוע משימות אלו וגישה לנתונים אישיים ולפעולות עיבוד, ולשמירה על הידע המומחה שלו.

  3. הבקר והמעבד יוודא כי קצין הגנת המידע לא יקבל הנחיות לגבי ביצוע משימות אלו. הוא או היא לא יפוטר או יענש על ידי הבקר או המעבד בגין ביצוע משימותיו. קצין הגנת המידע ידווח ישירות לדרג הניהולי הגבוה ביותר של הבקר או המעבד.

  4. נושאי המידע רשאים לפנות לקצין הגנת המידע בכל הקשור לעיבוד הנתונים האישיים שלהם ולמימוש זכויותיהם לפי תקנה זו.

  5. קצין הגנת המידע יהיה מחויב בסודיות או בסודיות בכל הנוגע לביצוע משימותיו, בהתאם לחוק הפנימי.

  6. קצין הגנת המידע רשאי למלא משימות וחובות אחרות. הבקר או המעבד יוודא שכל משימות וחובות כאלה לא יגרמו לניגוד עניינים.
קפוץ לנושא

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

פרשנות טכנית

סעיף 38 של ה-GDPR עוסק בשלושה תחומי פעולה עיקריים הנוגעים להיקף תפקידי קציני הגנת המידע בארגון:

  1. המסוים תפקיד של ה-DPO בתוך הארגון, וכיצד הם מעורבים בהגנה על נתונים של אדם.

  2. חשיבות התחזוקה חוסר משוא פנים וחיסיון, בעת ביצוע תפקידם, ללא בדיקה או הפרעה מיותרת של ההנהלה הארגונית.

  3. הצורך להימנע מכל ניגוד עניינים, אם ה-DPO ממלא תפקיד אחר בתוך הארגון, בין אם קשור או לא קשור להתחייבויות שלהם כ-DPO.

ISO 27701 סעיף 6.3.1.1 (תפקידים ואחריות של אבטחת מידע) וסעיף 38 של ה-EU GDPR

בסעיף זה אנו מדברים על סעיפים GDPR 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)

ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.

אנשים בעלי אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת השומרת על רמת כשירות מקובלת.

תחומי אחריות צריכים לכלול:

  • הגנה על PII וכל נכס הקשור לפרטיות.

  • ביצוע נהלי הגנת הפרטיות.

  • פעילויות ניהול סיכונים הקשורות ל-PII, כולל פעולות מתקנות.

  • כל מי שמשתמש במידע ובנתונים של הארגון, לרבות שימוש בנכסי תקשוב.

  • אנשים עם אחריות ברמה העליונה להגנת הפרטיות מאצילים משימות לאחרים.

ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.

יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.

ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל הנושאים הקשורים ל-PII (ראה ISO 27701 סעיף 7.3.2).

בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.3.2

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISO 27701 סעיף 6.10.2.4 (הסכמי סודיות או סודיות) ו-EU GDPR סעיף 38 (5)

בעת ניסוח, יישום ותחזוקה של NDAs, ארגונים צריכים:

  • הציעו הגדרה למידע שיש להגן עליו.

  • ציין בבירור את משך ההסכם הצפוי.

  • ציין בבירור את כל הפעולות הנדרשות לאחר סיום ההסכם.

  • כל אחריות המוסכמת על ידי חותמים מאושרים.

  • בעלות על מידע (כולל IP וסודות מסחריים).

  • כיצד מותר לחותמים להשתמש במידע.

  • הגדר באופן ברור את זכותו של הארגון לפקח על מידע סודי.

  • כל השלכה שתנבע מאי ציות.

  • בודקים באופן קבוע את צורכי הסודיות שלהם, ומתקנים את ההסכמים העתידיים בהתאם.

חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות החוקיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 שולט 5.31, 5.32, 5.33 ו-5.34).

תמיכה בבקרות ISO 27002

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701בקרות ISO 27002
האיחוד האירופי GDPR סעיפים 38 (1) עד 38 (6)ISO 27701 6.3.1.1
ISO 27701 7.3.2		ללא חתימה
סעיף 38 (5) של ה-EU GDPRISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

כיצד ISMS.online עזרה

תאימות ל-GDPR עם ISMS.online

גישת ההטמעה 'אמץ, הסתגל, הוסף' בפלטפורמת ISMS.online מקלה על הדגמת גישת התאימות ל-GDPR שלך. בנוסף, תוכל ליהנות מתכונות עוצמתיות לחיסכון בזמן.

במקרה של המקרה הגרוע ביותר, אתה תהיה מוכן. על ידי תיעוד ולמידה מכל תקרית, אנו מקלים עליך לתכנן ולתקשר את זרימת העבודה של הפרות שלך.

למידע נוסף על ידי הזמנת הדגמה.

זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.

אמי קוני
מנהל תפעול, Amigo

הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף