בהמשך לסעיף 37 העוסק ב קביעת פגישה של DPO, GDPR סעיף 38 מתאר את היקף של חובותיהם, תפקידם בארגון וכמה משימות וחובות ספציפיים.
תפקיד קצין הגנת המידע
- הבקר והמעבד יוודא כי קצין הגנת המידע מעורב, כראוי ובזמן, בכל הנושאים הנוגעים להגנה על נתונים אישיים.
- הבקר והמעבד יתמכו בקצין הגנת המידע בביצוע המשימות האמורות בסעיף 39 על ידי אספקת משאבים הדרושים לביצוע משימות אלו וגישה לנתונים אישיים ולפעולות עיבוד, ולשמירה על הידע המומחה שלו.
- הבקר והמעבד יוודא כי קצין הגנת המידע לא יקבל הנחיות לגבי ביצוע משימות אלו. הוא או היא לא יפוטר או יענש על ידי הבקר או המעבד בגין ביצוע משימותיו. קצין הגנת המידע ידווח ישירות לדרג הניהולי הגבוה ביותר של הבקר או המעבד.
- נושאי המידע רשאים לפנות לקצין הגנת המידע בכל הקשור לעיבוד הנתונים האישיים שלהם ולמימוש זכויותיהם לפי תקנה זו.
- קצין הגנת המידע יהיה כפוף לסודיות או לסודיות בנוגע לביצוע משימותיו, בהתאם לחוק האיחוד או המדינות החברות.
- קצין הגנת המידע רשאי למלא משימות וחובות אחרות. הבקר או המעבד יוודא שכל משימות וחובות כאלה לא יגרמו לניגוד עניינים.
תפקיד קצין הגנת המידע
- הבקר והמעבד יוודא כי קצין הגנת המידע מעורב, כראוי ובזמן, בכל הנושאים הנוגעים להגנה על נתונים אישיים.
- הבקר והמעבד יתמכו בקצין הגנת המידע בביצוע המשימות האמורות בסעיף 39 על ידי אספקת משאבים הדרושים לביצוע משימות אלו וגישה לנתונים אישיים ולפעולות עיבוד, ולשמירה על הידע המומחה שלו.
- הבקר והמעבד יוודא כי קצין הגנת המידע לא יקבל הנחיות לגבי ביצוע משימות אלו. הוא או היא לא יפוטר או יענש על ידי הבקר או המעבד בגין ביצוע משימותיו. קצין הגנת המידע ידווח ישירות לדרג הניהולי הגבוה ביותר של הבקר או המעבד.
- נושאי המידע רשאים לפנות לקצין הגנת המידע בכל הקשור לעיבוד הנתונים האישיים שלהם ולמימוש זכויותיהם לפי תקנה זו.
- קצין הגנת המידע יהיה מחויב בסודיות או בסודיות בכל הנוגע לביצוע משימותיו, בהתאם לחוק הפנימי.
- קצין הגנת המידע רשאי למלא משימות וחובות אחרות. הבקר או המעבד יוודא שכל משימות וחובות כאלה לא יגרמו לניגוד עניינים.
סעיף 38 של ה-GDPR עוסק בשלושה תחומי פעולה עיקריים הנוגעים להיקף תפקידי קציני הגנת המידע בארגון:
בסעיף זה אנו מדברים על סעיפים GDPR 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.
אנשים בעלי אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת השומרת על רמת כשירות מקובלת.
תחומי אחריות צריכים לכלול:
ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.
יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.
ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל הנושאים הקשורים ל-PII (ראה ISO 27701 סעיף 7.3.2).
בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.
בעת ניסוח, יישום ותחזוקה של NDAs, ארגונים צריכים:
חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות החוקיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 שולט 5.31, 5.32, 5.33 ו-5.34).
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
האיחוד האירופי GDPR סעיפים 38 (1) עד 38 (6) | ISO 27701 6.3.1.1 ISO 27701 7.3.2 | ללא חתימה |
סעיף 38 (5) של ה-EU GDPR | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
תאימות ל-GDPR עם ISMS.online
גישת ההטמעה 'אמץ, הסתגל, הוסף' בפלטפורמת ISMS.online מקלה על הדגמת גישת התאימות ל-GDPR שלך. בנוסף, תוכל ליהנות מתכונות עוצמתיות לחיסכון בזמן.
במקרה של המקרה הגרוע ביותר, אתה תהיה מוכן. על ידי תיעוד ולמידה מכל תקרית, אנו מקלים עליך לתכנן ולתקשר את זרימת העבודה של הפרות שלך.
למידע נוסף על ידי הזמנת הדגמה.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
בקש ציטוט