דרישות עיקריות של GDPR סעיף 38: מה עסקים צריכים לדעת
בהמשך לסעיף 37 העוסק ב קביעת פגישה של DPO, GDPR סעיף 38 מתאר את היקף של חובותיהם, תפקידם בארגון וכמה משימות וחובות ספציפיים.
GDPR סעיף 38 טקסט משפטי
גרסת GDPR של האיחוד האירופי
תפקיד קצין הגנת המידע
- הבקר והמעבד יוודא כי קצין הגנת המידע מעורב, כראוי ובזמן, בכל הנושאים הנוגעים להגנה על נתונים אישיים.
- הבקר והמעבד יתמכו בקצין הגנת המידע בביצוע המשימות האמורות בסעיף 39 על ידי אספקת משאבים הדרושים לביצוע משימות אלו וגישה לנתונים אישיים ולפעולות עיבוד, ולשמירה על הידע המומחה שלו.
- הבקר והמעבד יוודא כי קצין הגנת המידע לא יקבל הנחיות לגבי ביצוע משימות אלו. הוא או היא לא יפוטר או יענש על ידי הבקר או המעבד בגין ביצוע משימותיו. קצין הגנת המידע ידווח ישירות לדרג הניהולי הגבוה ביותר של הבקר או המעבד.
- נושאי המידע רשאים לפנות לקצין הגנת המידע בכל הקשור לעיבוד הנתונים האישיים שלהם ולמימוש זכויותיהם לפי תקנה זו.
- קצין הגנת המידע יהיה כפוף לסודיות או לסודיות בנוגע לביצוע משימותיו, בהתאם לחוק האיחוד או המדינות החברות.
- קצין הגנת המידע רשאי למלא משימות וחובות אחרות. הבקר או המעבד יוודא שכל משימות וחובות כאלה לא יגרמו לניגוד עניינים.
גרסת GDPR בבריטניה
תפקיד קצין הגנת המידע
- הבקר והמעבד יוודא כי קצין הגנת המידע מעורב, כראוי ובזמן, בכל הנושאים הנוגעים להגנה על נתונים אישיים.
- הבקר והמעבד יתמכו בקצין הגנת המידע בביצוע המשימות האמורות בסעיף 39 על ידי אספקת משאבים הדרושים לביצוע משימות אלו וגישה לנתונים אישיים ולפעולות עיבוד, ולשמירה על הידע המומחה שלו.
- הבקר והמעבד יוודא כי קצין הגנת המידע לא יקבל הנחיות לגבי ביצוע משימות אלו. הוא או היא לא יפוטר או יענש על ידי הבקר או המעבד בגין ביצוע משימותיו. קצין הגנת המידע ידווח ישירות לדרג הניהולי הגבוה ביותר של הבקר או המעבד.
- נושאי המידע רשאים לפנות לקצין הגנת המידע בכל הקשור לעיבוד הנתונים האישיים שלהם ולמימוש זכויותיהם לפי תקנה זו.
- קצין הגנת המידע יהיה מחויב בסודיות או בסודיות בכל הנוגע לביצוע משימותיו, בהתאם לחוק הפנימי.
- קצין הגנת המידע רשאי למלא משימות וחובות אחרות. הבקר או המעבד יוודא שכל משימות וחובות כאלה לא יגרמו לניגוד עניינים.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
פרשנות טכנית
סעיף 38 של ה-GDPR עוסק בשלושה תחומי פעולה עיקריים הנוגעים להיקף תפקידי קציני הגנת המידע בארגון:
- המסוים תפקיד של ה-DPO בתוך הארגון, וכיצד הם מעורבים בהגנה על נתונים של אדם.
- חשיבות התחזוקה חוסר משוא פנים וחיסיון, בעת ביצוע תפקידם, ללא בדיקה או הפרעה מיותרת של ההנהלה הארגונית.
- הצורך להימנע מכל ניגוד עניינים, אם ה-DPO ממלא תפקיד אחר בתוך הארגון, בין אם קשור או לא קשור להתחייבויות שלהם כ-DPO.
ISO 27701 סעיף 6.3.1.1 (תפקידים ואחריות של אבטחת מידע) וסעיף 38 של ה-EU GDPR
בסעיף זה אנו מדברים על סעיפים GDPR 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.
אנשים בעלי אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת השומרת על רמת כשירות מקובלת.
תחומי אחריות צריכים לכלול:
- הגנה על PII וכל נכס הקשור לפרטיות.
- ביצוע נהלי הגנת הפרטיות.
- פעילויות ניהול סיכונים הקשורות ל-PII, כולל פעולות מתקנות.
- כל מי שמשתמש במידע ובנתונים של הארגון, לרבות שימוש בנכסי תקשוב.
- אנשים עם אחריות ברמה העליונה להגנת הפרטיות מאצילים משימות לאחרים.
ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.
יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.
ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל הנושאים הקשורים ל-PII (ראה ISO 27701 סעיף 7.3.2).
בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.
תמיכה בסעיפים ISO 27701
- ISO 27701 7.3.2
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.10.2.4 (הסכמי סודיות או סודיות) ו-EU GDPR סעיף 38 (5)
בעת ניסוח, יישום ותחזוקה של NDAs, ארגונים צריכים:
- הציעו הגדרה למידע שיש להגן עליו.
- ציין בבירור את משך ההסכם הצפוי.
- ציין בבירור את כל הפעולות הנדרשות לאחר סיום ההסכם.
- כל אחריות המוסכמת על ידי חותמים מאושרים.
- בעלות על מידע (כולל IP וסודות מסחריים).
- כיצד מותר לחותמים להשתמש במידע.
- הגדר באופן ברור את זכותו של הארגון לפקח על מידע סודי.
- כל השלכה שתנבע מאי ציות.
- בודקים באופן קבוע את צורכי הסודיות שלהם, ומתקנים את ההסכמים העתידיים בהתאם.
חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות החוקיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 שולט 5.31, 5.32, 5.33 ו-5.34).
תמיכה בבקרות ISO 27002
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
אינדקס מאמרי GDPR מקושרים של האיחוד האירופי, סעיפי ISO 27701 ובקרות ISO 27002
| מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
|---|---|---|
| האיחוד האירופי GDPR סעיפים 38 (1) עד 38 (6) |
ISO 27701 6.3.1.1 ISO 27701 7.3.2 |
ללא חתימה |
| סעיף 38 (5) של ה-EU GDPR | ISO 27701 6.10.2.4 |
ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
כיצד ISMS.online עזרה
תאימות ל-GDPR עם ISMS.online
גישת ההטמעה 'אמץ, הסתגל, הוסף' בפלטפורמת ISMS.online מקלה על הדגמת גישת התאימות ל-GDPR שלך. בנוסף, תוכל ליהנות מתכונות עוצמתיות לחיסכון בזמן.
במקרה של המקרה הגרוע ביותר, אתה תהיה מוכן. על ידי תיעוד ולמידה מכל תקרית, אנו מקלים עליך לתכנן ולתקשר את זרימת העבודה של הפרות שלך.
למידע נוסף על ידי הזמנת הדגמה.
