הבנת GDPR סעיף 39: אחריות מרכזית של קצין הגנת מידע
GDPR סעיף 39 מתווה את מערכת החובות המינימלית שעל DPO לבצע כדי להיחשב יעיל, לרבות חובותיו כלפי החוק והאינטראקציה שלהם עם רשויות השלטון.
GDPR סעיף 39 טקסט משפטי
גרסת GDPR של האיחוד האירופי
משימות קצין הגנת המידע
- לקצין הגנת המידע יהיו לפחות המשימות הבאות:
- (א) ליידע ולייעץ לבוקר או למעבד ולעובדים המבצעים עיבוד על התחייבויותיהם בהתאם לתקנה זו ולהוראות אחרות של האיחוד או המדינות החברות בהגנה על מידע;
- (ב) לפקח על ציות לתקנה זו, להוראות אחרות להגנת מידע של האיחוד או המדינות החברות ולמדיניות של הבקר או המעבד ביחס להגנה על נתונים אישיים, לרבות חלוקת אחריות, העלאת מודעות והכשרת הצוות מעורב בפעולות עיבוד, ובביקורות הנלוות;
- (ג) לספק ייעוץ, כאשר מתבקש, בכל הנוגע להערכת ההשפעה על הגנת הנתונים ולפקח על ביצועיה בהתאם לסעיף 35;
- (ד) לשתף פעולה עם רשות הפיקוח;
- (ה) לשמש כנקודת הקשר של רשות הפיקוח בנושאים הנוגעים לעיבוד, לרבות ההתייעצות המוקדמת האמורה בסעיף 36, ולהתייעץ, לפי הצורך, בכל עניין אחר.
- קצין הגנת המידע יתחשב במילוי תפקידיו בסיכון הכרוך בפעולות העיבוד, תוך התחשבות באופי, היקפו, ההקשר ובמטרות העיבוד.
גרסת GDPR בבריטניה
משימות קצין הגנת המידע
- לקצין הגנת המידע יהיו לפחות המשימות הבאות:
- (א) ליידע ולייעץ לבקר או למעבד ולעובדים המבצעים עיבוד על התחייבויותיהם לפי תקנה זו ולדינים פנימיים אחרים הנוגעים להגנת מידע;
- (ב) לפקח על ציות לתקנה זו, לדין פנימי אחר הנוגע להגנת מידע ולמדיניות של הבקר או המעבד ביחס להגנה על נתונים אישיים, לרבות חלוקת אחריות, העלאת מודעות והכשרת הצוות המעורב בפעולות עיבוד, ובביקורות הנלוות;
- (ג) לספק ייעוץ, כאשר מתבקש, בכל הנוגע להערכת ההשפעה על הגנת הנתונים ולפקח על ביצועיה בהתאם לסעיף 35;
- (ד) לשתף פעולה עם הממונה;
- (ה) לשמש כנקודת הקשר של הממונה בנושאים הנוגעים לעיבוד, לרבות התייעצות מוקדמת האמורה בסעיף 36, ולהתייעץ, לפי הצורך, בכל עניין אחר.
- קצין הגנת המידע יתחשב במילוי תפקידיו בסיכון הכרוך בפעולות העיבוד, תוך התחשבות באופי, היקפו, ההקשר ובמטרות העיבוד.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
פרשנות טכנית
DPOs צריכים לא רק ליידע ולייעץ לארגונים על פעילויות עיבוד, אלא גם לפקח על ציות לכל חקיקה רווחת.
ל-DPO המיועד של ארגון יש גם תפקיד מרכזי בכל פעם שעולה הצורך לבצע הערכת השפעה על הגנת הנתונים (DPIA).
חשוב לציין שבעוד שתפקידו של DPO כבול בעקרונות הסודיות, הם עדיין מסוגלים לבקש הדרכה וייעוץ מרשויות רגולטוריות ומשפטיות.
ISO 27701 סעיף 6.3.1.1 (תפקידים ואחריות של אבטחת מידע) וסעיף 39 של ה-EU GDPR
בסעיף זה אנו מדברים על סעיפים GDPR 39 (1)(א), 39 (1)(ב), 39 (1)(ג), 39 (1)(ד), 39 (1)(ה), 39 ( 2)
DPOs צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת על מנת לשמור על רמת כשירות מקובלת.
ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.
ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יכולים להשתמש בו כנקודת קשר ייעודית לכל העניינים הקשורים ל-PII (ראה ISO 27701 7.3.2), כלומר DPO.
בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית ארגון תוכנית ממשל הפרטיות המחזקת את הציות לחוקים ולתקנות PII מקומיים ולאומיים.
תמיכה בסעיפים ISO 27701
- ISO 27701 7.3.2
ISO 27701 סעיף 6.4.2.2 (מודעות לאבטחת מידע, חינוך והכשרה) ו-EU GDPR סעיף 39 (1)(ב)
כגישה כללית, ארגונים צריכים ליישם תוכניות הכשרה תקופתיות (כולל במהלך שלב ההצטרפות) המתואמים באופן ספציפי עם מדיניות הגנת הפרטיות הכללית והספציפית לנושא שלהם, ודרישות הקשורות ל-PIMS.
פורמטים של הדרכה יכולים לכלול:
- eLearning.
- ייעוץ אחד על אחד.
- אנשי הצוות מצלים זה על זה.
- סמינרי הכשרה ייעודיים שנערכו על ידי מומחי הגנת פרטיות ספציפיים לנושא או כללי.
- חונכות במקום העבודה.
צוות עם תפקיד מיוחד למלא בהגנה על הפרטיות - למשל צוות תחזוקת ICT - צריך ליהנות מתוכניות הכשרה מיוחדות שלוקחות בחשבון את התפקיד האינטגרלי שהם ממלאים בשמירה על PII.
תוכניות/מפגשי הכשרה צריכות להסתיים בהערכה המספקת לארגון מבט מלמעלה למטה על רמות הכשירות על בסיס עובד לעובד.
כדי להשלים את ההדרכה במקום העבודה, ארגונים צריכים גם להפעיל תוכניות מודעות להגנת הפרטיות המספקות לצוות מגוון חומרים המשמשים כנקודות מידע בנושא PII והגנת הפרטיות הארגונית.
תוכניות מודעות עשויות לכלול:
- עלונים.
- חוברות.
- פוסטרים למשרד.
- אתרי אינטרנט ייעודיים.
- מפגשי תדרוך צוותים.
מאמצי המודעות צריכים להיות ממוקדים ב:
- כיצד מתכננת ההנהלה לשמור על שמירה על הגנת הפרטיות בכל הארגון, ומי נקודות המגע העיקריות לעניינים הקשורים ל-PII.
- מהן דרישות הציות של הארגון, תוך התחשבות בחוקים, הוראות רגולטוריות, התחייבויות חוזיות והסכמי ספקים.
- הדגשת הצורך באחריות אישית בכל הנוגע להגנה על PII, ומהן ההשלכות להפרות פרוצדורליות מקריות או מכוונות.
- עקרונות אבטחת ICT בסיסיים, כגון אבטחת סיסמאות ודיווח על אירועים.
- כיצד אנשי צוות יכולים ליידע את עצמם על ההיבטים העדינים יותר של הגנת הפרטיות (קריאה נוספת, רשימות משאבים וכו').
יש להתייחס ל-PII כנושא המובהק שלו במסגרת תוכניות הכשרה להגנת הפרטיות.
הצוות צריך להיות מודע היטב להשלכות המשפטיות, המסחריות, המוניטין והמשמעתיות הספציפיות הנובעות מניצול שגוי ו/או טיפול לא נכון ב-PII.
אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| סעיפים GDPR של האיחוד האירופי 39 (1)(א) עד 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
| סעיף 39 (1)(ב) של EU GDPR | ISO 27701 6.4.2.2 | ללא חתימה |
כיצד ISMS.online עזרה
תמכו בהחלטות עסקיות רחבות יותר. אם כל הנתונים שלך יהיו במקום אחד, המיועדים לשיתוף פעולה, תהיו מצוידים יותר לקבל את ההחלטות הנכונות.
הישאר לפני השינוי. סיכונים אינם סטטיים, כך שהכלים שלך צריכים להיות מסוגלים להסתגל. לטפל ללא מאמץ באיומים והזדמנויות באמצעות כלי משולב ודינמי המפשט זיהוי, הערכה וטיפול בסיכונים על בסיס מתמשך.
למידע נוסף על ידי תזמון הדגמה.
