כיצד להוכיח ציות ל-GDPR סעיף 39

משימות קצין הגנת המידע

הזמן הדגמה

למעלה,תצוגה,עסק,אנשים,עבודה,מהבית,שימוש,מחשב נייד,על

GDPR סעיף 39 מתווה את מערכת החובות המינימלית שעל DPO לבצע כדי להיחשב יעיל, לרבות חובותיו כלפי החוק והאינטראקציה שלהם עם רשויות השלטון.

GDPR סעיף 39 טקסט משפטי

גרסת GDPR של האיחוד האירופי

משימות קצין הגנת המידע

  1. לקצין הגנת המידע יהיו לפחות המשימות הבאות:

    • (א) ליידע ולייעץ לבוקר או למעבד ולעובדים המבצעים עיבוד על התחייבויותיהם בהתאם לתקנה זו ולהוראות אחרות של האיחוד או המדינות החברות בהגנה על מידע;

    • (ב) לפקח על ציות לתקנה זו, להוראות אחרות להגנת מידע של האיחוד או המדינות החברות ולמדיניות של הבקר או המעבד ביחס להגנה על נתונים אישיים, לרבות חלוקת אחריות, העלאת מודעות והכשרת הצוות מעורב בפעולות עיבוד, ובביקורות הנלוות;

    • (ג) לספק ייעוץ, כאשר מתבקש, בכל הנוגע להערכת ההשפעה על הגנת הנתונים ולפקח על ביצועיה בהתאם לסעיף 35;

    • (ד) לשתף פעולה עם רשות הפיקוח;

    • (ה) לשמש כנקודת הקשר של רשות הפיקוח בנושאים הנוגעים לעיבוד, לרבות ההתייעצות המוקדמת האמורה בסעיף 36, ולהתייעץ, לפי הצורך, בכל עניין אחר.

  2. קצין הגנת המידע יתחשב במילוי תפקידיו בסיכון הכרוך בפעולות העיבוד, תוך התחשבות באופי, היקפו, ההקשר ובמטרות העיבוד.

גרסת GDPR בבריטניה

משימות קצין הגנת המידע

  1. לקצין הגנת המידע יהיו לפחות המשימות הבאות:

    • (א) ליידע ולייעץ לבקר או למעבד ולעובדים המבצעים עיבוד על התחייבויותיהם לפי תקנה זו ולדינים פנימיים אחרים הנוגעים להגנת מידע;

    • (ב) לפקח על ציות לתקנה זו, לדין פנימי אחר הנוגע להגנת מידע ולמדיניות של הבקר או המעבד ביחס להגנה על נתונים אישיים, לרבות חלוקת אחריות, העלאת מודעות והכשרת הצוות המעורב בפעולות עיבוד, ובביקורות הנלוות;

    • (ג) לספק ייעוץ, כאשר מתבקש, בכל הנוגע להערכת ההשפעה על הגנת הנתונים ולפקח על ביצועיה בהתאם לסעיף 35;

    • (ד) לשתף פעולה עם הממונה;

    • (ה) לשמש כנקודת הקשר של הממונה בנושאים הנוגעים לעיבוד, לרבות התייעצות מוקדמת האמורה בסעיף 36, ולהתייעץ, לפי הצורך, בכל עניין אחר.

  2. קצין הגנת המידע יתחשב במילוי תפקידיו בסיכון הכרוך בפעולות העיבוד, תוך התחשבות באופי, היקפו, ההקשר ובמטרות העיבוד.
קפוץ לנושא
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

פרשנות טכנית

DPOs צריכים לא רק ליידע ולייעץ לארגונים על פעילויות עיבוד, אלא גם לפקח על ציות לכל חקיקה רווחת.

ל-DPO המיועד של ארגון יש גם תפקיד מרכזי בכל פעם שעולה הצורך לבצע הערכת השפעה על הגנת הנתונים (DPIA).

חשוב לציין שבעוד שתפקידו של DPO כבול בעקרונות הסודיות, הם עדיין מסוגלים לבקש הדרכה וייעוץ מרשויות רגולטוריות ומשפטיות.

ISO 27701 סעיף 6.3.1.1 (תפקידים ואחריות של אבטחת מידע) וסעיף 39 של ה-EU GDPR

בסעיף זה אנו מדברים על סעיפים GDPR 39 (1)(א), 39 (1)(ב), 39 (1)(ג), 39 (1)(ד), 39 (1)(ה), 39 ( 2)

DPOs צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת על מנת לשמור על רמת כשירות מקובלת.

ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.

ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יכולים להשתמש בו כנקודת קשר ייעודית לכל העניינים הקשורים ל-PII (ראה ISO 27701 7.3.2), כלומר DPO.

בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית ארגון תוכנית ממשל הפרטיות המחזקת את הציות לחוקים ולתקנות PII מקומיים ולאומיים.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.3.2

ISO 27701 סעיף 6.4.2.2 (מודעות לאבטחת מידע, חינוך והכשרה) ו-EU GDPR סעיף 39 (1)(ב)

כגישה כללית, ארגונים צריכים ליישם תוכניות הכשרה תקופתיות (כולל במהלך שלב ההצטרפות) המתואמים באופן ספציפי עם מדיניות הגנת הפרטיות הכללית והספציפית לנושא שלהם, ודרישות הקשורות ל-PIMS.

פורמטים של הדרכה יכולים לכלול:

  • eLearning.

  • ייעוץ אחד על אחד.

  • אנשי הצוות מצלים זה על זה.

  • סמינרי הכשרה ייעודיים שנערכו על ידי מומחי הגנת פרטיות ספציפיים לנושא או כללי.

  • חונכות במקום העבודה.

צוות עם תפקיד מיוחד למלא בהגנה על הפרטיות - למשל צוות תחזוקת ICT - צריך ליהנות מתוכניות הכשרה מיוחדות שלוקחות בחשבון את התפקיד האינטגרלי שהם ממלאים בשמירה על PII.

תוכניות/מפגשי הכשרה צריכות להסתיים בהערכה המספקת לארגון מבט מלמעלה למטה על רמות הכשירות על בסיס עובד לעובד.

כדי להשלים את ההדרכה במקום העבודה, ארגונים צריכים גם להפעיל תוכניות מודעות להגנת הפרטיות המספקות לצוות מגוון חומרים המשמשים כנקודות מידע בנושא PII והגנת הפרטיות הארגונית.

תוכניות מודעות עשויות לכלול:

  • עלונים.

  • חוברות.

  • פוסטרים למשרד.

  • אתרי אינטרנט ייעודיים.

  • מפגשי תדרוך צוותים.

מאמצי המודעות צריכים להיות ממוקדים ב:

  • כיצד מתכננת ההנהלה לשמור על שמירה על הגנת הפרטיות בכל הארגון, ומי נקודות המגע העיקריות לעניינים הקשורים ל-PII.

  • מהן דרישות הציות של הארגון, תוך התחשבות בחוקים, הוראות רגולטוריות, התחייבויות חוזיות והסכמי ספקים.

  • הדגשת הצורך באחריות אישית בכל הנוגע להגנה על PII, ומהן ההשלכות להפרות פרוצדורליות מקריות או מכוונות.

  • עקרונות אבטחת ICT בסיסיים, כגון אבטחת סיסמאות ודיווח על אירועים.

  • כיצד אנשי צוות יכולים ליידע את עצמם על ההיבטים העדינים יותר של הגנת הפרטיות (קריאה נוספת, רשימות משאבים וכו').

יש להתייחס ל-PII כנושא המובהק שלו במסגרת תוכניות הכשרה להגנת הפרטיות.

הצוות צריך להיות מודע היטב להשלכות המשפטיות, המסחריות, המוניטין והמשמעתיות הספציפיות הנובעות מניצול שגוי ו/או טיפול לא נכון ב-PII.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
סעיפים GDPR של האיחוד האירופי 39 (1)(א) עד 39 (2)ISO 27701 6.3.1.1ISO 27701 7.3.2
סעיף 39 (1)(ב) של EU GDPRISO 27701 6.4.2.2ללא חתימה

כיצד ISMS.online עזרה

תמכו בהחלטות עסקיות רחבות יותר. אם כל הנתונים שלך יהיו במקום אחד, המיועדים לשיתוף פעולה, תהיו מצוידים יותר לקבל את ההחלטות הנכונות.

הישאר לפני השינוי. סיכונים אינם סטטיים, כך שהכלים שלך צריכים להיות מסוגלים להסתגל. לטפל ללא מאמץ באיומים והזדמנויות באמצעות כלי משולב ודינמי המפשט זיהוי, הערכה וטיפול בסיכונים על בסיס מתמשך.

למידע נוסף על ידי תזמון הדגמה.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף