GDPR סעיף 39 מתווה את מערכת החובות המינימלית שעל DPO לבצע כדי להיחשב יעיל, לרבות חובותיו כלפי החוק והאינטראקציה שלהם עם רשויות השלטון.
משימות קצין הגנת המידע
- לקצין הגנת המידע יהיו לפחות המשימות הבאות:
- (א) ליידע ולייעץ לבוקר או למעבד ולעובדים המבצעים עיבוד על התחייבויותיהם בהתאם לתקנה זו ולהוראות אחרות של האיחוד או המדינות החברות בהגנה על מידע;
- (ב) לפקח על ציות לתקנה זו, להוראות אחרות להגנת מידע של האיחוד או המדינות החברות ולמדיניות של הבקר או המעבד ביחס להגנה על נתונים אישיים, לרבות חלוקת אחריות, העלאת מודעות והכשרת הצוות מעורב בפעולות עיבוד, ובביקורות הנלוות;
- (ג) לספק ייעוץ, כאשר מתבקש, בכל הנוגע להערכת ההשפעה על הגנת הנתונים ולפקח על ביצועיה בהתאם לסעיף 35;
- (ד) לשתף פעולה עם רשות הפיקוח;
- (ה) לשמש כנקודת הקשר של רשות הפיקוח בנושאים הנוגעים לעיבוד, לרבות ההתייעצות המוקדמת האמורה בסעיף 36, ולהתייעץ, לפי הצורך, בכל עניין אחר.
- קצין הגנת המידע יתחשב במילוי תפקידיו בסיכון הכרוך בפעולות העיבוד, תוך התחשבות באופי, היקפו, ההקשר ובמטרות העיבוד.
משימות קצין הגנת המידע
- לקצין הגנת המידע יהיו לפחות המשימות הבאות:
- (א) ליידע ולייעץ לבקר או למעבד ולעובדים המבצעים עיבוד על התחייבויותיהם לפי תקנה זו ולדינים פנימיים אחרים הנוגעים להגנת מידע;
- (ב) לפקח על ציות לתקנה זו, לדין פנימי אחר הנוגע להגנת מידע ולמדיניות של הבקר או המעבד ביחס להגנה על נתונים אישיים, לרבות חלוקת אחריות, העלאת מודעות והכשרת הצוות המעורב בפעולות עיבוד, ובביקורות הנלוות;
- (ג) לספק ייעוץ, כאשר מתבקש, בכל הנוגע להערכת ההשפעה על הגנת הנתונים ולפקח על ביצועיה בהתאם לסעיף 35;
- (ד) לשתף פעולה עם הממונה;
- (ה) לשמש כנקודת הקשר של הממונה בנושאים הנוגעים לעיבוד, לרבות התייעצות מוקדמת האמורה בסעיף 36, ולהתייעץ, לפי הצורך, בכל עניין אחר.
- קצין הגנת המידע יתחשב במילוי תפקידיו בסיכון הכרוך בפעולות העיבוד, תוך התחשבות באופי, היקפו, ההקשר ובמטרות העיבוד.
DPOs צריכים לא רק ליידע ולייעץ לארגונים על פעילויות עיבוד, אלא גם לפקח על ציות לכל חקיקה רווחת.
ל-DPO המיועד של ארגון יש גם תפקיד מרכזי בכל פעם שעולה הצורך לבצע הערכת השפעה על הגנת הנתונים (DPIA).
חשוב לציין שבעוד שתפקידו של DPO כבול בעקרונות הסודיות, הם עדיין מסוגלים לבקש הדרכה וייעוץ מרשויות רגולטוריות ומשפטיות.
בסעיף זה אנו מדברים על סעיפים GDPR 39 (1)(א), 39 (1)(ב), 39 (1)(ג), 39 (1)(ד), 39 (1)(ה), 39 ( 2)
DPOs צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, ויש להציע להם תמיכה מתמשכת על מנת לשמור על רמת כשירות מקובלת.
ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.
ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יכולים להשתמש בו כנקודת קשר ייעודית לכל העניינים הקשורים ל-PII (ראה ISO 27701 7.3.2), כלומר DPO.
בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית ארגון תוכנית ממשל הפרטיות המחזקת את הציות לחוקים ולתקנות PII מקומיים ולאומיים.
כגישה כללית, ארגונים צריכים ליישם תוכניות הכשרה תקופתיות (כולל במהלך שלב ההצטרפות) המתואמים באופן ספציפי עם מדיניות הגנת הפרטיות הכללית והספציפית לנושא שלהם, ודרישות הקשורות ל-PIMS.
פורמטים של הדרכה יכולים לכלול:
צוות עם תפקיד מיוחד למלא בהגנה על הפרטיות - למשל צוות תחזוקת ICT - צריך ליהנות מתוכניות הכשרה מיוחדות שלוקחות בחשבון את התפקיד האינטגרלי שהם ממלאים בשמירה על PII.
תוכניות/מפגשי הכשרה צריכות להסתיים בהערכה המספקת לארגון מבט מלמעלה למטה על רמות הכשירות על בסיס עובד לעובד.
כדי להשלים את ההדרכה במקום העבודה, ארגונים צריכים גם להפעיל תוכניות מודעות להגנת הפרטיות המספקות לצוות מגוון חומרים המשמשים כנקודות מידע בנושא PII והגנת הפרטיות הארגונית.
תוכניות מודעות עשויות לכלול:
מאמצי המודעות צריכים להיות ממוקדים ב:
יש להתייחס ל-PII כנושא המובהק שלו במסגרת תוכניות הכשרה להגנת הפרטיות.
הצוות צריך להיות מודע היטב להשלכות המשפטיות, המסחריות, המוניטין והמשמעתיות הספציפיות הנובעות מניצול שגוי ו/או טיפול לא נכון ב-PII.
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
סעיפים GDPR של האיחוד האירופי 39 (1)(א) עד 39 (2) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
סעיף 39 (1)(ב) של EU GDPR | ISO 27701 6.4.2.2 | ללא חתימה |
תמכו בהחלטות עסקיות רחבות יותר. אם כל הנתונים שלך יהיו במקום אחד, המיועדים לשיתוף פעולה, תהיו מצוידים יותר לקבל את ההחלטות הנכונות.
הישאר לפני השינוי. סיכונים אינם סטטיים, כך שהכלים שלך צריכים להיות מסוגלים להסתגל. לטפל ללא מאמץ באיומים והזדמנויות באמצעות כלי משולב ודינמי המפשט זיהוי, הערכה וטיפול בסיכונים על בסיס מתמשך.
למידע נוסף על ידי תזמון הדגמה.