I tråd med artikkel 37 som omhandler ansettelse av en DPO, GDPR Artikkel 38 skisserer omfang av sine oppgaver, sin stilling i organisasjonen, og noen spesifikke oppgaver og plikter.
Stillingen til personvernombudet
- Den behandlingsansvarlige og databehandleren skal sørge for at personvernombudet er involvert, forsvarlig og i tide, i alle spørsmål som gjelder beskyttelse av personopplysninger.
- Behandlingsansvarlig og databehandler skal støtte personvernombudet i å utføre oppgavene nevnt i artikkel 39 ved å stille til rådighet ressurser som er nødvendige for å utføre disse oppgavene og tilgang til personopplysninger og behandlingsoperasjoner, og for å opprettholde hans eller hennes ekspertkunnskap.
- Behandlingsansvarlig og databehandler skal sørge for at personvernombudet ikke mottar noen instrukser om utøvelse av disse oppgavene. Han eller hun skal ikke avskjediges eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det øverste ledelsesnivået til behandlingsansvarlig eller databehandler.
- Registrerte kan kontakte personvernombudet med hensyn til alle spørsmål knyttet til behandlingen av deres personopplysninger og til utøvelsen av rettighetene deres i henhold til denne forordningen.
- Personvernombudet skal være bundet av hemmelighold eller konfidensialitet angående utførelsen av sine oppgaver, i samsvar med unions- eller medlemsstatslovgivningen.
- Personvernombudet kan utføre andre oppgaver og plikter. Den behandlingsansvarlige eller databehandleren skal sikre at slike oppgaver og plikter ikke resulterer i en interessekonflikt.
Stillingen til personvernombudet
- Den behandlingsansvarlige og databehandleren skal sørge for at personvernombudet er involvert, forsvarlig og i tide, i alle spørsmål som gjelder beskyttelse av personopplysninger.
- Behandlingsansvarlig og databehandler skal støtte personvernombudet i å utføre oppgavene nevnt i artikkel 39 ved å stille til rådighet ressurser som er nødvendige for å utføre disse oppgavene og tilgang til personopplysninger og behandlingsoperasjoner, og for å opprettholde hans eller hennes ekspertkunnskap.
- Behandlingsansvarlig og databehandler skal sørge for at personvernombudet ikke mottar noen instrukser om utøvelse av disse oppgavene. Han eller hun skal ikke avskjediges eller straffes av den behandlingsansvarlige eller databehandleren for å utføre sine oppgaver. Personvernombudet skal rapportere direkte til det øverste ledelsesnivået til behandlingsansvarlig eller databehandler.
- Registrerte kan kontakte personvernombudet med hensyn til alle spørsmål knyttet til behandlingen av deres personopplysninger og til utøvelsen av rettighetene deres i henhold til denne forordningen.
- Personvernombudet skal være bundet av hemmelighold eller konfidensialitet angående utførelsen av sine oppgaver, i samsvar med nasjonal lovgivning.
- Personvernombudet kan utføre andre oppgaver og plikter. Den behandlingsansvarlige eller databehandleren skal sikre at slike oppgaver og plikter ikke resulterer i en interessekonflikt.
GDPR artikkel 38 omhandler tre hovedoperasjonsområder som angår omfanget av en databeskyttelsesansvarligs oppgaver i organisasjonen:
I denne delen snakker vi om GDPR artikkel 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisasjoner bør definere roller og ansvar som er spesifikke for individuelle funksjoner i deres retningslinjer for personvern - både deres generelle retningslinjer og emnespesifikke retningslinjer.
Personer med spesifikke ansvarsområder bør være dyktige nok til å utføre personvernrelaterte oppgaver, og bør tilbys kontinuerlig støtte som opprettholder et akseptabelt kompetansenivå.
Ansvarsområder bør omfatte:
ISO erkjenner at hver organisasjon er unik i måten de behandler informasjon på. De ovennevnte ansvarsområdene bør ledsages av sted- og anleggsspesifikke retningslinjer som tar hensyn til virkelige faktorer som påvirker en organisasjons PII-behandlingsoperasjon.
Alle de ovennevnte ansvarsområdene og sikkerhetsområdene bør være tydelig dokumentert og gjøres tilgjengelig for alle relevante ansatte.
Organisasjoner bør nominere en person som kunder (og eksterne myndigheter) kan bruke som et dedikert kontaktpunkt for alle PII-relaterte saker (se ISO 27701 klausul 7.3.2).
I tillegg bør organisasjoner delegere ansvar til en eller flere enkeltpersoner for å bygge et organisatorisk program for personvernstyring som styrker overholdelse av lokaliserte og nasjonale PII-lover og -forskrifter.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Når organisasjoner utarbeider, implementerer og vedlikeholder NDAer, bør:
Konfidensialitetslover varierer fra jurisdiksjon til jurisdiksjon, og organisasjoner bør vurdere sine egne juridiske og regulatoriske forpliktelser når de utarbeider NDAer og konfidensialitetsavtaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).
| GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
|---|---|---|
| EU GDPR artikkel 38 (1) til 38 (6) | ISO 27701 ISO 27701 | none |
| EU GDPR artikkel 38 (5) | ISO 27701 | ISO 27002 ISO 27002 ISO 27002 ISO 27002 |
GDPR-samsvar med ISMS.online
Vår «Adopter, Adapt, Add» implementeringstilnærming på ISMS.online-plattformen gjør det enkelt å demonstrere din tilnærming til GDPR-samsvar. I tillegg vil du dra nytte av kraftige tidsbesparende funksjoner.
Hvis det verste skulle skje, vil du være forberedt. Ved å dokumentere og lære av hver hendelse, gjør vi det enkelt for deg å planlegge og kommunisere arbeidsflyten for brudd.
Finn ut mer av bestille en demo.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Etterspør et sitat
