Na aanleiding van artikel 37 wat handel oor die aanstelling van 'n DPO, BBP Artikel 38 skets die omvang van hul pligte, hul posisie by die organisasie, en sekere spesifieke take en pligte.
Pos van die Databeskermingsbeampte
- Die kontroleerder en die verwerker sal verseker dat die databeskermingsbeampte behoorlik en betyds betrokke is by alle kwessies wat verband hou met die beskerming van persoonlike data.
- Die kontroleerder en verwerker sal die databeskermingsbeampte ondersteun in die uitvoering van die take waarna in Artikel 39 verwys word deur hulpbronne te verskaf wat nodig is om daardie take en toegang tot persoonlike data en verwerkingsbedrywighede uit te voer, en om sy of haar kundige kennis te handhaaf.
- Die kontroleerder en verwerker sal verseker dat die databeskermingsbeampte geen instruksies oor die uitoefening van daardie take ontvang nie. Hy of sy sal nie deur die kontroleerder of die verwerker ontslaan of gepenaliseer word vir die uitvoering van sy take nie. Die databeskermingsbeampte moet direk aan die hoogste bestuursvlak van die kontroleerder of die verwerker verslag doen.
- Datasubjekte kan die databeskermingsbeampte kontak met betrekking tot alle kwessies wat verband hou met die verwerking van hul persoonlike data en met die uitoefening van hul regte ingevolge hierdie Regulasie.
- Die databeskermingsbeampte sal gebonde wees aan geheimhouding of vertroulikheid met betrekking tot die uitvoering van sy of haar take, in ooreenstemming met die wet van die Unie of Lidstaat.
- Die databeskermingsbeampte kan ander take en pligte vervul. Die kontroleerder of verwerker sal verseker dat enige sodanige take en pligte nie 'n botsing van belange tot gevolg het nie.
Pos van die Databeskermingsbeampte
- Die kontroleerder en die verwerker sal verseker dat die databeskermingsbeampte behoorlik en betyds betrokke is by alle kwessies wat verband hou met die beskerming van persoonlike data.
- Die kontroleerder en verwerker sal die databeskermingsbeampte ondersteun in die uitvoering van die take waarna in Artikel 39 verwys word deur hulpbronne te verskaf wat nodig is om daardie take en toegang tot persoonlike data en verwerkingsbedrywighede uit te voer, en om sy of haar kundige kennis te handhaaf.
- Die kontroleerder en verwerker sal verseker dat die databeskermingsbeampte geen instruksies oor die uitoefening van daardie take ontvang nie. Hy of sy sal nie deur die kontroleerder of die verwerker ontslaan of gepenaliseer word vir die uitvoering van sy take nie. Die databeskermingsbeampte moet direk aan die hoogste bestuursvlak van die kontroleerder of die verwerker verslag doen.
- Datasubjekte kan die databeskermingsbeampte kontak met betrekking tot alle kwessies wat verband hou met die verwerking van hul persoonlike data en met die uitoefening van hul regte ingevolge hierdie Regulasie.
- Die databeskermingsbeampte sal gebonde wees aan geheimhouding of vertroulikheid rakende die uitvoering van sy of haar take, in ooreenstemming met nasionale wetgewing.
- Die databeskermingsbeampte kan ander take en pligte vervul. Die kontroleerder of verwerker sal verseker dat enige sodanige take en pligte nie 'n botsing van belange tot gevolg het nie.
GDPR Artikel 38 handel oor drie hoofareas van operasie wat betrekking het op die omvang van 'n Databeskermingsbeampte se pligte binne die organisasie:
In hierdie afdeling praat ons oor GDPR Artikels 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisasies moet rolle en verantwoordelikhede definieer wat spesifiek is vir individuele funksies wat binne hul privaatheidsbeskermingsbeleid vervat is – beide hul algemene beleid en onderwerpspesifieke beleide.
Individue met spesifieke verantwoordelikhede moet vaardig genoeg wees om privaatheidverwante take uit te voer, en moet voortdurende ondersteuning gebied word wat 'n aanvaarbare vlak van bevoegdheid handhaaf.
Verantwoordelikheidsareas moet die volgende insluit:
ISO erken dat elke organisasie uniek is in die manier waarop hulle inligting verwerk. Bogenoemde verantwoordelikheidsareas moet vergesel word van terrein- en fasiliteitspesifieke riglyne wat werklike wêreldfaktore in ag neem wat 'n organisasie se PII-verwerkingsoperasie raak.
Al die bogenoemde verantwoordelikhede en sekuriteitsareas moet duidelik gedokumenteer word en aan alle relevante personeellede beskikbaar gestel word.
Organisasies moet 'n individu nomineer wat kliënte (en eksterne owerhede) as 'n toegewyde kontakpunt vir alle PII-verwante aangeleenthede kan gebruik (sien ISO 27701 Klousule 7.3.2).
Daarbenewens moet organisasies verantwoordelikheid delegeer aan een of meer individue vir die bou van 'n organisatoriese privaatheidbestuursprogram wat die nakoming van gelokaliseerde en nasionale PII-wette en regulasies versterk.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
By die opstel, implementering en instandhouding van NDA's, moet organisasies:
Vertroulikheidswette verskil van jurisdiksie tot jurisdiksie, en organisasies moet hul eie wetlike en regulatoriese verpligtinge oorweeg wanneer hulle NDA's en vertroulikheidsooreenkomste opstel (sien ISO 27002 kontroles 5.31, 5.32, 5.33 en 5.34).
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR artikels 38 (1) tot 38 (6) | ISO 27701 6.3.1.1 ISO 27701 7.3.2 | Geen |
EU GDPR Artikel 38 (5) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
GDPR voldoening aan ISMS.online
Ons 'Neem aan, pas aan, voeg by'-implementeringsbenadering op die ISMS.aanlyn-platform maak dit maklik om jou GDPR-nakomingsbenadering te demonstreer. Daarbenewens sal jy baat by kragtige tydbesparende kenmerke.
In die geval van die ergste wat gebeur, sal jy voorbereid wees. Deur elke voorval te dokumenteer en daaruit te leer, maak ons dit vir jou maklik om jou oortredingswerkvloei te beplan en te kommunikeer.
Vind meer uit deur bespreek 'n demo.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
Versoek 'n kwotasie