1. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības speciālists tiek pienācīgi un laikus iesaistīts visos jautājumos saistībā ar personas datu aizsardzību.
3. Pārzinis un apstrādātājs nodrošina, ka datu aizsardzības speciālists nesaņem nekādus norādījumus attiecībā uz minēto uzdevumu veikšanu. Pārzinis vai apstrādātājs viņu neatlaiž vai viņam nepiemēro sankcijas par viņa uzdevumu veikšanu. Datu aizsardzības speciālists ir tieši atbildīgs pārziņa vai apstrādātāja augstākās vadības priekšā.
4. Datu subjekti var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un šajā regulā paredzēto tiesību īstenošanu.
(EN) Article 38 describes the specifics of the position of the Data Protection Officer (DPO). In particular, the emphasis is on the fact that DPO performs its work independently, while the responsibility for their timely and quality performance lies partly with the company itself (the controller or processor). Therefore, the text emphasizes that the company provides DPO with the necessary resources and access on the one hand, and is responsible for the independence of the DPO, not having the right to give them any instructions on the other.
In order to provide DPO with support, the company is recommended to ensure the following:
…
Logga in
för att komma åt hela textenу
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 38 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
…
Logga in
för att komma åt hela textenу
(97) Ja datu apstrādi veic publiska iestāde, izņemot tiesas vai neatkarīgas tiesu iestādes, kad tās pilda tiesas funkciju, ja privātajā sektorā apstrādi veic pārzinis, kura pamatdarbības sastāv no apstrādes darbībām, kam nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā, vai ja datu pārziņa vai apstrādātāja pamatdarbības ietver īpašo kategoriju personas datu un datu par sodāmību un pārkāpumiem apstrādi plašā mērogā, personai ar speciālām zināšanām datu aizsardzības tiesību un prakses jomā būtu jāpalīdz pārzinim vai apstrādātājam uzraudzīt to, kā iekšēji tiek ievērota šī regula. Privātajā sektorā pārziņa pamatdarbības ir saistītas ar tā galvenajām darbībām, un tās nav saistītas ar personas datu apstrādi kā palīgdarbības. Nepieciešamais speciālo zināšanu līmenis būtu jānosaka jo īpaši saskaņā ar veiktajām datu apstrādes darbībām un aizsardzību, kas nepieciešama personas datiem, kurus pārzinis vai apstrādātājs apstrādā. Šādiem datu aizsardzības speciālistiem neatkarīgi no tā, vai pārzinis ir to darba devējs, būtu jāspēj neatkarīgi pildīt savus pienākumus un uzdevumus.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 5(1)(f) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
…
Logga in
för att komma åt hela textenу