Mer
Navigering
KAPITEL I Allmänna bestämmelser (1-4)
Artikel 1. SyfteArtikel 2. Materiellt tillämpningsområdeArtikel 3. Territoriellt tillämpningsområdeArtikel 4. Definitioner
KAPITEL II Principer (5-11)
Artikel 5. Principer för behandling av personuppgifterArtikel 6. Laglig behandling av personuppgifterArtikel 7. Villkor för samtyckeArtikel 8. Villkor som gäller barns samtycke avseende informationssamhällets tjänsterArtikel 9. Behandling av särskilda kategorier av personuppgifterArtikel 10. Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelserArtikel 11. Behandling som inte kräver identifiering
KAPITEL III Den registrerades rättigheter (12-23)
Artikel 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheterArtikel 13. Information som ska tillhandahållas om personuppgifterna samlas in från den registreradeArtikel 14. Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registreradeArtikel 15. Den registrerades rätt till tillgångArtikel 16. Rätt till rättelseArtikel 17. Rätt till radering (”rätten att bli bortglömd”)Artikel 18. Rätt till begränsning av behandlingArtikel 19. Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandlingArtikel 20. Rätt till dataportabilitetArtikel 21. Rätt att göra invändningarArtikel 22. Automatiserat individuellt beslutsfattande, inbegripet profileringArtikel 23. Begränsningar
KAPITEL IV Personuppgiftsansvarig och personuppgiftsbiträde (24-43)
Artikel 24. SyfteArtikel 25. Inbyggt dataskydd och dataskydd som standardArtikel 26. Gemensamt personuppgiftsansvarigaArtikel 27. Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionenArtikel 28. PersonuppgiftsbiträdenArtikel 29. Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseendeArtikel 30. Register över behandlingArtikel 31. Samarbete med tillsynsmyndighetenArtikel 32. Säkerhet i samband med behandlingenArtikel 33. Anmälan av en personuppgiftsincident till tillsynsmyndighetenArtikel 34. Information till den registrerade om en personuppgiftsincidentArtikel 35. Konsekvensbedömning avseende dataskyddArtikel 36. FörhandssamrådArtikel 37. Utnämning av dataskyddsombudet
Artikel 38. Dataskyddsombudets ställning
Artikel 39. Dataskyddsombudets uppgifterArtikel 40. UppförandekoderArtikel 41. Övervakning av godkända uppförandekoderArtikel 42. CertifieringArtikel 43. Certifieringsorgan
KAPITEL V Överföring av personuppgifter till tredjeländer eller internationella organisationer (44-50)
Artikel 44. Allmän princip för överföring av uppgifterArtikel 45. Överföring på grundval av ett beslut om adekvat skyddsnivåArtikel 46. Överföring som omfattas av lämpliga skyddsåtgärderArtikel 47. Bindande företagsbestämmelserArtikel 48. Överföringar och utlämnanden som inte är tillåtna enligt unionsrättenArtikel 49. Undantag i särskilda situationerArtikel 50. Internationellt samarbete för skydd av personuppgifter
KAPITEL VI Oberoende tillsynsmyndigheter (51-59)
Artikel 51. TillsynsmyndighetArtikel 52. OberoendeArtikel 53. Allmänna villkor för tillsynsmyndighetens ledamöterArtikel 54. Regler för inrättandet av en tillsynsmyndighetArtikel 55. BehörighetArtikel 56. Den ansvariga tillsynsmyndighetens behörighetArtikel 57. UppgifterArtikel 58. BefogenheterArtikel 59. Verksamhetsrapporter
KAPITEL VII Samarbete och enhetlighet (60-70)
Artikel 60. Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheternaArtikel 61. Ömsesidigt biståndArtikel 62. Tillsynsmyndigheters gemensamma insatserArtikel 63. Mekanism för enhetlighetArtikel 64. Yttrande från StyrelsenArtikel 65. Tvistlösning genom styrelsenArtikel 66. Skyndsamt förfarandeArtikel 67. Utbyte av informationArtikel 68. Europeiska dataskyddsstyrelsenArtikel 69. OberoendeArtikel 70. Styrelsens uppgifterArtikel 71. RapporterArtikel 72. FörfarandeArtikel 73. OrdförandeArtikel 74. Ordförandens uppgifterArtikel 75. SekretariatetArtikel 76. Konfidentialitet
KAPITEL VIII Rättsmedel, ansvar och sanktioner (77-84)
Artikel 77. Rätt att lämna in klagomål till en tillsynsmyndighetArtikel 78. Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslutArtikel 79. Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträdeArtikel 80. Företrädande av registreradeArtikel 81. Vilandeförklaring av förfarandenArtikel 82. Ansvar och rätt till ersättningArtikel 83. Allmänna villkor för påförande av administrativa sanktionsavgifterArtikel 84. Sanktioner
KAPITEL IX Bestämmelser om särskilda behandlingssituationer (85-91)
Artikel 85. Behandling och yttrande- och informationsfrihetenArtikel 86. Behandling och allmänhetens tillgång till allmänna handlingarArtikel 87. Behandling av nationella identifikationsnummerArtikel 88. Behandling i anställningsförhållandenArtikel 89. Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamålArtikel 90. TystnadspliktArtikel 91. Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
KAPITEL X Delegerade akter och genomförandeakter (92-93)
Artikel 92. Utövande av delegeringenArtikel 93. Kommittéförfarande
KAPITEL XI Slutbestämmelser (94-95)
Artikel 94. Upphävande av direktiv 95/46/EGArtikel 95. Förhållande till direktiv 2002/58/EGArtikel 96. Förhållande till tidigare ingångna avtalArtikel 97. KommissionsrapporterArtikel 98. Översyn av andra unionsrättsakter om dataskyddArtikel 99. Ikraftträdande och tillämpning
GDPR > Artikel 38. Dataskyddsombudets ställning
Hämta PDF

Artikel 38 GDPR. Dataskyddsombudets ställning

1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 39 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

Relaterade texter
Relaterade texter

3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå.

Relaterade texter
Relaterade texter

4. Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5. Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 5(1)(f) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.

 


för att komma åt hela textenу

6. Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Relaterade texter
Relaterade texter
Allmän dataskyddsförordning (GDPR)

Expertkommentarer ISO 27701 Skälen Riktlinjer & Case Law Lämna en kommentar
Expertkommentarer

(EN) Article 38 describes the specifics of the position of the Data Protection Officer (DPO). In particular, the emphasis is on the fact that DPO performs its work independently, while the responsibility for their timely and quality performance lies partly with the company itself (the controller or processor). Therefore, the text emphasizes that the company provides DPO with the necessary resources and access on the one hand, and is responsible for the independence of the DPO, not having the right to give them any instructions on the other.

In order to provide DPO with support, the company is recommended to ensure the following:

  • DPO is actively and timely involved in all data protection issues; DPO is invited to participate regularly in senior and middle management meetings when decisions with data protection implications are being made


för att komma åt hela textenу

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 38 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


för att komma åt hela textenу

Skälen

(97) När en behandling utförs av en myndighet, med undantag av domstolar eller oberoende rättsliga myndigheter som en del av deras dömande verksamhet, eller när en behandling utförs i den privata sektorn av en personuppgiftsansvarig vars kärnverksamhet består av behandlingsverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller när den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser, bör en person med sakkunskap i fråga om dataskyddslagstiftning och -förfaranden bistå den personuppgiftsansvarige eller personuppgiftsbiträdet för att övervaka den interna efterlevnaden av denna förordning. I den privata sektorn avser personuppgiftsansvarigas kärnverksamhet deras primära verksamhet och inte behandling av personuppgifter som kompletterande verksamhet. Den nödvändiga nivån på sakkunskapen bör fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den personuppgiftsansvarige eller personuppgiftsbiträdet. Denna typ av dataskyddsombud bör, oavsett om de är anställda av den personuppgiftsansvarige eller ej, kunna fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]