Comment démontrer la conformité à l'article 38 du RGPD

Poste du délégué à la protection des données

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

Faisant suite à l'article 37 qui traite de la rendez-vous d'un DPO, RGPD L'article 38 décrit les portée de leurs fonctions, de leur position au sein de l'organisation et de certaines tâches et devoirs spécifiques.

Article 38 du RGPD Texte juridique

Version RGPD de l'UE

Poste du délégué à la protection des données

  1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit impliqué de manière appropriée et en temps opportun dans toutes les questions liées à la protection des données à caractère personnel.

  2. Le responsable du traitement et le sous-traitant assistent le délégué à la protection des données dans l'exécution des tâches visées à l'article 39 en lui fournissant les ressources nécessaires à l'exécution de ces tâches et à l'accès aux données à caractère personnel et aux traitements, ainsi qu'au maintien de ses connaissances spécialisées.

  3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction concernant l'exercice de ces tâches. Il ne peut être licencié ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exécution de ses tâches. Le délégué à la protection des données relève directement du niveau de direction le plus élevé du responsable du traitement ou du sous-traitant.

  4. Les personnes concernées peuvent contacter le délégué à la protection des données pour toutes les questions liées au traitement de leurs données personnelles et à l'exercice de leurs droits en vertu du présent règlement.

  5. Le délégué à la protection des données est tenu au secret ou à la confidentialité concernant l'accomplissement de ses tâches, conformément au droit de l'Union ou des États membres.

  6. Le délégué à la protection des données peut remplir d'autres tâches et fonctions. Le responsable du traitement ou le sous-traitant doit veiller à ce que ces tâches et obligations n'entraînent pas de conflit d'intérêts.

Version du RGPD au Royaume-Uni

Poste du délégué à la protection des données

  1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit impliqué de manière appropriée et en temps opportun dans toutes les questions liées à la protection des données à caractère personnel.

  2. Le responsable du traitement et le sous-traitant assistent le délégué à la protection des données dans l'exécution des tâches visées à l'article 39 en lui fournissant les ressources nécessaires à l'exécution de ces tâches et à l'accès aux données à caractère personnel et aux traitements, ainsi qu'au maintien de ses connaissances spécialisées.

  3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction concernant l'exercice de ces tâches. Il ne peut être licencié ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exécution de ses tâches. Le délégué à la protection des données relève directement du niveau de direction le plus élevé du responsable du traitement ou du sous-traitant.

  4. Les personnes concernées peuvent contacter le délégué à la protection des données pour toutes les questions liées au traitement de leurs données personnelles et à l'exercice de leurs droits en vertu du présent règlement.

  5. Le délégué à la protection des données est tenu au secret ou à la confidentialité concernant l'accomplissement de ses missions, conformément au droit interne.

  6. Le délégué à la protection des données peut remplir d'autres tâches et fonctions. Le responsable du traitement ou le sous-traitant doit veiller à ce que ces tâches et obligations n'entraînent pas de conflit d'intérêts.
Aller au sujet

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Commentaire technique

L'article 38 du RGPD traite de trois domaines d'activité principaux qui concernent l'étendue des fonctions d'un délégué à la protection des données au sein de l'organisation :

  1. Le spécifique rôle de l' du DPD au sein de l'organisation, et comment il est impliqué dans la protection des données d'un individu.

  2. L'importance de maintenir impartialité et la confidentialité, dans l'exercice de leurs fonctions, sans examen ni ingérence injustifiés de la part de la direction de l'organisation.

  3. La nécessité d'éviter tout les conflits d'intérêts, si le DPD exerce toute autre fonction au sein de l'organisation, liée ou non à ses obligations en tant que DPO.

Clause 27701 de la norme ISO 6.3.1.1 (rôles et responsabilités en matière de sécurité de l'information) et article 38 du RGPD de l'UE

Dans cette section, nous parlons des articles 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6) du RGPD.

Les organisations doivent définir des rôles et des responsabilités spécifiques aux fonctions individuelles contenues dans leur politique de protection de la vie privée – à la fois leur politique générale et leurs politiques spécifiques à un sujet.

Les personnes ayant des responsabilités spécifiques doivent être suffisamment compétentes pour effectuer des tâches liées à la protection de la vie privée et doivent se voir offrir un soutien continu permettant de maintenir un niveau de compétence acceptable.

Les domaines de responsabilité devraient inclure :

  • La protection des informations personnelles et de tout actif lié à la confidentialité.

  • Exécuter les procédures de protection de la vie privée.

  • Activités de gestion des risques liées aux informations personnelles, y compris les mesures correctives.

  • Toute personne qui utilise les informations et les données de l'organisation, y compris l'utilisation des actifs TIC.

  • Personnes ayant une responsabilité de haut niveau en matière de protection de la vie privée et déléguant des tâches à d'autres.

L'ISO reconnaît que chaque organisation est unique dans la manière dont elle traite l'information. Les domaines de responsabilité ci-dessus doivent être accompagnés de directives spécifiques au site et à l'installation qui prennent en compte les facteurs du monde réel affectant les opérations de traitement des informations personnelles d'une organisation.

Toutes les responsabilités et domaines de sécurité ci-dessus doivent être clairement documentés et mis à la disposition de tous les membres du personnel concernés.

Les organisations doivent désigner une personne que les clients (et les autorités externes) peuvent utiliser comme point de contact dédié pour toutes les questions liées aux informations personnelles (voir ISO 27701, clause 7.3.2).

En outre, les organisations doivent déléguer la responsabilité à une ou plusieurs personnes pour élaborer un programme organisationnel de gouvernance de la confidentialité qui renforce le respect des lois et réglementations locales et nationales sur les informations personnelles.

Prise en charge des clauses ISO 27701

  • ISO 27701 7.3.2

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

Clause 27701 de la norme ISO 6.10.2.4 (Accords de confidentialité ou de non-divulgation) et article 38 (5) du RGPD de l'UE

Lors de la rédaction, de la mise en œuvre et du maintien des NDA, les organisations doivent :

  • Proposez une définition des informations qui doivent être protégées.

  • Décrivez clairement la durée prévue de l’accord.

  • Énoncez clairement toutes les actions requises une fois l’accord résilié.

  • Toutes les responsabilités convenues par les signataires confirmés.

  • Propriété des informations (y compris la propriété intellectuelle et les secrets commerciaux).

  • Comment les signataires sont autorisés à utiliser les informations.

  • Décrivez clairement le droit de l’organisation de surveiller les informations confidentielles.

  • Toutes les répercussions qui découleront du non-respect.

  • Examine régulièrement leurs besoins en matière de confidentialité et ajuste tout accord futur en conséquence.

Les lois sur la confidentialité varient d'une juridiction à l'autre, et les organisations doivent tenir compte de leurs propres obligations légales et réglementaires lors de la rédaction des NDA et des accords de confidentialité (voir ISO 27002 contrôles 5.31, 5.32, 5.33 et 5.34).

Prise en charge des contrôles ISO 27002

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Contrôles ISO 27002
RGPD de l'UE, articles 38 (1) à 38 (6)ISO 27701 6.3.1.1
ISO 27701 7.3.2		Aucun
Article 38 (5) du RGPD de l’UEISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34

Comment l'aide d'ISMS.online

Conformité RGPD avec ISMS.online

Notre approche de mise en œuvre « Adopter, adapter, ajouter » sur la plateforme ISMS.online facilite la démonstration de votre approche de conformité au RGPD. De plus, vous bénéficierez de puissantes fonctionnalités permettant de gagner du temps.

Dans le cas du pire, vous serez prêt. En documentant et en tirant les leçons de chaque incident, nous vous facilitons la planification et la communication de votre flux de travail en matière de violation.

En savoir plus par réserver une démo.

Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.

Emmie Cooney
Directeur des opérations, Amigo

Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage