כיצד להוכיח ציות ל-GDPR סעיף 12

גרסת GDPR בבריטניה

1. הבקר ינקוט אמצעים מתאימים כדי לספק כל מידע הנזכר בסעיפים 13 ו-14 וכל תקשורת לפי סעיפים 15 עד 22 ו-34 הנוגעים לעיבוד לנושא המידע בצורה תמציתית, שקופה, מובנת ונגישה בקלות, תוך שימוש ברור וברור. שפה, במיוחד עבור כל מידע המופנה ספציפית לילד. המידע יינתן בכתב, או באמצעים אחרים, לרבות, במידת הצורך, באמצעים אלקטרוניים. כאשר נתבקש על ידי נושא המידע, ניתן למסור את המידע בעל-פה, ובלבד שזהותו של נושא המידע תוכח באמצעים אחרים.
2. המבקר יקל על מימוש זכויות נושא המידע לפי סעיפים 15 עד 22. במקרים הנזכרים בסעיף 11(2), לא יסרב המבקר לפעול לפי בקשתו של נושא הנתונים למימוש זכויותיו לפי סעיפים 15 עד 22, אלא אם הבקר הוכיח כי אין ביכולתו לזהות את נושא הנתונים.
3. הבקר ימסור מידע על פעולה שננקטה על בקשה לפי סעיפים 15 עד 22 לנושא הנתונים ללא דיחוי מיותר ובכל מקרה תוך חודש מיום קבלת הבקשה. ניתן להאריך תקופה זו בחודשיים נוספים במידת הצורך, תוך התחשבות במורכבות ובמספר הבקשות. הבקר יודיע לנושא הנתונים על כל הארכה כזו תוך חודש מיום קבלת הבקשה, בצירוף הסיבות לעיכוב. . כאשר נושא המידע מגיש את הבקשה באמצעי טופס אלקטרוני, המידע יסופק באמצעים אלקטרוניים במידת האפשר, אלא אם כן נתבקש אחרת על ידי נושא המידע.
4. אם המבקר לא ינקוט פעולה על פי בקשתו של נושא המידע, יודיע המבקר ללא דיחוי ולכל המאוחר תוך חודש מיום קבלת הבקשה על הסיבות לאי נקיטת הפעולה ועל האפשרות להגיש תביעה. תלונה ברשות מפקחת על הנציב ובקשת סעד שיפוטי.
5. מידע המסופק לפי סעיפים 13 ו-14 וכל תקשורת וכל פעולות שנעשו לפי סעיפים 15 עד 22 ו-34 יסופקו ללא תשלום. כאשר בקשות של נושא מידע הן בלתי מבוססות או מוגזמות בעליל, במיוחד בגלל אופי החוזר שלהן, הבקר רשאי:
• לגבות עמלה סבירה בהתחשב בעלויות הניהול של מסירת המידע או התקשורת או נקיטת הפעולה המבוקשת; אוֹ
• סרבו לפעול בהתאם לבקשה.

הבקר יישא בנטל להוכיח את אופייה המופרך או המופרז בעליל של הבקשה.

6. מבלי לפגוע בסעיף 11, כאשר יש לבקרה ספקות סבירים באשר לזהות האדם הטבעי המגיש את הבקשה הנזכרת בסעיפים 15 עד 21, רשאי הבקר לבקש מסירת מידע נוסף הדרוש לאישור זהות נושא המידע.
• [6א. הממונה רשאי לפרסם (ולתקן או לבטל)
• (א) סמלים סטנדרטיים לשימוש בשילוב עם מידע המסופק לנושאי מידע לפי סעיפים 13 ו-14;
• (ב) הודעה המציינת כי אנשים אחרים רשאים לפרסם (ולתקן או לבטל) אייקונים כאמור, ובלבד שהאייקונים עומדים בדרישות המפורטות בהודעה באשר למידע שיוצג על ידי האייקונים והנהלים למתן האייקונים.
• 6B. הממונה אינו רשאי לפרסם אייקונים או הודעה לפי סעיף 6א, אלא אם שוכנע (לפי העניין) שהסמלים נותנים סקירה משמעותית של העיבוד המיועד בצורה גלויה, מובנת וקריא בבירור או שההודעה תגרום לאייקונים שיעשו זאת. .]
7. אם סמלים סטנדרטיים מתפרסמים כמתואר בסעיף 6א (ולא בוטלו), המידע שיסופק לנושאי מידע בהתאם לסעיפים 13 ו-14 עשוי להינתן בשילוב עם הסמלים. כאשר הסמלים מוצגים באופן אלקטרוני, הם יהיו קריאים במכונה.

פרשנות טכנית

איכות המידע המסופק

המידע המסופק על ידי הבקר למנהל צריך להיות:

1. תַמצִיתִי.
2. שקוף.
3. מוּבָן.
4. נגיש בקלות.
5. מובן בקלות.
6. בפורמט המתאים.

הקלה על זכויות הנבדק

אמנם GDPR אינו מכיל קבוצה ספציפית של הוראות הנוגעות לאופן שבו ארגונים צריכים לספק "מנגנונים לבקש, ואם רלוונטי, להשיג, ללא תשלום, בפרט, גישה ותיקון או מחיקה של נתונים אישיים ומימוש הזכות להתנגד'.

מגבלות זמן

החקיקה משמיטה כל הגדרה מדויקת של מה נחשב זמן מקובל להיענות לבקשות. במקום זאת נותר לארגונים לפעול במהירות האפשרית (או 'ללא עיכוב מיותר') תוך פרק זמן של חודש אחד - מוארך לחודשיים עבור בקשות מורכבות.

אם ארגון אינו מתכוון לפעול בהתאם לבקשה, יש ליידע את נושא הנתונים על הסיבות תוך חודש, יחד עם מידע כיצד להגיש תלונה.

האיחוד האירופי GDPR סעיף 12 (2) ו-ISO 27701 סעיף 7.3.1

קביעה ומילוי חובות למנהלי Pii

ארגונים צריכים לתעד את חובותיהם למנהלי PII בשלושה תחומים מרכזיים:

1. משפטי.
2. רגולטורים.
3. עסקים.

ארגונים צריכים לספק תיעוד שקוף ונקודת מגע ייעודית למנהלי PII, על מנת להקל על זרימת המידע החופשית ולא להפריע בשום צורה למנהל PII לקבוע את התחייבויותיו של הבקר.

חשוב לציין שכדי להבטיח אחידות, כל אמצעי יצירת קשר שסופק צריך לשקף את הדרך שבה הארגון אוסף PII - למשל מסירת כתובת דוא"ל או PoC, אם הנתונים נאספו בדוא"ל, במקום לבקש מהמנהל לכתוב מכתב.

האיחוד האירופי GDPR סעיפים 12 (1) ו-(7) ו-ISO 27701 סעיף 7.3.3

מתן מידע למנהלי PII

ארגונים צריכים להיות מסוגלים לספק מידע למנהלי PII המזהה את בקר ה-PII ואת אופן עיבוד הנתונים.

ארגונים צריכים לעשות כמיטב יכולתם כדי להבטיח שהם משתמשים בשפה נגישה הנמנעת מהז'רגון בתעשייה, ומעבירה מידע במונחים פשוטים המובנים בקלות (ראה ISO 27702 סעיף 7.3.2).

תמיכה בסעיפים ISO 27701

• ISO 27701 7.3.2

האיחוד האירופי GDPR סעיפים 12 (3), (4), (5), (6) ו-ISO 27701 סעיף 7.3.9

בקשות ממנהלי PII צריכות להיות מנוהלות על ידי תהליכים ובקרות המובנות באופן נרחב בכל הארגון, ומתאימות לפרטים הספציפיים של כל דרישות חקיקה או רגולטוריות, כולל זמני תגובה נאותים.

הבקשות עשויות לכלול:

1. עותקים של נתונים.
2. תלונות.
3. הבהרות פרוצדורליות.

ארגונים רשאים על פי חוק לגבות עמלת טיפול, אבל זה חל בדרך כלל רק על בקשות חוזרות או מוגזמות לנתונים.

בקרות תומכות מ-ISO 27701

כיצד ISMS.online עוזר

ROPA קל

אנו הופכים את מיפוי הנתונים למשימה פשוטה. קל להקליט ולסקור את הכל, תוך הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.

תבניות הערכה

אנו מספקים תבניות קלות לשימוש להקלטת פרטיות והערכות אינטרסים לגיטימיים.

מקום מאובטח עבור DRR

תצטרך להראות עד כמה אתה מנהל בקשות לזכויות נושאי נתונים (DRR). מרחב ה-DRR המאובטח שלנו שומר את הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.

ניהול הפרות

אם יקרה הגרוע מכל, אתה תהיה מוכן. אנו מקלים על תכנון ותקשורת זרימת העבודה של הפרות, ומתעדים וללמוד מכל אירוע.

למידע נוסף על ידי הזמנת הדגמה.