כיצד להוכיח ציות ל-GDPR סעיף 13

תאימות לסעיף 13 של GDPR מסבירה את המידע שעל בקרי הנתונים לספק בעת איסוף נתונים אישיים, תוך הבטחת שקיפות ועיבוד הוגן במסגרת GDPR. זה מכסה דרישות מפתח כמו חשיפת זהות, מטרת עיבוד, זכויות נושא הנתונים, תקופות שמירה והעברות בינלאומיות כדי לעזור לארגונים לעמוד בדרישות ביעילות.

הבנת GDPR סעיף 13 תאימות: המדריך שלך לעיבוד נתונים שקוף

GDPR סעיף 13 עוסק בכמות המידע הנרחבת לעתים קרובות שיש לספק לנושאים במידע, על ידי בקרי, הן בנקודת האיסוף והן לאורך פעולת העיבוד.

GDPR סעיף 13 טקסט משפטי

גרסת GDPR של האיחוד האירופי

מידע שיסופק כאשר נתונים אישיים נאספים מהנושא הנתונים

כאשר נתונים אישיים הקשורים לנושא המידע נאספים מהנושא המידע, הבקר ימסור לנושא המידע את כל המידע הבא, בזמן קבלת הנתונים האישיים:

זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;
פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;
מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;
כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;
הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;
במקרה הרלוונטי, העובדה שהבקר מתכוון להעביר נתונים אישיים למדינה שלישית או לארגון בינלאומי וקיום או העדר החלטת הלימה על ידי הנציבות, או במקרה של העברות הנזכרות בסעיף 46 או 47, או בסעיף השני. סעיף משנה של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים להשגת עותק מהם או היכן הם הועמדו לרשותם.

בנוסף למידע האמור בסעיף 1, הבקר ימסור, בזמן קבלת הנתונים האישיים, לנושא המידע את המידע הבא הנחוץ להבטחת עיבוד הוגן ושקוף:

התקופה שבה יאוחסנו הנתונים האישיים, או אם הדבר אינו אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;
קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא המידע או להתנגד לעיבוד וכן הזכות לניידות נתונים;
כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפני נסיגתה;
הזכות להגיש תלונה לרשות מפקחת;
האם מסירת הנתונים האישיים היא דרישה סטטוטורית או חוזית, או דרישה הכרחית להתקשרות בחוזה, וכן האם נושא הנתונים מחויב למסור את הנתונים האישיים ומההשלכות האפשריות של אי מסירת נתונים אלה;
קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרת בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.

מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה נאספו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.
סעיפים 1, 2 ו-3 לא יחולו היכן וככל שלנשוא המידע כבר יש את המידע.

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

גרסת GDPR בבריטניה

סעיף 13: מידע שיסופק כאשר נתונים אישיים נאספים מנושאי הנתונים

כאשר נתונים אישיים הקשורים לנושא המידע נאספים מהנושא המידע, הבקר ימסור לנושא המידע את כל המידע הבא, בזמן קבלת הנתונים האישיים:

זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;
פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;
מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;
כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;
הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;
במקרה הרלוונטי, העובדה שהבקר מתכוון להעביר נתונים אישיים למדינה שלישית או לארגון בינלאומי וקיומן או היעדר תקנות הלימה רלוונטיות לפי סעיף 17א לחוק 2018, או במקרה של העברות הנזכרות בסעיף 46 או 47 , או הסעיף השני של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים שבאמצעותם ניתן להשיג עותק מהם או היכן הם הועמדו לרשותם.

בנוסף למידע האמור בסעיף 1, הבקר ימסור, בזמן קבלת הנתונים האישיים, לנושא המידע את המידע הבא הנחוץ להבטחת עיבוד הוגן ושקוף:

התקופה שבה יאוחסנו הנתונים האישיים, או אם הדבר אינו אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;
קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא המידע או להתנגד לעיבוד וכן הזכות לניידות נתונים;
כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפני נסיגתה;
הזכות להגיש תלונה לנציב;
האם מסירת הנתונים האישיים היא דרישה סטטוטורית או חוזית, או דרישה הכרחית להתקשרות בחוזה, וכן האם נושא הנתונים מחויב למסור את הנתונים האישיים ומההשלכות האפשריות של אי מסירת נתונים אלה;
קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרת בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.

מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה נאספו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.
סעיפים 1, 2 ו-3 לא יחולו היכן וככל שלנשוא המידע כבר יש את המידע.

פרשנות טכנית

ארגונים צריכים להפוך את המידע הבא לזמין בנקודת האיסוף, היכן שהוא רלוונטי (למשל העברות בינלאומיות):

זהות קצין הגנת המידע שלהם.
פרטי הקשר של קצין הגנת המידע שלהם.
המטרה והבסיס המשפטי לאיסוף הנתונים.
כל אינטרס לגיטימי.
זהות הנמענים.
העברות בינלאומיות של נתונים, כולל פרטי מדינה ואמצעי הגנה.

חובות למסור מידע בעת קבלת מידע אישי

בהתאם להנחיות המפורטות בסעיף 13, ארגונים צריכים גם לספק את המידע הבא:

פרטים על תקופת שמירת הנתונים.
הפרטים של הזכויות של נושא המידע, על פי חוק הגנת המידע.
מידע כיצד לבטל את ההסכמה.
כיצד להגיש תלונה.
מקור הנתונים שהושגו.
כל דרישות חוזיות או סטטוטוריות.
פירוט תהליכי קבלת החלטות אוטומטיים.

סעיפים של האיחוד האירופי GDPR סעיפים 13 (1)(א), (1)(ב), (1)(ג), (1)(ד), (1)(ה), (1)(ו), (2)( ג), (2)(ד), (2)(ה), (3), (4) ו-ISO 27701 סעיף 7.3.2

קביעת מידע עבור מנהלי PII

ארגונים צריכים לתאר סט מפורט של דרישות שקובעות כיצד ומתי יש לספק מידע למנהלי PII.

דוגמאות כוללות:

המטרה הבסיסית של הנתונים שנאספים ומעובדים.
פרטי יצירת קשר.
כיצד והיכן התקבל ה-PII.
דרישות חוזיות ו/או סטטוטוריות.
כיצד ניתן להסיר הסכמה.
העברות PII.
כיצד לרשום תלונה.
כיצד הארגון מקבל החלטות על עיבוד PII.
תקופות שמירת מידע.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

האיחוד האירופי GDPR סעיף 13 (3) ו-ISO 27701 סעיף 7.3.3

מתן מידע למנהלי PII

כל המידע צריך להיות מסופק ללא שגיאות, ובשפה מובנת בקלות (למשל חסר ז'רגון, לא טכני מדי) על ידי האנשים שיש להם את היכולת לקרוא אותו (ראה ISO 27702 סעיף 7.3.2).

תמיכה בסעיפים ISO 27701

ISO 27701 7.3.2

האיחוד האירופי GDPR סעיף 13 (2)(ג) ו-ISO 27701 סעיף 7.3.4

מתן מנגנון לשינוי או ביטול הסכמה

יש לספק מנגנונים הנותנים מענה לזכויות של כל מנהל PII המבקש לחזור בו מהסכמה.

ערוצי התקשורת צריכים לשקף את אלה ששימשו את הארגון לאיסוף הנתונים הראשוניים, ומנהלי PII צריכים להיות מסוגלים להגביל את הבקר מביצוע פעולות מסוימות.

ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל שינוי או ביטול של בקשות הסכמה, וכל הבקשות הללו צריכות להיות מתועדות ביסודיות.

האיחוד האירופי GDPR סעיף 13 (2)(ב) ו-ISO 27701 סעיף 7.3.5

מתן מנגנון לעיבוד אובייקט לזיהוי אישי

החוקים המקומיים והלאומיים משתנים בין תחומי השיפוט, אך באופן כללי, מנהלי PII צריכים לשמור על היכולת להעלות התנגדויות לגבי האופן שבו הנתונים שלהם אוחסנו, עבדו או הועברו.

ארגונים צריכים:

תיעוד כל דרישות משפטיות או רגולטוריות הקשורות לכל התנגדות שהעלו מנהלי PII.
ספק לנושאים מידע כיצד הם עשויים להתנגד.

האיחוד האירופי GDPR סעיף 13 (2)(ב) ו-ISO 27701 סעיף 7.3.6

גישה, תיקון ו/או מחיקה

ארגונים צריכים לתעד נהלים המאפשרים לנושאי מידע לבצע שלוש פונקציות בסיסיות:

גִישָׁה הנתונים שלהם.
נכון הנתונים שלהם.
מחק הנתונים שלהם.

ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל בקשות הגישה, התיקון או המחיקה, ולספק סיבה מדוע לא ניתן לבצע תיקונים, במידת הצורך.

אם PII הועבר לצד שלישי, ארגונים מחויבים להעביר אליהם כל בקשות ולאשר אישור (ראה ISO 27701 סעיף 7.3.7).

בהתאם לתחום השיפוט, יכולים לחול כללים אזוריים ולאומיים שונים. ככזה, ארגונים צריכים לשמור על הבנה מעמיקה של כל החוקים או התקנות החלים על גישה, תיקון או מחיקה של PII.

תמיכה בסעיפים ISO 27701

ISO 27701 7.3.7

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

האיחוד האירופי GDPR סעיף 13 (2)(ו) ו-ISO 27701 סעיף 7.3.10

קבלת החלטות אוטומטית

ארגונים צריכים להתייחס לכל התחייבות משפטית למנהלי PII הקשורים לעיבוד אוטומטי של PII.

ארגונים צריכים לקחת בחשבון את השונות בסמכות השיפוט בקבלת החלטות אוטומטית לגבי PII - ליתר דיוק, לאפשר למנהלי PII להתנגד ולבקש התערבות אנושית במקום נהלים אוטומטיים.

GDPR של האיחוד האירופי סעיף 13 (2)(א) ו-ISO 27701 סעיף 7.4.7

ארגונים צריכים למחוק ו/או להיפטר מ-PII שהם אינם דורשים עוד, או שאינם ממלאים עוד מטרה מסוימת.

ארגונים צריכים לפעול עם לוחות זמנים לשמירה המתארים את פרק הזמן המדויק ש-PII נשמר, כולל עמידה בדרישות חוקיות, סטטוטוריות או חוזיות.

בקרות תומכות מ-ISO 27701

מאמר GDPR	סעיף ISO 27701	ISO 27701 סעיפים תומכים
סעיף 14 (1)(א), (1)(ב), (1)(ג), (1)(ד), (1)(ה), (1)(ו), (2)(ב) , (2)(ה), (2)(ו), (3)(א), (3)(ב), (3)(ג), (4), (5)(א), (5) (ב), (5)(ג) ו-(5)(ד)	ISO 27701 7.3.2	ללא חתימה
סעיף (14)(2)(ד)	ISO 27701 7.3.4	ללא חתימה
סעיף (14)(2)(ג)	ISO 27701 7.3.5	ללא חתימה
סעיף (14)(2)(ג)	ISO 27701 7.3.6	ISO 27701 7.3.7
סעיף (14)(2)(ז)	ISO 27701 7.3.10	ללא חתימה
סעיף (14)(2)(א)	ISO 27701 7.4.7	ללא חתימה

כיצד ISMS.online עוזר

ROPA קל

פתרון ה-PIMS שלנו הופך את מיפוי הנתונים למשימה פשוטה. קל להקליט ולסקור הכל, תוך הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.

בנק סיכונים מובנה

ניהול סיכונים הוא המפתח ל-PIMS מוצלח. זו הסיבה שיצרנו בנק סיכונים מובנה ועוד מגוון כלים מעשיים שיעזרו בכל חלק של תהליך הערכת וניהול הסיכונים.

מקום מאובטח עבור DRR

לא משנה מה תקני הפרטיות או הרגולציה שאתה עובד עליהם, תצטרך להראות עד כמה אתה מנהל בקשות לזכויות נושאי מידע (DRR). מרחב ה-DRR המאובטח שלנו שומר הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.

למידע נוסף על ידי הזמנת הדגמה.

ג'ון וויטינג

ג'ון הוא ראש שיווק מוצרים ב-ISMS.online. עם למעלה מעשור של ניסיון בעבודה בסטארטאפים ובטכנולוגיה, ג'ון מוקדש לעיצוב נרטיבים מרתקים סביב ההצעות שלנו ב-ISMS.online, מה שמבטיח שנהיה מעודכנים בנוף אבטחת המידע המתפתח ללא הרף.

מאמרים בנושא GDPR

GDPR לעומק

אנחנו מובילים בתחומנו