כיצד להוכיח ציות ל-GDPR סעיף 13

תוכנת תאימות ל-GDPR

הזמן הדגמה

עסק,עמיתים,עובדים,ב,עמוס,פתוח,תוכנית,משרד

GDPR סעיף 13 עוסק בכמות המידע הנרחבת לעתים קרובות שיש לספק לנושאים במידע, על ידי בקרי, הן בנקודת האיסוף והן לאורך פעולת העיבוד.

GDPR סעיף 13 טקסט משפטי

גרסת GDPR של האיחוד האירופי

מידע שיסופק כאשר נתונים אישיים נאספים מהנושא הנתונים

  1. כאשר נתונים אישיים הקשורים לנושא המידע נאספים מהנושא המידע, הבקר ימסור לנושא המידע את כל המידע הבא, בזמן קבלת הנתונים האישיים:

    • זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;

    • פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;

    • מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;

    • כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;

    • הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;

    • במקרה הרלוונטי, העובדה שהבקר מתכוון להעביר נתונים אישיים למדינה שלישית או לארגון בינלאומי וקיום או העדר החלטת הלימה על ידי הנציבות, או במקרה של העברות הנזכרות בסעיף 46 או 47, או בסעיף השני. סעיף משנה של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים להשגת עותק מהם או היכן הם הועמדו לרשותם.

  2. בנוסף למידע האמור בסעיף 1, הבקר ימסור, בזמן קבלת הנתונים האישיים, לנושא המידע את המידע הבא הנחוץ להבטחת עיבוד הוגן ושקוף:

    • התקופה שבה יאוחסנו הנתונים האישיים, או אם הדבר אינו אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;

    • קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא המידע או להתנגד לעיבוד וכן הזכות לניידות נתונים;

    • כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפני נסיגתה;

    • הזכות להגיש תלונה לרשות מפקחת;

    • האם מסירת הנתונים האישיים היא דרישה סטטוטורית או חוזית, או דרישה הכרחית להתקשרות בחוזה, וכן האם נושא הנתונים מחויב למסור את הנתונים האישיים ומההשלכות האפשריות של אי מסירת נתונים אלה;

    • קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרת בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.

  3. מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה נאספו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.

  4. סעיפים 1, 2 ו-3 לא יחולו היכן וככל שלנשוא המידע כבר יש את המידע.
קפוץ לנושא
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
ויויאן קרונר
מיישם מוביל של ISO 27001, 27701 ו-GDPR אפריאן העולמית
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

גרסת GDPR בבריטניה

סעיף 13: מידע שיסופק כאשר נתונים אישיים נאספים מנושאי הנתונים

  1. כאשר נתונים אישיים הקשורים לנושא המידע נאספים מהנושא המידע, הבקר ימסור לנושא המידע את כל המידע הבא, בזמן קבלת הנתונים האישיים:

    • זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;

    • פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;

    • מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;

    • כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;

    • הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;

    • במקרה הרלוונטי, העובדה שהבקר מתכוון להעביר נתונים אישיים למדינה שלישית או לארגון בינלאומי וקיומן או היעדר תקנות הלימה רלוונטיות לפי סעיף 17א לחוק 2018, או במקרה של העברות הנזכרות בסעיף 46 או 47 , או הסעיף השני של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים שבאמצעותם ניתן להשיג עותק מהם או היכן הם הועמדו לרשותם.

  2. בנוסף למידע האמור בסעיף 1, הבקר ימסור, בזמן קבלת הנתונים האישיים, לנושא המידע את המידע הבא הנחוץ להבטחת עיבוד הוגן ושקוף:

    • התקופה שבה יאוחסנו הנתונים האישיים, או אם הדבר אינו אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;

    • קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא המידע או להתנגד לעיבוד וכן הזכות לניידות נתונים;

    • כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפני נסיגתה;

    • הזכות להגיש תלונה לנציב;

    • האם מסירת הנתונים האישיים היא דרישה סטטוטורית או חוזית, או דרישה הכרחית להתקשרות בחוזה, וכן האם נושא הנתונים מחויב למסור את הנתונים האישיים ומההשלכות האפשריות של אי מסירת נתונים אלה;

    • קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרת בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.

  3. מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה נאספו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.

  4. סעיפים 1, 2 ו-3 לא יחולו היכן וככל שלנשוא המידע כבר יש את המידע.

פרשנות טכנית

ארגונים צריכים להפוך את המידע הבא לזמין בנקודת האיסוף, היכן שהוא רלוונטי (למשל העברות בינלאומיות):

  1. זהות קצין הגנת המידע שלהם.

  2. פרטי הקשר של קצין הגנת המידע שלהם.

  3. המטרה והבסיס המשפטי לאיסוף הנתונים.

  4. כל אינטרס לגיטימי.

  5. זהות הנמענים.

  6. העברות בינלאומיות של נתונים, כולל פרטי מדינה ואמצעי הגנה.

חובות למסור מידע בעת קבלת מידע אישי

בהתאם להנחיות המפורטות בסעיף 13, ארגונים צריכים גם לספק את המידע הבא:

  • פרטים על תקופת שמירת הנתונים.

  • הפרטים של הזכויות של נושא המידע, על פי חוק הגנת המידע.

  • מידע כיצד לבטל את ההסכמה.

  • כיצד להגיש תלונה.

  • מקור הנתונים שהושגו.

  • כל דרישות חוזיות או סטטוטוריות.

  • פירוט תהליכי קבלת החלטות אוטומטיים.

ראה את הפלטפורמה שלנו
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

ISMS.online יחסוך לך זמן וכסף

קבל את הצעת המחיר שלך

סעיפים של האיחוד האירופי GDPR סעיפים 13 (1)(א), (1)(ב), (1)(ג), (1)(ד), (1)(ה), (1)(ו), (2)( ג), (2)(ד), (2)(ה), (3), (4) ו-ISO 27701 סעיף 7.3.2

קביעת מידע עבור מנהלי PII

ארגונים צריכים לתאר סט מפורט של דרישות שקובעות כיצד ומתי יש לספק מידע למנהלי PII.

דוגמאות כוללות:

  • המטרה הבסיסית של הנתונים שנאספים ומעובדים.

  • פרטי יצירת קשר.

  • כיצד והיכן התקבל ה-PII.

  • דרישות חוזיות ו/או סטטוטוריות.

  • כיצד ניתן להסיר הסכמה.

  • העברות PII.

  • כיצד לרשום תלונה.

  • כיצד הארגון מקבל החלטות על עיבוד PII.

  • תקופות שמירת מידע.

האיחוד האירופי GDPR סעיף 13 (3) ו-ISO 27701 סעיף 7.3.3

מתן מידע למנהלי PII

כל המידע צריך להיות מסופק ללא שגיאות, ובשפה מובנת בקלות (למשל חסר ז'רגון, לא טכני מדי) על ידי האנשים שיש להם את היכולת לקרוא אותו (ראה ISO 27702 סעיף 7.3.2).

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.3.2

האיחוד האירופי GDPR סעיף 13 (2)(ג) ו-ISO 27701 סעיף 7.3.4

מתן מנגנון לשינוי או ביטול הסכמה

יש לספק מנגנונים הנותנים מענה לזכויות של כל מנהל PII המבקש לחזור בו מהסכמה.

ערוצי התקשורת צריכים לשקף את אלה ששימשו את הארגון לאיסוף הנתונים הראשוניים, ומנהלי PII צריכים להיות מסוגלים להגביל את הבקר מביצוע פעולות מסוימות.

ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל שינוי או ביטול של בקשות הסכמה, וכל הבקשות הללו צריכות להיות מתועדות ביסודיות.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

האיחוד האירופי GDPR סעיף 13 (2)(ב) ו-ISO 27701 סעיף 7.3.5

מתן מנגנון לעיבוד אובייקט לזיהוי אישי

החוקים המקומיים והלאומיים משתנים בין תחומי השיפוט, אך באופן כללי, מנהלי PII צריכים לשמור על היכולת להעלות התנגדויות לגבי האופן שבו הנתונים שלהם אוחסנו, עבדו או הועברו.

ארגונים צריכים:

  1. תיעוד כל דרישות משפטיות או רגולטוריות הקשורות לכל התנגדות שהעלו מנהלי PII.

  2. ספק לנושאים מידע כיצד הם עשויים להתנגד.

האיחוד האירופי GDPR סעיף 13 (2)(ב) ו-ISO 27701 סעיף 7.3.6

גישה, תיקון ו/או מחיקה

ארגונים צריכים לתעד נהלים המאפשרים לנושאי מידע לבצע שלוש פונקציות בסיסיות:

  1. גִישָׁה הנתונים שלהם.

  2. נכון הנתונים שלהם.

  3. מחק הנתונים שלהם.

ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל בקשות הגישה, התיקון או המחיקה, ולספק סיבה מדוע לא ניתן לבצע תיקונים, במידת הצורך.

אם PII הועבר לצד שלישי, ארגונים מחויבים להעביר אליהם כל בקשות ולאשר אישור (ראה ISO 27701 סעיף 7.3.7).

בהתאם לתחום השיפוט, יכולים לחול כללים אזוריים ולאומיים שונים. ככזה, ארגונים צריכים לשמור על הבנה מעמיקה של כל החוקים או התקנות החלים על גישה, תיקון או מחיקה של PII.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.3.7

האיחוד האירופי GDPR סעיף 13 (2)(ו) ו-ISO 27701 סעיף 7.3.10

קבלת החלטות אוטומטית

ארגונים צריכים להתייחס לכל התחייבות משפטית למנהלי PII הקשורים לעיבוד אוטומטי של PII.

ארגונים צריכים לקחת בחשבון את השונות בסמכות השיפוט בקבלת החלטות אוטומטית לגבי PII - ליתר דיוק, לאפשר למנהלי PII להתנגד ולבקש התערבות אנושית במקום נהלים אוטומטיים.

ראה ISMS.online
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
ג'ודי קורבר
מנכ"ל לנרקס
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

GDPR של האיחוד האירופי סעיף 13 (2)(א) ו-ISO 27701 סעיף 7.4.7

ארגונים צריכים למחוק ו/או להיפטר מ-PII שהם אינם דורשים עוד, או שאינם ממלאים עוד מטרה מסוימת.

ארגונים צריכים לפעול עם לוחות זמנים לשמירה המתארים את פרק הזמן המדויק ש-PII נשמר, כולל עמידה בדרישות חוקיות, סטטוטוריות או חוזיות.

בקרות תומכות מ-ISO 27701

מאמר GDPRסעיף ISO 27701סעיפים תומכים
סעיף 14 (1)(א), (1)(ב), (1)(ג), (1)(ד), (1)(ה), (1)(ו), (2)(ב) , (2)(ה), (2)(ו), (3)(א), (3)(ב), (3)(ג), (4), (5)(א), (5) (ב), (5)(ג) ו-(5)(ד)ISO 27701 7.3.2ללא חתימה
סעיף (14)(2)(ד)ISO 27701 7.3.4ללא חתימה
סעיף (14)(2)(ג)ISO 27701 7.3.5ללא חתימה
סעיף (14)(2)(ג)ISO 27701 7.3.6ISO 27701 7.3.7
סעיף (14)(2)(ז)ISO 27701 7.3.10ללא חתימה
סעיף (14)(2)(א)ISO 27701 7.4.7ללא חתימה

כיצד ISMS.online עוזר

ROPA קל

פתרון ה-PIMS שלנו הופך את מיפוי הנתונים למשימה פשוטה. קל להקליט ולסקור הכל, תוך הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.

בנק סיכונים מובנה

ניהול סיכונים הוא המפתח ל-PIMS מוצלח. זו הסיבה שיצרנו בנק סיכונים מובנה ועוד מגוון כלים מעשיים שיעזרו בכל חלק של תהליך הערכת וניהול הסיכונים.

מקום מאובטח עבור DRR

לא משנה מה תקני הפרטיות או הרגולציה שאתה עובד עליהם, תצטרך להראות עד כמה אתה מנהל בקשות לזכויות נושאי מידע (DRR). מרחב ה-DRR המאובטח שלנו שומר הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.

למידע נוסף על ידי הזמנת הדגמה.

זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.

אמי קוני
מנהל תפעול, Amigo

הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף