עבור לתוכן
ISMS.online

כיצד להוכיח ציות ל-GDPR סעיף 14

סעיף 14 של ה-GDPR קובע שכאשר נאספים נתונים אישיים בעקיפין - כמו מצדדים שלישיים - על הבקרים ליידע את נושאי הנתונים על איסוף הנתונים, המקור שלו ומטרות העיבוד, בין אם בזמן האיסוף או זמן קצר לאחר מכן.

מְחַבֵּר
ג'ון וויטינג
עודכן בספטמבר 30, 2025
4/5 כוכבים

הבנת סעיף 14 של GDPR: דרישות תאימות עיקריות

GDPR סעיף 14 מתמקד בעקרונות של שקיפות במקרים של איסוף נתונים בעקיפין - למשל מצד שלישי. בנסיבות כאלה, הבקרים צריכים לספק מידע לנושאי מידע בנקודת האיסוף, או מיד לאחר מכן.

לאורך היישום הטכני, סעיף 14 דבק באופן נרחב באמצעים הכלולים בסעיף 13, אך בהבדל אחד עיקרי - חובה לחשוף מהיכן התקבלו הנתונים, ואם הם הגיעו מ"מקור זמין לציבור".

הבדל נוסף מתרחש הקשור לנקודה שבה הבקר מודיע לנבדק שהנתונים נאספו. סעיף 13 עוסק באיסוף ישיר - המחייב תקשורת מיידית עם הנבדק - בעוד שסעיף 14 (איסוף עקיף) מאפשר פרק זמן קצר לפני שהנבדקים מקבלים מידע.

GDPR סעיף 14 טקסט משפטי

גרסת GDPR של האיחוד האירופי

מידע שיסופק כאשר נתונים אישיים לא הושגו מנושאי המידע

  1. כאשר לא התקבלו נתונים אישיים מהנבדק, הבקר ימסור לנושא המידע את המידע הבא:

    • זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;
    • פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;
    • מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;
    • הקטגוריות של נתונים אישיים הנוגעים בדבר;
    • הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;
    • במקרה הרלוונטי, שהבקר מתכוון להעביר נתונים אישיים לנמען במדינה שלישית או בארגון בינלאומי וקיום או העדר החלטת הלימה של הנציבות, או במקרה של העברות הנזכרות בסעיף 46 או 47, או סעיף שני של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים להשגת עותק מהם או למקום שבו הם הועמדו לרשותם.
  2. בנוסף למידע האמור בסעיף 1, הבקר ימסור לנושא המידע את המידע הבא הדרוש להבטחת עיבוד הוגן ושקוף לגבי נושא המידע:

    • התקופה שבה יאוחסנו הנתונים האישיים, או אם הדבר אינו אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;
    • כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;
    • קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא הנתונים ולהתנגד לעיבוד וכן הזכות לניידות נתונים;
    • כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפניה. נְסִיגָה;
    • הזכות להגיש תלונה לרשות מפקחת;
    • מאיזה מקור הנתונים האישיים מקורם, ואם רלוונטי, האם הם הגיעו ממקורות נגישים לציבור;
    • קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרת בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.
  3. הבקר ימסור את המידע האמור בסעיפים 1 ו-2:

    • בתוך תקופה סבירה לאחר קבלת הנתונים האישיים, אך לכל המאוחר תוך חודש, בהתחשב בנסיבות הספציפיות שבהן הנתונים האישיים מעובדים;
    • אם יש להשתמש בנתונים האישיים לצורך תקשורת עם נושא המידע, לכל המאוחר במועד ההפניה הראשונה לאותו נושא המידע; אוֹ
    • אם צפוי חשיפה לנמען אחר, לכל המאוחר כאשר הנתונים האישיים נחשפים לראשונה.
  4. מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה הושגו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.
  5. סעיפים 1 עד 4 לא יחולו אם וככל:

    • לנושא הנתונים כבר יש את המידע;
    • מסירת מידע כאמור מתגלה כבלתי אפשרית או כרוכה במאמץ לא מידתי, במיוחד לעיבוד למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעיות או היסטוריות או למטרות סטטיסטיות, בכפוף לתנאים ולאמצעי ההגנה האמורים בסעיף 89(1) או ככל שהחובה האמורה בסעיף 1 של סעיף זה עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת מטרותיו של אותו עיבוד. במקרים כאלה אחראי הבקר ינקוט באמצעים מתאימים כדי להגן על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לרבות הפיכת המידע לזמין לציבור;
    • השגה או חשיפה נקבעים במפורש בחוק האיחוד או במדינה החברית שהבקר כפוף לו ואשר מספק אמצעים מתאימים להגנה על האינטרסים הלגיטימיים של נושא הנתונים; אוֹ
    • כאשר הנתונים האישיים חייבים להישאר חסויים בכפוף לחובת סודיות מקצועית המוסדרת על ידי חוק האיחוד או המדינות החברות, לרבות חובת סודיות סטטוטורית.


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


גרסת GDPR בבריטניה

מידע שיסופק כאשר נתונים אישיים לא הושגו מנושאי המידע

  1. כאשר לא התקבלו נתונים אישיים מהנבדק, הבקר ימסור לנושא המידע את המידע הבא:

    • זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;
    • פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;
    • מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;
    • הקטגוריות של נתונים אישיים הנוגעים בדבר;
    • הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;
    • במקרה הרלוונטי, שהבקר מתכוון להעביר נתונים אישיים לנמען במדינה שלישית או בארגון בינלאומי וקיום או היעדר תקנות הלימה רלוונטיות לפי סעיף 17א לחוק משנת 2018, או במקרה של העברות הנזכרות בסעיף 46 או 47, או הפסקה השנייה של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים להשגת עותק מהם או למקום שבו הם הועמדו לרשותם.
  2. בנוסף למידע האמור בסעיף 1, הבקר ימסור לנושא המידע את המידע הבא הדרוש להבטחת עיבוד הוגן ושקוף לגבי נושא המידע:

    • התקופה שבה יישמרו הנתונים האישיים, או אם זה לא אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;
    • כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;
    • קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא הנתונים ולהתנגד לעיבוד וכן הזכות לניידות נתונים;
    • כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפניה. נְסִיגָה;
    • הזכות להגיש תלונה לנציב;
    • מאיזה מקור הנתונים האישיים מקורם, ואם רלוונטי, האם הם הגיעו ממקורות נגישים לציבור;
    • קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרים בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.
  3. הבקר ימסור את המידע האמור בסעיפים 1 ו-2:

    • בתוך תקופה סבירה לאחר קבלת הנתונים האישיים, אך לכל המאוחר תוך חודש, בהתחשב בנסיבות הספציפיות שבהן הנתונים האישיים מעובדים;
    • אם יש להשתמש בנתונים האישיים לצורך תקשורת עם נושא המידע, לכל המאוחר במועד ההפניה הראשונה לאותו נושא המידע; אוֹ
    • אם צפוי חשיפה לנמען אחר, לכל המאוחר כאשר הנתונים האישיים נחשפים לראשונה.
  4. מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה הושגו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.
  5. סעיפים 1 עד 4 לא יחולו אם וככל:

    • לנושא הנתונים כבר יש את המידע;
    • מסירת מידע כזה מתגלה כבלתי אפשרית או כרוכה במאמץ לא מידתי, בפרט לעיבוד למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעיות או היסטוריות או למטרות סטטיסטיות, בכפוף לתנאים וההגנות האמורות בסעיף 89 (1) או ככל שהחובה האמורה בסעיף 1 של סעיף זה עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת מטרותיו של אותו עיבוד. במקרים כאלה אחראי הבקר ינקוט באמצעים מתאימים כדי להגן על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לרבות הפיכת המידע לזמין לציבור;
    • השגה או חשיפה נקבעים במפורש בחוק הפנימי, אשר מספק אמצעים מתאימים להגנה על האינטרסים הלגיטימיים של נושא הנתונים; אוֹ
    • כאשר הנתונים האישיים חייבים להישאר חסויים בכפוף לחובת סודיות מקצועית המוסדרת בחוק המקומי, לרבות חובת סודיות סטטוטורית.


ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


פרשנות טכנית

ארגונים צריכים להפוך את המידע הבא לזמין לאחר איסוף הנתונים של הנבדק:

  1. זהות קצין הגנת המידע שלהם.
  2. פרטי הקשר של קצין הגנת המידע שלהם.
  3. המטרה והבסיס המשפטי לאיסוף הנתונים.
  4. הקטגוריות של נתונים אישיים שהושגו בעקיפין.
  5. כל אינטרס לגיטימי.
  6. זהות הנמענים.
  7. העברות בינלאומיות של נתונים, כולל פרטי מדינה ואמצעי הגנה.

חובות למסור מידע בעת קבלת מידע אישי

בנוסף למידע הנ"ל, הצורך של הארגון לספק גם:

  1. פירוט תקופת שמירת הנתונים;
  2. הפרטים של הזכויות של נושא המידע, על פי חוק הגנת המידע;
  3. מידע כיצד לבטל את ההסכמה;
  4. כיצד להגיש תלונה;
  5. כל דרישות חוזיות או סטטוטוריות;
  6. פירוט תהליכי קבלת החלטות אוטומטיים.

מגבלות זמן שלפיהן יש לספק מידע על עיבוד

  • תרחיש 1 - נתונים אישיים שנאספו עם אין כוונה ליצור קשר עם נושא הנתונים או לחשוף את הנתונים לצד שלישי
    • מגבלת זמן ליצירת קשר - חודש
  • תרחיש 2 - נתונים אישיים שנאספו עם כוונה ליצירת קשר עם נושא הנתונים
    • מגבלת זמן ליצירת קשר - חודשיים
  • נתונים אישיים שנאספו עם כוונה לחשוף אותם לצד שלישי
    • מגבלת זמן ליצירת קשר - חודשיים

האיחוד האירופי GDPR סעיף 14 ו-ISO 27701 סעיף 7.3.2

סעיף זה מתייחס לסעיפים 14 (1)(א), 14 (1)(ב), 14 (1)(ג), 14 (1)(ד), 14 (1)(ה), 14 (1)( ו), 14 (2)(ב), 14 (2)(ה), 14 (2)(ו), 14 (3)(א), 14 (3)(ב), 14 (3)(ג) , 14 (4), 14 (5)(א), 14 (5)(ב), 14 (5)(ג), 14 (5)(ד)

ראה הנחיות ISO 27701 סעיף 7.3.2 בסעיף 13.

GDPR של האיחוד האירופי סעיף 14 (2)(ד) ו-ISO 27701 סעיף 7.3.4

ראה הנחיות ISO 27701 סעיף 7.3.4 בסעיף 13.

האיחוד האירופי GDPR סעיף 14 (2)(ג) ו-ISO 27701 סעיף 7.3.5

ראה הנחיות ISO 27701 סעיף 7.3.5 בסעיף 13.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


האיחוד האירופי GDPR סעיף 14 (2)(ג) ו-ISO 27701 סעיף 7.3.6

ראה הנחיות ISO 27701 סעיף 7.3.6 בסעיף 13.

האיחוד האירופי GDPR סעיף 14 (2)(g) ו-ISO 27701 סעיף 7.3.10

ראה הנחיות ISO 27701 סעיף 7.3.10 בסעיף 13.

GDPR של האיחוד האירופי סעיף 14 (2)(א) ו-ISO 27701 סעיף 7.4.7

ראה הנחיות ISO 27701 סעיף 7.4.7 בסעיף 13.

בקרות תומכות מ-ISO 27701

מאמר GDPR סעיף ISO 27701 ISO 27701 סעיפים תומכים
האיחוד האירופי GDPR סעיפים 14 (1)(א) עד (5)(ד) ISO 27701 7.3.2 ללא חתימה
סעיף 14 (2)(ד) של EU GDPR ISO 27701 7.3.4 ללא חתימה
סעיף 14 (2)(ג) של EU GDPR ISO 27701 7.3.5 ללא חתימה
סעיף 14 (2)(ג) של EU GDPR ISO 27701 7.3.6 ISO 27701 7.3.7
סעיף 14 (2)(g) של EU GDPR ISO 27701 7.3.10 ללא חתימה
סעיף 14 (2)(א) של EU GDPR ISO 27701 7.4.7 ללא חתימה

כיצד ISMS.online עוזר

אנו מספקים סביבה שנבנתה עבורך מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.

זו הסיבה שיצרנו בנק סיכונים מובנה ועוד מגוון כלים מעשיים שיעזרו בכל חלק של תהליך הערכת וניהול הסיכונים. לא משנה מה תקני הפרטיות או הרגולציה שאתה עובד עליהם, תצטרך להראות עד כמה אתה מנהל בקשות לזכויות נושאי מידע (DRR). מרחב ה-DRR המאובטח שלנו שומר את הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.

למידע נוסף על ידי הזמנת הדגמה של 30 דקות.

ג'ון וויטינג

ג'ון הוא ראש שיווק מוצרים ב-ISMS.online. עם למעלה מעשור של ניסיון בעבודה בסטארטאפים ובטכנולוגיה, ג'ון מוקדש לעיצוב נרטיבים מרתקים סביב ההצעות שלנו ב-ISMS.online, מה שמבטיח שנהיה מעודכנים בנוף אבטחת המידע המתפתח ללא הרף.

מאמרים בנושא GDPR

GDPR לעומק

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה