כיצד להוכיח ציות ל-GDPR סעיף 14

גרסת GDPR בבריטניה

מידע שיסופק כאשר נתונים אישיים לא הושגו מנושאי המידע

1. כאשר לא התקבלו נתונים אישיים מהנבדק, הבקר ימסור לנושא המידע את המידע הבא:
• זהות ופרטי ההתקשרות של הבקר ובמקרה רלוונטי, של נציג הבקר;
• פרטי ההתקשרות של קצין הגנת המידע, במידת הצורך;
• מטרות העיבוד שלשמן מיועדים הנתונים האישיים וכן הבסיס המשפטי לעיבוד;
• הקטגוריות של נתונים אישיים הנוגעים בדבר;
• הנמענים או הקטגוריות של נמענים של הנתונים האישיים, אם יש כאלה;
• במקרה הרלוונטי, שהבקר מתכוון להעביר נתונים אישיים לנמען במדינה שלישית או בארגון בינלאומי וקיום או היעדר תקנות הלימה רלוונטיות לפי סעיף 17א לחוק משנת 2018, או במקרה של העברות הנזכרות בסעיף 46 או 47, או הפסקה השנייה של סעיף 49(1), התייחסות לאמצעי ההגנה המתאימים או המתאימים ולאמצעים להשגת עותק מהם או למקום שבו הם הועמדו לרשותם.
2. בנוסף למידע האמור בסעיף 1, הבקר ימסור לנושא המידע את המידע הבא הדרוש להבטחת עיבוד הוגן ושקוף לגבי נושא המידע:
• התקופה שבה יישמרו הנתונים האישיים, או אם זה לא אפשרי, הקריטריונים ששימשו לקביעת תקופה זו;
• כאשר העיבוד מתבסס על נקודה (ו) של סעיף 6(1), האינטרסים הלגיטימיים אותם רודף הבקר או על ידי צד שלישי;
• קיומה של הזכות לבקש מהבקר גישה ותיקון או מחיקה של נתונים אישיים או הגבלת עיבוד הנוגעים לנושא הנתונים ולהתנגד לעיבוד וכן הזכות לניידות נתונים;
• כאשר העיבוד מבוסס על נקודה (א) של סעיף 6(1) או נקודה (א) של סעיף 9(2), קיומה של הזכות לחזור בהסכמה בכל עת, מבלי להשפיע על חוקיות העיבוד המבוסס על הסכמה לפניה. נְסִיגָה;
• הזכות להגיש תלונה לנציב;
• מאיזה מקור הנתונים האישיים מקורם, ואם רלוונטי, האם הם הגיעו ממקורות נגישים לציבור;
• קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרים בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.
3. הבקר ימסור את המידע האמור בסעיפים 1 ו-2:
• בתוך תקופה סבירה לאחר קבלת הנתונים האישיים, אך לכל המאוחר תוך חודש, בהתחשב בנסיבות הספציפיות שבהן הנתונים האישיים מעובדים;
• אם יש להשתמש בנתונים האישיים לצורך תקשורת עם נושא המידע, לכל המאוחר במועד ההפניה הראשונה לאותו נושא המידע; אוֹ
• אם צפוי חשיפה לנמען אחר, לכל המאוחר כאשר הנתונים האישיים נחשפים לראשונה.
4. מקום שהבקר מתכוון להמשיך ולעבד את הנתונים האישיים למטרה אחרת מזו שלשמה הושגו הנתונים האישיים, האחראי ימסור לנושא המידע לפני אותו עיבוד נוסף מידע על אותה מטרה אחרת וכל מידע רלוונטי נוסף כמפורט לסעיף 2.
5. סעיפים 1 עד 4 לא יחולו אם וככל:
• לנושא הנתונים כבר יש את המידע;
• מסירת מידע כזה מתגלה כבלתי אפשרית או כרוכה במאמץ לא מידתי, בפרט לעיבוד למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעיות או היסטוריות או למטרות סטטיסטיות, בכפוף לתנאים וההגנות האמורות בסעיף 89 (1) או ככל שהחובה האמורה בסעיף 1 של סעיף זה עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת מטרותיו של אותו עיבוד. במקרים כאלה אחראי הבקר ינקוט באמצעים מתאימים כדי להגן על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לרבות הפיכת המידע לזמין לציבור;
• השגה או חשיפה נקבעים במפורש בחוק הפנימי, אשר מספק אמצעים מתאימים להגנה על האינטרסים הלגיטימיים של נושא הנתונים; אוֹ
• כאשר הנתונים האישיים חייבים להישאר חסויים בכפוף לחובת סודיות מקצועית המוסדרת בחוק המקומי, לרבות חובת סודיות סטטוטורית.

פרשנות טכנית

ארגונים צריכים להפוך את המידע הבא לזמין לאחר איסוף הנתונים של הנבדק:

1. זהות קצין הגנת המידע שלהם.
2. פרטי הקשר של קצין הגנת המידע שלהם.
3. המטרה והבסיס המשפטי לאיסוף הנתונים.
4. הקטגוריות של נתונים אישיים שהושגו בעקיפין.
5. כל אינטרס לגיטימי.
6. זהות הנמענים.
7. העברות בינלאומיות של נתונים, כולל פרטי מדינה ואמצעי הגנה.

חובות למסור מידע בעת קבלת מידע אישי

בנוסף למידע הנ"ל, הצורך של הארגון לספק גם:

1. פירוט תקופת שמירת הנתונים;
2. הפרטים של הזכויות של נושא המידע, על פי חוק הגנת המידע;
3. מידע כיצד לבטל את ההסכמה;
4. כיצד להגיש תלונה;
5. כל דרישות חוזיות או סטטוטוריות;
6. פירוט תהליכי קבלת החלטות אוטומטיים.

מגבלות זמן שלפיהן יש לספק מידע על עיבוד

• תרחיש 1 - נתונים אישיים שנאספו עם אין כוונה ליצור קשר עם נושא הנתונים או לחשוף את הנתונים לצד שלישי
• מגבלת זמן ליצירת קשר - חודש
• תרחיש 2 - נתונים אישיים שנאספו עם כוונה ליצירת קשר עם נושא הנתונים
• מגבלת זמן ליצירת קשר - חודשיים
• נתונים אישיים שנאספו עם כוונה לחשוף אותם לצד שלישי
• מגבלת זמן ליצירת קשר - חודשיים

האיחוד האירופי GDPR סעיף 14 ו-ISO 27701 סעיף 7.3.2

סעיף זה מתייחס לסעיפים 14 (1)(א), 14 (1)(ב), 14 (1)(ג), 14 (1)(ד), 14 (1)(ה), 14 (1)( ו), 14 (2)(ב), 14 (2)(ה), 14 (2)(ו), 14 (3)(א), 14 (3)(ב), 14 (3)(ג) , 14 (4), 14 (5)(א), 14 (5)(ב), 14 (5)(ג), 14 (5)(ד)

ראה הנחיות ISO 27701 סעיף 7.3.2 בסעיף 13.

GDPR של האיחוד האירופי סעיף 14 (2)(ד) ו-ISO 27701 סעיף 7.3.4

ראה הנחיות ISO 27701 סעיף 7.3.4 בסעיף 13.

האיחוד האירופי GDPR סעיף 14 (2)(ג) ו-ISO 27701 סעיף 7.3.5

ראה הנחיות ISO 27701 סעיף 7.3.5 בסעיף 13.

האיחוד האירופי GDPR סעיף 14 (2)(ג) ו-ISO 27701 סעיף 7.3.6

ראה הנחיות ISO 27701 סעיף 7.3.6 בסעיף 13.

האיחוד האירופי GDPR סעיף 14 (2)(g) ו-ISO 27701 סעיף 7.3.10

ראה הנחיות ISO 27701 סעיף 7.3.10 בסעיף 13.

GDPR של האיחוד האירופי סעיף 14 (2)(א) ו-ISO 27701 סעיף 7.4.7

ראה הנחיות ISO 27701 סעיף 7.4.7 בסעיף 13.

בקרות תומכות מ-ISO 27701

כיצד ISMS.online עוזר

אנו מספקים סביבה שנבנתה עבורך מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.

זו הסיבה שיצרנו בנק סיכונים מובנה ועוד מגוון כלים מעשיים שיעזרו בכל חלק של תהליך הערכת וניהול הסיכונים. לא משנה מה תקני הפרטיות או הרגולציה שאתה עובד עליהם, תצטרך להראות עד כמה אתה מנהל בקשות לזכויות נושאי מידע (DRR). מרחב ה-DRR המאובטח שלנו שומר את הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.

למידע נוסף על ידי הזמנת הדגמה של 30 דקות.