כיצד להוכיח ציות ל-GDPR סעיף 15

תוכנת תאימות ל-GDPR

הזמן הדגמה

קבוצה,של,שמחים,עמיתים לעבודה,דיונים,בחדר,וועידה

סעיף 15 עוסק בחובתו של ארגון לספק מידע עקבי, אמין ומדויק הנוגע לפעילותו כבקר נתונים.

המידע שהארגון מספק לנושאי מידע מאפשר לאנשים להגביר את המודעות שלהם לאופן השימוש בנתונים שלהם, לשלוט על אופן העיבוד והשיתוף של הנתונים שלהם, ולהבטיח שהנתונים שלהם מטופלים כחוק.

GDPR סעיף 15 טקסט משפטי

גרסת GDPR בבריטניה

זכות גישה של נושא הנתונים

  1. לנושא המידע תהיה הזכות לקבל מהבקר אישור אם נתונים אישיים הנוגעים לו מעובדים או לא, ובמקרה כזה, גישה לנתונים האישיים ולמידע הבא:

    • מטרות העיבוד;

    • את הקטגוריות של נתונים אישיים מודאגים;

    • הנמענים או הקטגוריות של נמענים שאליהם נחשפו או ייחשפו הנתונים האישיים, במיוחד נמענים במדינות שלישיות או בארגונים בינלאומיים;

    • במידת האפשר, את התקופה המתוכננת שעליה יאוחסנו הנתונים האישיים, או, אם לא ניתן, את הקריטריונים המשמשים לקביעת התקופה;

    • קיומה של הזכות לבקש מהבקר תיקון או מחיקה של נתונים אישיים או הגבלת עיבוד נתונים אישיים הנוגעים לנושא המידע או להתנגד לעיבוד כזה;

    • הזכות להגיש תלונה לנציב;

    • שבו הנתונים האישיים אינם נאספים מתוך נושא הנתונים, כל מידע זמין לגבי המקור שלהם;

    • קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרים בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.
  2. כאשר נתונים אישיים מועברים למדינה שלישית או לארגון בינלאומי, תהיה לנושא הנתונים הזכות לקבל מידע על אמצעי ההגנה המתאימים בהתאם לסעיף 46 המתייחס להעברה.

  3. המבקר יספק עותק של הנתונים האישיים שעוברים עיבוד. עבור כל עותקים נוספים שיבקשו על ידי נושא הנתונים, הבקר רשאי לגבות עמלה סבירה המבוססת על עלויות אדמיניסטרטיביות. כאשר נושא המידע מגיש את הבקשה באמצעים אלקטרוניים, אלא אם כן נתבקש אחרת על ידי נושא המידע, המידע יסופק בצורה אלקטרונית בשימוש נפוץ.

  4. הזכות לקבל עותק האמור בסעיף 3 לא תשפיע לרעה על זכויותיהם וחירויותיהם של אחרים.

גרסת GDPR של האיחוד האירופי

זכות גישה של נושא הנתונים

  1. לנושא המידע תהיה הזכות לקבל מהבקר אישור אם נתונים אישיים הנוגעים לו מעובדים או לא, ובמקרה כזה, גישה לנתונים האישיים ולמידע הבא:

    • מטרות העיבוד;

    • את הקטגוריות של נתונים אישיים מודאגים;

    • הנמענים או הקטגוריות של נמענים שאליהם נחשפו או ייחשפו הנתונים האישיים, במיוחד נמענים במדינות שלישיות או בארגונים בינלאומיים;

    • במידת האפשר, את התקופה המתוכננת שעליה יאוחסנו הנתונים האישיים, או, אם לא ניתן, את הקריטריונים המשמשים לקביעת התקופה;

    • קיומה של הזכות לבקש מהבקר תיקון או מחיקה של נתונים אישיים או הגבלת עיבוד נתונים אישיים הנוגעים לנושא המידע או להתנגד לעיבוד כזה;

    • הזכות להגיש תלונה לרשות מפקחת;

    • שבו הנתונים האישיים אינם נאספים מתוך נושא הנתונים, כל מידע זמין לגבי המקור שלהם;

    • קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרים בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.
  2. כאשר נתונים אישיים מועברים למדינה שלישית או לארגון בינלאומי, תהיה לנושא הנתונים הזכות לקבל מידע על אמצעי ההגנה המתאימים בהתאם לסעיף 46 המתייחס להעברה.

  3. המבקר יספק עותק של הנתונים האישיים שעוברים עיבוד. עבור כל עותקים נוספים שיבקשו על ידי נושא הנתונים, הבקר רשאי לגבות עמלה סבירה המבוססת על עלויות אדמיניסטרטיביות. כאשר נושא המידע מגיש את הבקשה באמצעים אלקטרוניים, אלא אם כן נתבקש אחרת על ידי נושא המידע, המידע יסופק בצורה אלקטרונית בשימוש נפוץ.

  4. הזכות לקבל עותק האמור בסעיף 3 לא תשפיע לרעה על זכויותיהם וחירויותיהם של אחרים.
קפוץ לנושא

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

פרשנות טכנית

סעיף 15 מכיל שלוש זכויות יסוד המוחזקות על ידי נושא המידע:

  1. זכות הגישה (לרבות הזכות לקבל אישור על עיבוד ומידע נוסף על העיבוד);

  2. הזכות לקבל מידע על אמצעי הגנה;

  3. הזכות לקבל עותק של הנתונים האישיים;

סעיף 15 גם מתאר כמה מגבלות לזכות הגישה (ראה לעיל). כאשר גישה כזו פוגעת בזכויות ובחירויות של אחרים, ארגונים יכולים לסרב לבקשות להעתקי נתונים.

כמו כן, כאשר בקשות כאלה נחשבות מופרזות או מופרכות בעליל, ארגונים יכולים לגבות 'תשלום סביר', כדי להילחם באופיין החוזר של בקשות מידע.

ISO 27701 סעיף 7.3.2 ו-EU GDPR סעיף 15

בסעיף זה אנו מדברים על GDPR סעיפים 15 (1)(א), 15 (1)(ב), 15 (1)(ג), 15 (1)(ד), 15 (1)(ה), 15 ( 1)(ו), 15 (1)(g), 15 (1)(ח) ו-15 (2)

ארגונים צריכים לתאר סט מפורט של דרישות שקובעות כיצד ומתי יש לספק מידע למנהלי PII.

דוגמאות כוללות:

  • המטרה הבסיסית של הנתונים שנאספים ומעובדים;

  • פרטי התקשרות;

  • כיצד והיכן התקבל ה-PII;

  • דרישות חוזיות ו/או סטטוטוריות;

  • כיצד ניתן להסיר הסכמה;

  • העברות PII;

  • כיצד לרשום תלונה;

  • כיצד הארגון מקבל החלטות על עיבוד PII;

  • תקופות שמירת מידע.

ISO 27701 סעיף 7.3.8 ו-EU GDPR סעיף 15 (3) ו-(4)

ארגונים צריכים לספק עותקים של נתוני PII בפורמט ידידותי למשתמש, נגיש בקלות.

ארגונים צריכים לוודא שכל מידע שנמסר מתייחס אך ורק למנהל PII שביקש זאת בשלב הראשון.

אם זיהוי הפרטים האישיים בוטל, אין לנסות להזדהות מחדש, אלא אם הארגון נדרש לכך על פי חוק.

ארגונים צריכים גם לחקור שיטות להעברת ה-PII ישירות לארגון אחר, אם תתבקש לעשות זאת.

ראה ISMS.online
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISO 27701 סעיף 7.3.9 ו-EU GDPR סעיף 15

בסעיף זה אנו מדברים על GDPR סעיפים 15 (1)(א), 15 (1)(ב), 15 (1)(ג), 15 (1)(ד), 15 (1)(ה), 15 ( 1)(ו), 15 (1)(g), 15 (1)(ח)

בקשות יכולות לכלול עותק של ה-PII, או רישום של תלונה, ויש למלא אותן תוך זמן תגובה סביר.

ארגונים עשויים גם לגבות דמי טיפול, אך לרוב זה מוגבל לבקשות מוגזמות או חוזרות, ותלוי בשטח השיפוט שבו פועל הארגון.

ISO 27701 סעיף 7.4.5 ו-EU GDPR סעיף 15 (2)

ארגונים צריכים או להרוס כל PII שאינו ממלא עוד מטרה, או לתקן אותו באופן שמונע כל צורה של זיהוי עיקרי.

ISO 27701 סעיף 7.5.1 ו-EU GDPR סעיף 15 (2)

עשוי להתעורר צורך להעביר PII בין שני תחומי שיפוט נפרדים. כאשר זה קורה, ארגונים צריכים להצדיק ולתעד את הצורך לעשות זאת.

ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט. ארגונים צריכים גם לתעד את השימוש ברשות פיקוח ייעודית, במידת הצורך.

ISO 27701 סעיף 8.3.1 ו-EU GDPR סעיף 15 (3)

ארגונים צריכים להבטיח אמצעים הולמים למילוי התחייבויותיהם, בשלושה תחומים מרכזיים:

  • חֲקִיקָה;

  • תַקָנָה;

  • חוזים.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
GDPR של האיחוד האירופי סעיף 15 (1)(א) עד 15 (2)ISO 27701 7.3.2ללא חתימה
סעיף 15 (3) ו-15 (4) של ה-EU GDPRISO 27701 7.3.8ללא חתימה
האיחוד האירופי GDPR סעיף 15 (1)(א) עד 15 (1)(h)ISO 27701 7.3.9ללא חתימה
סעיף 15 (2) של ה-EU GDPRISO 27701 7.4.5ללא חתימה
סעיף 15 (2) של ה-EU GDPRISO 27701 7.5.1ללא חתימה
סעיף 15 (3) של ה-EU GDPRISO 27701 8.3.1ללא חתימה

כיצד ISMS.online עוזר

ISMS.online מספקים סביבה שנבנתה מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.

GDPR נחשבת בדרך כלל לרגולציית הפרטיות והאבטחה הקשוחה ביותר בעולם, עם הפרות הגורמות לקנסות משמעותיים. זה יכול להיות מעורפל ופתוח לפרשנות, מה שמצביע על כך שארגונים חייבים לספק רמה 'סבירה' של הגנה על נתונים אישיים.

ISMS.online מקל עליך לקפוץ ישירות אל המסע שלך לתאימות GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד.

גלה כיצד ISMS.online יכול לעזור לך להוכיח תאימות ל-GDPR על ידי הזמנת הדגמה מעשית.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף