כיצד להוכיח ציות ל-GDPR סעיף 15

הבנת GDPR סעיף 15: זכויות הגישה שלך לנתונים אישיים

סעיף 15 עוסק בחובתו של ארגון לספק מידע עקבי, אמין ומדויק הנוגע לפעילותו כבקר נתונים.

המידע שהארגון מספק לנושאי מידע מאפשר לאנשים להגביר את המודעות שלהם לאופן השימוש בנתונים שלהם, לשלוט על אופן העיבוד והשיתוף של הנתונים שלהם, ולהבטיח שהנתונים שלהם מטופלים כחוק.

GDPR סעיף 15 טקסט משפטי

גרסת GDPR בבריטניה

זכות גישה של נושא הנתונים

לנושא המידע תהיה הזכות לקבל מהבקר אישור אם נתונים אישיים הנוגעים לו מעובדים או לא, ובמקרה כזה, גישה לנתונים האישיים ולמידע הבא:

מטרות העיבוד;
את הקטגוריות של נתונים אישיים מודאגים;
הנמענים או הקטגוריות של נמענים שאליהם נחשפו או ייחשפו הנתונים האישיים, במיוחד נמענים במדינות שלישיות או בארגונים בינלאומיים;
במידת האפשר, את התקופה המתוכננת שעליה יאוחסנו הנתונים האישיים, או, אם לא ניתן, את הקריטריונים המשמשים לקביעת התקופה;
קיומה של הזכות לבקש מהבקר תיקון או מחיקה של נתונים אישיים או הגבלת עיבוד נתונים אישיים הנוגעים לנושא המידע או להתנגד לעיבוד כזה;
הזכות להגיש תלונה לנציב;
שבו הנתונים האישיים אינם נאספים מתוך נושא הנתונים, כל מידע זמין לגבי המקור שלהם;
קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרים בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.

כאשר נתונים אישיים מועברים למדינה שלישית או לארגון בינלאומי, תהיה לנושא הנתונים הזכות לקבל מידע על אמצעי ההגנה המתאימים בהתאם לסעיף 46 המתייחס להעברה.
המבקר יספק עותק של הנתונים האישיים שעוברים עיבוד. עבור כל עותקים נוספים שיבקשו על ידי נושא הנתונים, הבקר רשאי לגבות עמלה סבירה המבוססת על עלויות אדמיניסטרטיביות. כאשר נושא המידע מגיש את הבקשה באמצעים אלקטרוניים, אלא אם כן נתבקש אחרת על ידי נושא המידע, המידע יסופק בצורה אלקטרונית בשימוש נפוץ.
הזכות לקבל עותק האמור בסעיף 3 לא תשפיע לרעה על זכויותיהם וחירויותיהם של אחרים.

גרסת GDPR של האיחוד האירופי

זכות גישה של נושא הנתונים

לנושא המידע תהיה הזכות לקבל מהבקר אישור אם נתונים אישיים הנוגעים לו מעובדים או לא, ובמקרה כזה, גישה לנתונים האישיים ולמידע הבא:

מטרות העיבוד;
את הקטגוריות של נתונים אישיים מודאגים;
הנמענים או הקטגוריות של נמענים שאליהם נחשפו או ייחשפו הנתונים האישיים, במיוחד נמענים במדינות שלישיות או בארגונים בינלאומיים;
במידת האפשר, את התקופה המתוכננת שעליה יאוחסנו הנתונים האישיים, או, אם לא ניתן, את הקריטריונים המשמשים לקביעת התקופה;
קיומה של הזכות לבקש מהבקר תיקון או מחיקה של נתונים אישיים או הגבלת עיבוד נתונים אישיים הנוגעים לנושא המידע או להתנגד לעיבוד כזה;
הזכות להגיש תלונה לרשות מפקחת;
שבו הנתונים האישיים אינם נאספים מתוך נושא הנתונים, כל מידע זמין לגבי המקור שלהם;
קיומה של קבלת החלטות אוטומטית, לרבות יצירת פרופילים, הנזכרים בסעיף 22(1) ו-(4) ולפחות באותם מקרים, מידע משמעותי על ההיגיון הכרוך בכך, כמו גם את המשמעות וההשלכות הצפויות של עיבוד כזה עבור נושא הנתונים.

כאשר נתונים אישיים מועברים למדינה שלישית או לארגון בינלאומי, תהיה לנושא הנתונים הזכות לקבל מידע על אמצעי ההגנה המתאימים בהתאם לסעיף 46 המתייחס להעברה.
המבקר יספק עותק של הנתונים האישיים שעוברים עיבוד. עבור כל עותקים נוספים שיבקשו על ידי נושא הנתונים, הבקר רשאי לגבות עמלה סבירה המבוססת על עלויות אדמיניסטרטיביות. כאשר נושא המידע מגיש את הבקשה באמצעים אלקטרוניים, אלא אם כן נתבקש אחרת על ידי נושא המידע, המידע יסופק בצורה אלקטרונית בשימוש נפוץ.
הזכות לקבל עותק האמור בסעיף 3 לא תשפיע לרעה על זכויותיהם וחירויותיהם של אחרים.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

פרשנות טכנית

סעיף 15 מכיל שלוש זכויות יסוד המוחזקות על ידי נושא המידע:

זכות הגישה (לרבות הזכות לקבל אישור על עיבוד ומידע נוסף על העיבוד);
הזכות לקבל מידע על אמצעי הגנה;
הזכות לקבל עותק של הנתונים האישיים;

סעיף 15 גם מתאר כמה מגבלות לזכות הגישה (ראה לעיל). כאשר גישה כזו פוגעת בזכויות ובחירויות של אחרים, ארגונים יכולים לסרב לבקשות להעתקי נתונים.

כמו כן, כאשר בקשות כאלה נחשבות מופרזות או מופרכות בעליל, ארגונים יכולים לגבות 'תשלום סביר', כדי להילחם באופיין החוזר של בקשות מידע.

ISO 27701 סעיף 7.3.2 ו-EU GDPR סעיף 15

בסעיף זה אנו מדברים על GDPR סעיפים 15 (1)(א), 15 (1)(ב), 15 (1)(ג), 15 (1)(ד), 15 (1)(ה), 15 ( 1)(ו), 15 (1)(g), 15 (1)(ח) ו-15 (2)

ארגונים צריכים לתאר סט מפורט של דרישות שקובעות כיצד ומתי יש לספק מידע למנהלי PII.

דוגמאות כוללות:

המטרה הבסיסית של הנתונים שנאספים ומעובדים;
פרטי התקשרות;
כיצד והיכן התקבל ה-PII;
דרישות חוזיות ו/או סטטוטוריות;
כיצד ניתן להסיר הסכמה;
העברות PII;
כיצד לרשום תלונה;
כיצד הארגון מקבל החלטות על עיבוד PII;
תקופות שמירת מידע.

ISO 27701 סעיף 7.3.8 ו-EU GDPR סעיף 15 (3) ו-(4)

ארגונים צריכים לספק עותקים של נתוני PII בפורמט ידידותי למשתמש, נגיש בקלות.

ארגונים צריכים לוודא שכל מידע שנמסר מתייחס אך ורק למנהל PII שביקש זאת בשלב הראשון.

אם זיהוי הפרטים האישיים בוטל, אין לנסות להזדהות מחדש, אלא אם הארגון נדרש לכך על פי חוק.

ארגונים צריכים גם לחקור שיטות להעברת ה-PII ישירות לארגון אחר, אם תתבקש לעשות זאת.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

ISO 27701 סעיף 7.3.9 ו-EU GDPR סעיף 15

בסעיף זה אנו מדברים על GDPR סעיפים 15 (1)(א), 15 (1)(ב), 15 (1)(ג), 15 (1)(ד), 15 (1)(ה), 15 ( 1)(ו), 15 (1)(g), 15 (1)(ח)

בקשות יכולות לכלול עותק של ה-PII, או רישום של תלונה, ויש למלא אותן תוך זמן תגובה סביר.

ארגונים עשויים גם לגבות דמי טיפול, אך לרוב זה מוגבל לבקשות מוגזמות או חוזרות, ותלוי בשטח השיפוט שבו פועל הארגון.

ISO 27701 סעיף 7.4.5 ו-EU GDPR סעיף 15 (2)

ארגונים צריכים או להרוס כל PII שאינו ממלא עוד מטרה, או לתקן אותו באופן שמונע כל צורה של זיהוי עיקרי.

ISO 27701 סעיף 7.5.1 ו-EU GDPR סעיף 15 (2)

עשוי להתעורר צורך להעביר PII בין שני תחומי שיפוט נפרדים. כאשר זה קורה, ארגונים צריכים להצדיק ולתעד את הצורך לעשות זאת.

ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט. ארגונים צריכים גם לתעד את השימוש ברשות פיקוח ייעודית, במידת הצורך.

ISO 27701 סעיף 8.3.1 ו-EU GDPR סעיף 15 (3)

ארגונים צריכים להבטיח אמצעים הולמים למילוי התחייבויותיהם, בשלושה תחומים מרכזיים:

חֲקִיקָה;
תַקָנָה;
חוזים.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPR	סעיף ISO 27701	ISO 27701 סעיפים תומכים
GDPR של האיחוד האירופי סעיף 15 (1)(א) עד 15 (2)	ISO 27701 7.3.2	ללא חתימה
סעיף 15 (3) ו-15 (4) של ה-EU GDPR	ISO 27701 7.3.8	ללא חתימה
האיחוד האירופי GDPR סעיף 15 (1)(א) עד 15 (1)(h)	ISO 27701 7.3.9	ללא חתימה
סעיף 15 (2) של ה-EU GDPR	ISO 27701 7.4.5	ללא חתימה
סעיף 15 (2) של ה-EU GDPR	ISO 27701 7.5.1	ללא חתימה
סעיף 15 (3) של ה-EU GDPR	ISO 27701 8.3.1	ללא חתימה

כיצד ISMS.online עוזר

ISMS.online מספקים סביבה שנבנתה מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.

GDPR נחשבת בדרך כלל לרגולציית הפרטיות והאבטחה הקשוחה ביותר בעולם, עם הפרות הגורמות לקנסות משמעותיים. זה יכול להיות מעורפל ופתוח לפרשנות, מה שמצביע על כך שארגונים חייבים לספק רמה 'סבירה' של הגנה על נתונים אישיים.

ISMS.online מקל עליך לקפוץ ישירות אל המסע שלך לתאימות GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד.

גלה כיצד ISMS.online יכול לעזור לך להוכיח תאימות ל-GDPR על ידי הזמנת הדגמה מעשית.

ג'ון וויטינג

ג'ון הוא ראש שיווק מוצרים ב-ISMS.online. עם למעלה מעשור של ניסיון בעבודה בסטארטאפים ובטכנולוגיה, ג'ון מוקדש לעיצוב נרטיבים מרתקים סביב ההצעות שלנו ב-ISMS.online, מה שמבטיח שנהיה מעודכנים בנוף אבטחת המידע המתפתח ללא הרף.

מאמרים בנושא GDPR

GDPR לעומק

אנחנו מובילים בתחומנו