כיצד להוכיח ציות ל-GDPR סעיף 17

סעיף 17 של ה-GDPR (זכות למחיקה) מסביר את זכויותיהם של אנשים לבקש מחיקת הנתונים האישיים שלהם ומתאר מתי ארגונים חייבים לציית, יחד עם חריגים שבהם שמירת נתונים נדרשת על פי חוק.

הזמן הדגמה
מְחַבֵּר
מקס אדוארדס
עודכן ב-6 במרץ 2025
לינקדין טויטר טויטר

הבנת GDPR סעיף 17: הזכות למחוק מוסברת

סעיף 17 עוסק באחד ההיבטים החשובים ביותר של האיחוד האירופי ובריטניה GDPR חוק – נושא הנתונים 'זכות להישכח', כתוב גם כ'זכות למחיקה.

סעיף 17 מפרט מספר סיבות מדוע נושא מידע עשוי לרצות להישכח, יחד עם חובתו של ארגון ליידע בקרים אחרים שאולי מעבדים גם נתונים של נושא מידע בהתאם לפעולתם שלהם.

GDPR סעיף 17 טקסט משפטי

גרסת GDPR של האיחוד האירופי

סעיף 17 – הזכות למחיקה ('הזכות להישכח')

  1. לנושא המידע תהיה הזכות לקבל מהבקר את מחיקת הנתונים האישיים הנוגעים אליו ללא דיחוי ולבקר תהיה החובה למחוק נתונים אישיים ללא דיחוי אם חלה אחת מהעילות הבאות:

    • הנתונים האישיים אינם נחוצים עוד ביחס למטרות שלשמן נאספו או עובדו בדרך אחרת;
    • נושא הנתונים חוזר בו מהסכמה שעליה מבוסס העיבוד לפי נקודה (א) של סעיף 6(1), או נקודה (א) לסעיף 9(2), וכאשר אין עילה משפטית אחרת לעיבוד;
    • נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(1) ואין עילות לגיטימיות מכריעות לעיבוד, או נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(2);
    • הנתונים האישיים עובדו שלא כדין;
    • יש למחוק את הנתונים האישיים לצורך עמידה בהתחייבות משפטית בחוק האיחוד או בחוק המדינות החברות בהן כפוף הבקר;
    • הנתונים האישיים נאספו ביחס להצעת שירותי חברת המידע הנזכרים בסעיף 8(1).
  2. כאשר הבקר פרסם את הנתונים האישיים לציבור והוא מחויב בהתאם לסעיף 1 למחוק את הנתונים האישיים, הבקר, תוך התחשבות בטכנולוגיה הזמינה ובעלות היישום, ינקוט בצעדים סבירים, לרבות אמצעים טכניים, כדי ליידע את הבקרים שהם עיבוד הנתונים האישיים שנושאי המידע ביקש למחוק אותם על ידי בקרים כאלה של קישורים כלשהם, או העתקה או שכפול של נתונים אישיים אלה.
  3. סעיפים 1 ו-2 לא יחולו במידה שיש צורך בעיבוד:

    • למימוש זכות חופש הביטוי והמידע;
    • לעמידה בחובה משפטית המחייבת עיבוד לפי חוק האיחוד או המדינות החברות שאליו כפוף הבקר או לביצוע משימה שבוצעה למען האינטרס הציבורי או בהפעלת סמכות רשמית הנתונה לבקר;
    • מטעמי עניין ציבורי בתחום בריאות הציבור בהתאם לנקודות (ח) ו-(i) לסעיף 9(2) וכן לסעיף 9(3);
    • למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעי או היסטורי או למטרות סטטיסטיות בהתאם לסעיף 89(1) ככל שהזכות האמורה בסעיף 1 עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת המטרות של אותו מעבד; אוֹ
    • לביסוס, מימוש או הגנה של תביעות משפטיות.

גרסת GDPR בבריטניה

סעיף 17 – הזכות למחיקה ('הזכות להישכח')

  1. לנושא המידע תהיה הזכות לקבל מהבקר את מחיקת הנתונים האישיים הנוגעים אליו ללא דיחוי ולבקר תהיה החובה למחוק נתונים אישיים ללא דיחוי אם חלה אחת מהעילות הבאות:

    • הנתונים האישיים אינם נחוצים עוד ביחס למטרות שלשמן נאספו או עובדו בדרך אחרת;
    • נושא הנתונים חוזר בו מהסכמה שעליה מבוסס העיבוד לפי נקודה (א) של סעיף 6(1), או נקודה (א) לסעיף 9(2), וכאשר אין עילה משפטית אחרת לעיבוד;
    • נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(1) ואין עילות לגיטימיות מכריעות לעיבוד, או נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(2);
    • הנתונים האישיים עובדו שלא כדין;
    • יש למחוק את הנתונים האישיים לצורך עמידה בהתחייבות משפטית על פי הדין הפנימי, שהבקר כפוף לה;
    • הנתונים האישיים נאספו ביחס להצעת שירותי חברת המידע הנזכרים בסעיף 8(1).
  2. כאשר הבקר פרסם את הנתונים האישיים לציבור והוא מחויב בהתאם לסעיף 1 למחוק את הנתונים האישיים, הבקר, תוך התחשבות בטכנולוגיה הזמינה ובעלות היישום, ינקוט בצעדים סבירים, לרבות אמצעים טכניים, כדי ליידע את הבקרים שהם עיבוד הנתונים האישיים שנושאי המידע ביקש למחוק אותם על ידי בקרים כאלה של קישורים כלשהם, או העתקה או שכפול של נתונים אישיים אלה.
  3. סעיפים 1 ו-2 לא יחולו במידה שיש צורך בעיבוד:

    • למימוש זכות חופש הביטוי והמידע;
    • לעמידה בחובה משפטית המחייבת עיבוד לפי הדין הפנימי או לביצוע משימה שבוצעה למען האינטרס הציבורי או תוך הפעלת סמכות רשמית הנתונה לבקר;
    • מטעמי עניין ציבורי בתחום בריאות הציבור בהתאם לנקודות (ח) ו-(i) לסעיף 9(2) וכן לסעיף 9(3);
    • למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעי או היסטורי או למטרות סטטיסטיות בהתאם לסעיף 89(1) ככל שהזכות האמורה בסעיף 1 עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת המטרות של אותו מעבד; אוֹ
    • לביסוס, מימוש או הגנה של תביעות משפטיות.


נהל את כל התאימות שלך במקום אחד

ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.

הזמן הדגמה


פרשנות טכנית

נושאי מידע אינם יכולים לממש זכות גורפת למחיקת הנתונים שלהם. בקשות חייבות להיות בהתאם לאחד מהקריטריונים המשפטיים שלהלן:

  • הנתונים אינם נחוצים עוד למטרות הראשוניות;
  • ביטול הסכמה (כאשר כל הבסיס לעיבוד מבוסס על הסכמה);
  • התנגדות לעיבוד, או היעדר כל עילה לגיטימית לאיסוף ו/או לעיבוד;
  • עיבוד לא חוקי/לא חוקי;
  • עמידה בחובה חוקית אחרת;
  • מטרות הקשורות להגנת ילדים.

אם ארגון פרסם נתונים אישיים לציבור, מכל סיבה שהיא, עליהם לנקוט "צעדים סבירים" כדי ליידע כל בקרה אחרים - כולל עובדים - וצדדים שלישיים על הצורך למחוק נתונים, כפי שמתבקש על ידי נושא הנתונים.

ISO 27701 סעיף 7.2.2 ו-EU GDPR סעיף 17

בסעיף זה אנו מדברים על GDPR סעיפים 17 (3)(א), 17 (3)(ב), 17 (3)(ג), 17 (3)(ד) ו-17 (3)(ה)

זיהוי בסיס חוקי

כדי ליצור א מְתוֹעָד הבסיס המשפטי לעיבוד PII בשלב ראשון, ארגונים צריכים:

  1. לבקש הסכמה;
  2. ליזום חוזה;
  3. לעמוד בכל התחייבות משפטית אחרת;
  4. להגן על 'האינטרסים החיוניים' של עיקרי ה-PII הנדונים;
  5. לבצע רק משימות שהן לטובת הציבור;
  6. להבטיח שפעילויות העיבוד מהוות אינטרס לגיטימי.

ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII המתייחסות לתכנית סיווג נתונים (ראה ISO 27701 סעיף 7.2.8).

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.2.8


ציות לא חייב להיות מסובך.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה


ISO 27701 סעיף 7.3.5 ו-EU GDPR סעיף 17

בסעיף זה אנו מדברים על GDPR סעיפים 17 (1)(א), 17 (1)(ב), 17 (1)(ג), 17 (1)(ד), 17 (1)(ה), 17 ( 1)(ו), 17 (2)

מתן מנגנונים לעיבוד אובייקט לזיהוי אישי

החוקים משתנים מאזור לאזור, אך סמכויות שיפוט לרוב מספקות לאנשים פרטיים את הזכות להעלות התנגדות הנוגעת לאופן איסוף, עיבוד ושיתוף של הנתונים שלהם.

בהתאם לכך, ארגונים צריכים:

  1. לרשום כל דרישות משפטיות או רגולטוריות העוסקות בהתנגדויות ספציפיות;
  2. לספק לאנשים הנחיות ברורות, תמציתיות וקל להבין כיצד להתנגד לאיסוף, עיבוד או שיתוף של הנתונים שלהם.

ISO 27701 סעיף 8.3.1 ו-EU GDPR סעיף 17 (2)

חובות למנהלי PII

ארגונים צריכים להבטיח שללקוחות ניתנים האמצעים המתאימים למלא את התחייבויותיהם (כלומר הארגון) כבקר PII, על פני שלושה תחומים תפעוליים מרכזיים:

  1. חקיקתי;
  2. רגולטורים;
  3. חוזי.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
האיחוד האירופי GDPR סעיפים 17 (3)(א) עד 17 (3)(ה) ISO 27701 7.2.2 ISO 27701 7.2.8
סעיפים GDPR של האיחוד האירופי 17 (1)(א) עד 17 (2) ISO 27701 7.3.5ללא חתימה
סעיף 17 (2) של ה-EU GDPR ISO 27701 8.3.1ללא חתימה

כיצד ISMS.online עוזר

GDPR נחשבת בדרך כלל כתקנת הפרטיות והאבטחה הקשה ביותר בעולם, עם הפרות שגורמות לקנסות משמעותיים. זה יכול להיות מעורפל ופתוח לפרשנות, מה שמצביע על כך שארגונים חייבים לספק רמה 'הגיונית' של הגנה על נתונים אישיים.

אבל הנה החדשות הטובות. ISMS.online מקל עליך לקפוץ ישירות אל המסע שלך לתאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.

לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי. תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.

למידע נוסף על ידי הזמנת הדגמה קצרה היום.

קפוץ לנושא

מקס אדוארדס

מקס עובד כחלק מצוות השיווק של ISMS.online ומבטיח שהאתר שלנו מתעדכן בתוכן שימושי ומידע על כל מה שקשור ל-ISO 27001, 27002 ותאימות.

סיור בפלטפורמת ISMS

מעוניין בסיור פלטפורמת ISMS.online?

התחל את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות עכשיו ותחווה את הקסם של ISMS.online בפעולה!

נסה זאת בחינם

אנחנו מובילים בתחומנו

משתמשים אוהבים אותנו
מנהיג רשת - אביב 2025
מנהיג מומנטום - אביב 2025
מנהיג אזורי - אביב 2025 בריטניה
מנהיג אזורי - האיחוד האירופי אביב 2025
Best Est. החזר ROI Enterprise - אביב 2025
סביר להניח להמליץ ​​על Enterprise - אביב 2025

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

-ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

-קרן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

-בן ה.

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!