כיצד להוכיח ציות ל-GDPR סעיף 17

תוכנת תאימות ל-GDPR

הזמן הדגמה

תמונה, איש עסקים, עובד, על, מודרני, לופט, office., איש, יושב, עץ

סעיף 17 עוסק באחד ההיבטים החשובים ביותר של האיחוד האירופי ובריטניה GDPR חוק – נושא הנתונים 'זכות להישכח', כתוב גם כ'זכות למחיקה.

סעיף 17 מפרט מספר סיבות מדוע נושא מידע עשוי לרצות להישכח, יחד עם חובתו של ארגון ליידע בקרים אחרים שאולי מעבדים גם נתונים של נושא מידע בהתאם לפעולתם שלהם.

GDPR סעיף 17 טקסט משפטי

גרסת GDPR של האיחוד האירופי

סעיף 17 – הזכות למחיקה ('הזכות להישכח')

  1. לנושא המידע תהיה הזכות לקבל מהבקר את מחיקת הנתונים האישיים הנוגעים אליו ללא דיחוי ולבקר תהיה החובה למחוק נתונים אישיים ללא דיחוי אם חלה אחת מהעילות הבאות:

    • הנתונים האישיים אינם נחוצים עוד ביחס למטרות שלשמן נאספו או עובדו בדרך אחרת;

    • נושא הנתונים חוזר בו מהסכמה שעליה מבוסס העיבוד לפי נקודה (א) של סעיף 6(1), או נקודה (א) לסעיף 9(2), וכאשר אין עילה משפטית אחרת לעיבוד;

    • נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(1) ואין עילות לגיטימיות מכריעות לעיבוד, או נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(2);

    • הנתונים האישיים עובדו שלא כדין;

    • יש למחוק את הנתונים האישיים לצורך עמידה בהתחייבות משפטית בחוק האיחוד או בחוק המדינות החברות בהן כפוף הבקר;

    • הנתונים האישיים נאספו ביחס להצעת שירותי חברת המידע הנזכרים בסעיף 8(1).

  2. כאשר הבקר פרסם את הנתונים האישיים לציבור והוא מחויב בהתאם לסעיף 1 למחוק את הנתונים האישיים, הבקר, תוך התחשבות בטכנולוגיה הזמינה ובעלות היישום, ינקוט בצעדים סבירים, לרבות אמצעים טכניים, כדי ליידע את הבקרים שהם עיבוד הנתונים האישיים שנושאי המידע ביקש למחוק אותם על ידי בקרים כאלה של קישורים כלשהם, או העתקה או שכפול של נתונים אישיים אלה.

  3. סעיפים 1 ו-2 לא יחולו במידה שיש צורך בעיבוד:

    • למימוש זכות חופש הביטוי והמידע;

    • לעמידה בחובה משפטית המחייבת עיבוד לפי חוק האיחוד או המדינות החברות שאליו כפוף הבקר או לביצוע משימה שבוצעה למען האינטרס הציבורי או בהפעלת סמכות רשמית הנתונה לבקר;

    • מטעמי עניין ציבורי בתחום בריאות הציבור בהתאם לנקודות (ח) ו-(i) לסעיף 9(2) וכן לסעיף 9(3);

    • למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעי או היסטורי או למטרות סטטיסטיות בהתאם לסעיף 89(1) ככל שהזכות האמורה בסעיף 1 עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת המטרות של אותו מעבד; אוֹ

    • לביסוס, מימוש או הגנה של תביעות משפטיות.

גרסת GDPR בבריטניה

סעיף 17 – הזכות למחיקה ('הזכות להישכח')

  1. לנושא המידע תהיה הזכות לקבל מהבקר את מחיקת הנתונים האישיים הנוגעים אליו ללא דיחוי ולבקר תהיה החובה למחוק נתונים אישיים ללא דיחוי אם חלה אחת מהעילות הבאות:

    • הנתונים האישיים אינם נחוצים עוד ביחס למטרות שלשמן נאספו או עובדו בדרך אחרת;

    • נושא הנתונים חוזר בו מהסכמה שעליה מבוסס העיבוד לפי נקודה (א) של סעיף 6(1), או נקודה (א) לסעיף 9(2), וכאשר אין עילה משפטית אחרת לעיבוד;

    • נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(1) ואין עילות לגיטימיות מכריעות לעיבוד, או נושא הנתונים מתנגד לעיבוד בהתאם לסעיף 21(2);

    • הנתונים האישיים עובדו שלא כדין;

    • יש למחוק את הנתונים האישיים לצורך עמידה בהתחייבות משפטית על פי הדין הפנימי, שהבקר כפוף לה;

    • הנתונים האישיים נאספו ביחס להצעת שירותי חברת המידע הנזכרים בסעיף 8(1).

  2. כאשר הבקר פרסם את הנתונים האישיים לציבור והוא מחויב בהתאם לסעיף 1 למחוק את הנתונים האישיים, הבקר, תוך התחשבות בטכנולוגיה הזמינה ובעלות היישום, ינקוט בצעדים סבירים, לרבות אמצעים טכניים, כדי ליידע את הבקרים שהם עיבוד הנתונים האישיים שנושאי המידע ביקש למחוק אותם על ידי בקרים כאלה של קישורים כלשהם, או העתקה או שכפול של נתונים אישיים אלה.

  3. סעיפים 1 ו-2 לא יחולו במידה שיש צורך בעיבוד:

    • למימוש זכות חופש הביטוי והמידע;

    • לעמידה בחובה משפטית המחייבת עיבוד לפי הדין הפנימי או לביצוע משימה שבוצעה למען האינטרס הציבורי או תוך הפעלת סמכות רשמית הנתונה לבקר;

    • מטעמי עניין ציבורי בתחום בריאות הציבור בהתאם לנקודות (ח) ו-(i) לסעיף 9(2) וכן לסעיף 9(3);

    • למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעי או היסטורי או למטרות סטטיסטיות בהתאם לסעיף 89(1) ככל שהזכות האמורה בסעיף 1 עלולה להפוך לבלתי אפשרית או לפגוע קשות בהשגת המטרות של אותו מעבד; אוֹ

    • לביסוס, מימוש או הגנה של תביעות משפטיות.
קפוץ לנושא

פרשנות טכנית

נושאי מידע אינם יכולים לממש זכות גורפת למחיקת הנתונים שלהם. בקשות חייבות להיות בהתאם לאחד מהקריטריונים המשפטיים שלהלן:

  • הנתונים אינם נחוצים עוד למטרות הראשוניות;

  • ביטול הסכמה (כאשר כל הבסיס לעיבוד מבוסס על הסכמה);

  • התנגדות לעיבוד, או היעדר כל עילה לגיטימית לאיסוף ו/או לעיבוד;

  • עיבוד לא חוקי/לא חוקי;

  • עמידה בחובה חוקית אחרת;

  • מטרות הקשורות להגנת ילדים.

אם ארגון פרסם נתונים אישיים לציבור, מכל סיבה שהיא, עליהם לנקוט "צעדים סבירים" כדי ליידע כל בקרה אחרים - כולל עובדים - וצדדים שלישיים על הצורך למחוק נתונים, כפי שמתבקש על ידי נושא הנתונים.

ISO 27701 סעיף 7.2.2 ו-EU GDPR סעיף 17

בסעיף זה אנו מדברים על GDPR סעיפים 17 (3)(א), 17 (3)(ב), 17 (3)(ג), 17 (3)(ד) ו-17 (3)(ה)

זיהוי בסיס חוקי

כדי ליצור א מְתוֹעָד הבסיס המשפטי לעיבוד PII בשלב ראשון, ארגונים צריכים:

  1. לבקש הסכמה;

  2. ליזום חוזה;

  3. לעמוד בכל התחייבות משפטית אחרת;

  4. להגן על 'האינטרסים החיוניים' של עיקרי ה-PII הנדונים;

  5. לבצע רק משימות שהן לטובת הציבור;

  6. להבטיח שפעילויות העיבוד מהוות אינטרס לגיטימי.

ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII המתייחסות לתכנית סיווג נתונים (ראה ISO 27701 סעיף 7.2.8).

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.2.8

ראה את הפלטפורמה שלנו
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

ISO 27701 סעיף 7.3.5 ו-EU GDPR סעיף 17

בסעיף זה אנו מדברים על GDPR סעיפים 17 (1)(א), 17 (1)(ב), 17 (1)(ג), 17 (1)(ד), 17 (1)(ה), 17 ( 1)(ו), 17 (2)

מתן מנגנונים לעיבוד אובייקט לזיהוי אישי

החוקים משתנים מאזור לאזור, אך סמכויות שיפוט לרוב מספקות לאנשים פרטיים את הזכות להעלות התנגדות הנוגעת לאופן איסוף, עיבוד ושיתוף של הנתונים שלהם.

בהתאם לכך, ארגונים צריכים:

  1. לרשום כל דרישות משפטיות או רגולטוריות העוסקות בהתנגדויות ספציפיות;

  2. לספק לאנשים הנחיות ברורות, תמציתיות וקל להבין כיצד להתנגד לאיסוף, עיבוד או שיתוף של הנתונים שלהם.

ISO 27701 סעיף 8.3.1 ו-EU GDPR סעיף 17 (2)

חובות למנהלי PII

ארגונים צריכים להבטיח שללקוחות ניתנים האמצעים המתאימים למלא את התחייבויותיהם (כלומר הארגון) כבקר PII, על פני שלושה תחומים תפעוליים מרכזיים:

  1. חקיקתי;

  2. רגולטורים;

  3. חוזי.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
האיחוד האירופי GDPR סעיפים 17 (3)(א) עד 17 (3)(ה)ISO 27701 7.2.2ISO 27701 7.2.8
סעיפים GDPR של האיחוד האירופי 17 (1)(א) עד 17 (2)ISO 27701 7.3.5ללא חתימה
סעיף 17 (2) של ה-EU GDPRISO 27701 8.3.1ללא חתימה

כיצד ISMS.online עוזר

GDPR נחשבת בדרך כלל כתקנת הפרטיות והאבטחה הקשה ביותר בעולם, עם הפרות שגורמות לקנסות משמעותיים. זה יכול להיות מעורפל ופתוח לפרשנות, מה שמצביע על כך שארגונים חייבים לספק רמה 'הגיונית' של הגנה על נתונים אישיים.

אבל הנה החדשות הטובות. ISMS.online מקל עליך לקפוץ ישירות אל המסע שלך לתאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.

לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי. תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.

למידע נוסף על ידי הזמנת הדגמה קצרה היום.

ראה כיצד נוכל לעזור לך

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

מתלבטים אם לבנות או לקנות?

גלה את הדרך הטובה ביותר להשיג הצלחה ב-ISMS

קבלו את המדריך בחינם

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף