הבנת GDPR סעיף 18: הזכות להגביל עיבוד
GDPR סעיף 18 עוסק ביכולתו של נושא מידע לבקש חסימת נתונים כאשר פעולות עיבוד נחשבו בלתי חוקיות.
על פי חוק ה-GDPR, נושאי מידע יכולים להגביל את כמות העיבוד שמתבצעת בנתונים שלהם.
אם אדם פרטי מבקש מבקר נתונים להגביל את פעילות העיבוד שלו, ארגונים רשאים רק לאחר מכן לאחסן את הנתונים האמורים, ואינם יכולים לחלוק אותם עם צדדים שלישיים או לעבד אותם בכל דרך אחרת ללא הסכמתו המפורשת של נושא הנתונים.
GDPR סעיף 18 טקסט משפטי
גרסת GDPR של האיחוד האירופי
זכות להגבלת העיבוד
- לנושא הנתונים תהיה הזכות לקבל מהבקר הגבלת עיבוד כאשר חל אחד מאלה:
- נכונות הנתונים האישיים נתונה במחלוקת על ידי נושא הנתונים, למשך תקופה המאפשרת לבקר לאמת את נכונות הנתונים האישיים;
- העיבוד אינו חוקי ונושאי המידע מתנגד למחיקת הנתונים האישיים ומבקש במקום זאת להגביל את השימוש בהם;
- הבקר אינו זקוק עוד לנתונים האישיים למטרות העיבוד, אך הם נדרשים על ידי נושא הנתונים לצורך ביסוס, מימוש או הגנה של תביעות משפטיות;
- נושא הנתונים התנגד לעיבוד בהתאם לסעיף 21(1) עד לאימות האם העילות הלגיטימיות של המבקר גוברות על אלה של נושא הנתונים.
- כאשר העיבוד הוגבל לפי סעיף 1, נתונים אישיים כאמור, למעט אחסון, יעובדו רק בהסכמת נשוא המידע או לשם ביסוס, מימוש או הגנה של תביעות משפטיות או לשם הגנה על זכויותיו של אדם אחר. אדם משפטי או מסיבות של אינטרס ציבורי חשוב.
- נושא המידע שהשיג הגבלת עיבוד בהתאם לסעיף 1 יודיע על כך על ידי המבקר לפני הסרת הגבלת העיבוד.
גרסת GDPR בבריטניה
זכות להגבלת העיבוד
- לנושא הנתונים תהיה הזכות לקבל מהבקר הגבלת עיבוד כאשר חל אחד מאלה:
- נכונות הנתונים האישיים נתונה במחלוקת על ידי נושא הנתונים, למשך תקופה המאפשרת לבקר לאמת את נכונות הנתונים האישיים;
- העיבוד אינו חוקי ונושאי המידע מתנגד למחיקת הנתונים האישיים ומבקש במקום זאת להגביל את השימוש בהם;
- הבקר אינו זקוק עוד לנתונים האישיים למטרות העיבוד, אך הם נדרשים על ידי נושא הנתונים לצורך ביסוס, מימוש או הגנה של תביעות משפטיות;
- נושא הנתונים התנגד לעיבוד בהתאם לסעיף 21(1) עד לאימות האם העילות הלגיטימיות של המבקר גוברות על אלה של נושא הנתונים.
- כאשר העיבוד הוגבל לפי סעיף 1, נתונים אישיים כאמור, למעט אחסון, יעובדו רק בהסכמת נשוא המידע או לשם ביסוס, מימוש או הגנה של תביעות משפטיות או לשם הגנה על זכויותיו של אדם אחר. אדם משפטי או מסיבות של אינטרס ציבורי חשוב של האיחוד או של מדינה חברה.
- נושא המידע שהשיג הגבלת עיבוד בהתאם לסעיף 1 יודיע על כך על ידי המבקר לפני הסרת הגבלת העיבוד.
פרשנות טכנית
לנושאי המידע יש ארבע עילות משפטיות שבאמצעותן להגיש בקשה המגבילה את עיבוד הנתונים שלהם:
- דיוק הנתונים;
- פעילויות עיבוד בלתי חוקיות/בלתי חוקיות;
- לתמיכה בטענות משפטיות;
- התנגדויות רשמיות (בהתאם לסעיף 21 GDPR).
ארגונים יכולים לחזור על שורה של תנאים המאפשרים להם להמשיך ולעבד את הנתונים באותו אופן, למרות שהתקבלה בקשה להגביל פעולות כאלה:
- נושא הנתונים נתן הסכמה לפעילויות עיבוד אחרות;
- לתמיכה בתביעה משפטית או בית משפט;
- ההגנה על זכויות וחירויות הפרט של אדם אחר;
- שבו יש אינטרס ציבורי חשוב.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 7.2.2 ו-EU GDPR סעיף 18 (2)
זיהוי בסיס חוקי
כדי ליצור בסיס משפטי לעיבוד PII, ארגונים צריכים לאשר ולתעד:
- הסכמה של מנהלי PII;
- חוזה;
- כל התחייבות משפטית אחרת;
- כי האינטרסים של עיקרי ה-PII השונים מוגנים;
- העובדה שהמשימות מבוצעות לטובת הציבור;
- שעיבוד PII הוא אינטרס לגיטימי.
ISO 27701 סעיף 7.3.2 ו-EU GDPR סעיף 18 (3)
קביעת מידע עבור מנהלי PII
ארגונים צריכים לתעד את המידע שמקבלים מנהלי PII, הקשור לעיבוד PII.
ארגונים צריכים לעמוד בסט של דרישות שמכתיבות מתי יש לספק מידע למנהלי PII
- מטרת הנתונים הנאספים;
- פרטי התקשרות;
- כיצד התקבלו הנתונים;
- כל דרישות משפטיות, חוזיות ו/או סטטוטוריות הרווחות;
- כיצד אנשים יכולים להסיר הסכמה;
- העברת נתונים לארגוני צד שלישי, לרבות העברות בינלאומיות;
- כיצד אנשים יכולים לרשום תלונה;
- כיצד הארגון מקבל החלטות פנימיות הנוגעות לעיבוד PII;
- תקופות שמירת הנתונים.
ISO 27701 סעיף 7.3.4 ו-EU GDPR סעיף 18
בסעיף זה אנו מדברים על GDPR סעיפים 18 (1)(א), 18 (1)(ב), 18 (1)(ג) ו-18 (1)(ד)
מתן מנגנון לשינוי או ביטול הסכמה
ארגונים צריכים לספק מנגנון עבור נושאי מידע שרוצים לחזור בהם מהסכמה (בהתאם לשיטות ששימשו לראשונה לאיסוף הנתונים). נושאי מידע צריכים גם להיות מסוגלים להגביל את הארגון מביצוע פעולה מסוימת.
כאשר מסייעים לשתי הפונקציות לעיל, ארגונים צריכים לדבוק בזמני תגובה ופתרון סבירים המשקפים בצורה נאותה את רמת העבודה הנדרשת.
אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| סעיף 18 (2) של ה-EU GDPR | ISO 27701 7.2.2 | ללא חתימה |
| סעיף 18 (3) של ה-EU GDPR | ISO 27701 7.3.2 | ללא חתימה |
| האיחוד האירופי GDPR סעיפים 18 (1)(א), 18 (1)(ב), 18 (1)(ג) ו-18 (1)(ד) | ISO 27701 7.3.4 | ללא חתימה |
כיצד ISMS.online עוזר
ISMS.online מקל עליך לקפוץ ישירות אל המסע שלך לתאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.
לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי. תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.
למידע נוסף על ידי הזמנת הדגמה קצרה היום.
