הבנת GDPR סעיף 22: הזכויות שלך נגד קבלת החלטות אוטומטיות
GDPR סעיף 22 עוסק במושג שנקרא 'פרופיל נתונים' - בעצם שיטה המשמשת לפרופיל אישיותו של אדם אך ורק באמצעות ניתוח נתונים אוטומטי, שיש לו סיכוי להשפיע עליהם משפטית או כלכלית (למשל ניקוד אשראי ובקשות משכנתא).
לפי סעיף 22, ליחידים יש את הזכות לא לקבל פרופיל באופן כזה, אלא אם כן הוסכם במפורש בדרך של חוזה בין הנבדק לבין הארגון שמבצע את הפרופיל.
GDPR סעיף 22 טקסט משפטי
גרסת GDPR של האיחוד האירופי
קבלת החלטות אינדיבידואלית אוטומטית, כולל יצירת פרופילים
- לנושא המידע תהיה הזכות שלא להיות כפוף להחלטה המבוססת על עיבוד אוטומטי בלבד, לרבות פרופיל, אשר יוצר השפעות משפטיות הנוגעות אליו או באופן דומה משפיע עליו באופן משמעותי.
- סעיף 1 לא יחול אם ההחלטה:
- הכרחי לצורך התקשרות או ביצועו של חוזה בין נושא הנתונים לבין מבקר הנתונים;
- הוא מורשה על פי חוק האיחוד או המדינות החברות שהבקר כפוף לו ואשר קובע גם אמצעים מתאימים לשמירה על הזכויות והחירויות של נושא הנתונים והאינטרסים הלגיטימיים; אוֹ
- מבוסס על הסכמה מפורשת של נושא הנתונים.
- במקרים הנזכרים בסעיפים (א) ו-(ג) של סעיף 2, אחראי הנתונים יישם אמצעים מתאימים לשמירה על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לפחות הזכות לקבל התערבות אנושית מצד הנתון. המבקר, להביע את נקודת המבט שלו ולערעור על ההחלטה.
- החלטות האמורות בסעיף 2 לא יתבססו על קטגוריות מיוחדות של נתונים אישיים הנזכרים בסעיף 9(1), אלא אם חלה סעיף (א) או (ז) של סעיף 9(2) ואמצעים מתאימים לשמירה על זכויותיו של נושא המידע. וחירויות ואינטרסים לגיטימיים קיימים.
גרסת GDPR בבריטניה
קבלת החלטות אינדיבידואלית אוטומטית, כולל יצירת פרופילים
- לנושא המידע תהיה הזכות שלא להיות כפוף להחלטה המבוססת על עיבוד אוטומטי בלבד, לרבות פרופיל, אשר יוצר השפעות משפטיות הנוגעות אליו או באופן דומה משפיע עליו באופן משמעותי.
- סעיף 1 לא יחול אם ההחלטה:
- הכרחי לצורך התקשרות או ביצועו של חוזה בין נושא הנתונים לבין מבקר הנתונים;
- נדרש או מורשה על פי חוק פנימי, אשר קובע גם אמצעים מתאימים לשמירה על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים; אוֹ
- מבוסס על הסכמה מפורשת של נושא הנתונים.
- במקרים הנזכרים בסעיפים (א) ו-(ג) של סעיף 2, אחראי הנתונים יישם אמצעים מתאימים לשמירה על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לפחות הזכות לקבל התערבות אנושית מצד הנתון. המבקר, להביע את נקודת המבט שלו ולערעור על ההחלטה.
- 3א. סעיף 14 לחוק 2018, והתקנות לפי סעיף זה, קובעים הוראות לשמירה על זכויות, חירויות ואינטרסים לגיטימיים של נושאי מידע במקרים הנופלים בסעיף (ב) של סעיף 2 (אך לא בסעיף (א) או (ג) של אותה פסקה).
- 4. החלטות האמורות בסעיף 2 לא יתבססו על קטגוריות מיוחדות של נתונים אישיים האמורים בסעיף 9(1), אלא אם חלה סעיף (א) או (ז) של סעיף 9(2) ואמצעים מתאימים לשמירה על הנתונים. הזכויות והחירויות והאינטרסים הלגיטימיים של הנושא קיימים.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
פרשנות טכנית
היקף
באופן כללי, סעיף 22 אינו רלוונטי אם החלטות משפיעות על מספר נושאי נתונים, או קבוצות של פרטים הקשורים במשתנים מסוימים - למשל גיל, מין, מיקום.
במקום זאת, החוק מתמקד בזכויות הפרט – כלומר אדם אחד – שלא להיות כפוף לפרופיל ללא הסכמתו.
מהי 'החלטה'
למרות היותם הנושא העיקרי, החלטות הן תחום אפור. החוק לא ברור מהי החלטה. אלה יכולים לנוע בין החלטה של רשות ממשלתית, או משהו שניתן לזהות בקלות רבה יותר כמו ניקוד אשראי או פעולות שננקטו בבקשת משכנתא.
כדי להפוך את הדברים לעוד יותר מעורפלים, החלטות יכולות להוות גם יחס או דעה כלפי נושא מידע, על סמך הנתונים שלו, אבל רק אם יש סבירות לכך שיפעלו.
השפעות משפטיות
'אפקט משפטי' הוא פעולה מחייבת הננקטת כלפי אדם. החלטות הן תרחישים כמו תביעת גמלה, החזר מס או הערכת בריאות.
אף על פי שחלקם או כולם לא ישנו באופן ספציפי את המעמד המשפטי הבסיסי של אדם, הם עדיין עשויים להשפיע עמוקות על חייו של אותו אדם, כולל:
- שינוי נסיבותיו של אדם או אפשרויות הבחירה העומדות לרשותו;
- יש השפעה ממושכת על אדם במהלך חייו;
- (בנסיבות מסוימות) המוביל לאפליה או לפעולות בלתי צודקות כלפי מישהו.
ISO 27701 סעיף 7.2.2 ו-EU GDPR סעיף 22
בסעיף זה אנו מדברים על GDPR סעיפים 22 (2)(א), 22 (2)(ב), 22 (2)(ג), 22 (4)
זיהוי בסיס חוקי
כדי להוות בסיס משפטי לעיבוד PII, ארגונים צריכים לתעד את פעולותיהם ו:
- לבקש הסכמה;
- נסח חוזה, או אנשי קשר;
- לעמוד בכל התחייבות משפטית אחרת;
- להגן על 'האינטרסים החיוניים' של הפרטים והקבוצות שהם מחזיקים בנתונים עליהם;
- להבטיח שהם פועלים במסגרת האינטרס הציבורי, והוא אינטרס לגיטימי.
ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII הקשורות לארגון שלהם בסכימת סיווג הנתונים שלהם (ראה ISO 27701 סעיף 7.2.8) (הסיווגים עשויים להשתנות מאזור לאזור).
אם ארגונים חווים שינויים כלשהם בסיבות הבסיסיות שלהם לעיבוד PII, זה צריך לבוא לידי ביטוי מיד בבסיס המשפטי המתועד שלהם.
תמיכה בסעיפים ISO 27701
- ISO 27701 7.2.8
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 7.3.10 ו-EU GDPR סעיף 22
בסעיף זה אנו מדברים על GDPR סעיפים 22 (1) ו-22 (3)
קבלת החלטות אוטומטית
ארגונים צריכים לקחת בחשבון שינויים בסמכות השיפוט בקבלת החלטות אוטומטיות לגבי PII.
ארגונים צריכים לכבד את זכותו של אדם להתנגד ולבקש התערבות אנושית במקום נהלים אוטומטיים.
אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| האיחוד האירופי GDPR סעיפים 22 (2)(א), 22 (2)(ב), 22 (2)(ג), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| סעיפים 22 (1) ו-22 (3) של האיחוד האירופי GDPR | ISO 27701 7.3.10 | ללא חתימה |
כיצד ISMS.online עוזר
על ידי הוספת PIMS ל-ISMS שלך בפלטפורמת ISMS.online, עמדת האבטחה שלך נשארת במקום אחד ותימנע כפילות במקום שבו התקנים חופפים.
עם ה-PIMS שלך נגיש באופן מיידי לבעלי עניין, מעולם לא היה קל יותר לנטר, לדווח ולבקר מול ISO 27701 ו-ISO 27001 בלחיצת כפתור.
גלה כמה זמן וכסף תחסוך במסע שלך להסמכת ISO 27701 ו-ISO 27001 משולבת באמצעות ISMS.online על ידי הזמנת הדגמה.
