כיצד להוכיח ציות ל-GDPR סעיף 22

תוכנת תאימות ל-GDPR

הזמן הדגמה

עסקים, צוות, פגישה., תמונה, מקצועי, משקיע, עובד, חדש, סטארט, אפ

GDPR סעיף 22 עוסק במושג שנקרא 'פרופיל נתונים' - בעצם שיטה המשמשת לפרופיל אישיותו של אדם אך ורק באמצעות ניתוח נתונים אוטומטי, שיש לו סיכוי להשפיע עליהם משפטית או כלכלית (למשל ניקוד אשראי ובקשות משכנתא).

לפי סעיף 22, ליחידים יש את הזכות לא לקבל פרופיל באופן כזה, אלא אם כן הוסכם במפורש בדרך של חוזה בין הנבדק לבין הארגון שמבצע את הפרופיל.

GDPR סעיף 22 טקסט משפטי

גרסת GDPR של האיחוד האירופי

קבלת החלטות אינדיבידואלית אוטומטית, כולל יצירת פרופילים

  1. לנושא המידע תהיה הזכות שלא להיות כפוף להחלטה המבוססת על עיבוד אוטומטי בלבד, לרבות פרופיל, אשר יוצר השפעות משפטיות הנוגעות אליו או באופן דומה משפיע עליו באופן משמעותי.

  2. סעיף 1 לא יחול אם ההחלטה:

    • הכרחי לצורך התקשרות או ביצועו של חוזה בין נושא הנתונים לבין מבקר הנתונים;

    • הוא מורשה על פי חוק האיחוד או המדינות החברות שהבקר כפוף לו ואשר קובע גם אמצעים מתאימים לשמירה על הזכויות והחירויות של נושא הנתונים והאינטרסים הלגיטימיים; אוֹ

    • מבוסס על הסכמה מפורשת של נושא הנתונים.

  3. במקרים הנזכרים בסעיפים (א) ו-(ג) של סעיף 2, אחראי הנתונים יישם אמצעים מתאימים לשמירה על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לפחות הזכות לקבל התערבות אנושית מצד הנתון. המבקר, להביע את נקודת המבט שלו ולערעור על ההחלטה.

  4. החלטות האמורות בסעיף 2 לא יתבססו על קטגוריות מיוחדות של נתונים אישיים הנזכרים בסעיף 9(1), אלא אם חלה סעיף (א) או (ז) של סעיף 9(2) ואמצעים מתאימים לשמירה על זכויותיו של נושא המידע. וחירויות ואינטרסים לגיטימיים קיימים.

גרסת GDPR בבריטניה

קבלת החלטות אינדיבידואלית אוטומטית, כולל יצירת פרופילים

  1. לנושא המידע תהיה הזכות שלא להיות כפוף להחלטה המבוססת על עיבוד אוטומטי בלבד, לרבות פרופיל, אשר יוצר השפעות משפטיות הנוגעות אליו או באופן דומה משפיע עליו באופן משמעותי.

  2. סעיף 1 לא יחול אם ההחלטה:

    • הכרחי לצורך התקשרות או ביצועו של חוזה בין נושא הנתונים לבין מבקר הנתונים;

    • נדרש או מורשה על פי חוק פנימי, אשר קובע גם אמצעים מתאימים לשמירה על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים; אוֹ

    • מבוסס על הסכמה מפורשת של נושא הנתונים.

  3. במקרים הנזכרים בסעיפים (א) ו-(ג) של סעיף 2, אחראי הנתונים יישם אמצעים מתאימים לשמירה על זכויותיו וחירויותיו של נושא המידע והאינטרסים הלגיטימיים, לפחות הזכות לקבל התערבות אנושית מצד הנתון. המבקר, להביע את נקודת המבט שלו ולערעור על ההחלטה.

    • 3א. סעיף 14 לחוק 2018, והתקנות לפי סעיף זה, קובעים הוראות לשמירה על זכויות, חירויות ואינטרסים לגיטימיים של נושאי מידע במקרים הנופלים בסעיף (ב) של סעיף 2 (אך לא בסעיף (א) או (ג) של אותה פסקה).

  4. 4. החלטות האמורות בסעיף 2 לא יתבססו על קטגוריות מיוחדות של נתונים אישיים האמורים בסעיף 9(1), אלא אם חלה סעיף (א) או (ז) של סעיף 9(2) ואמצעים מתאימים לשמירה על הנתונים. הזכויות והחירויות והאינטרסים הלגיטימיים של הנושא קיימים.
קפוץ לנושא
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

פרשנות טכנית

היקף

באופן כללי, סעיף 22 אינו רלוונטי אם החלטות משפיעות על מספר נושאי נתונים, או קבוצות של פרטים הקשורים במשתנים מסוימים - למשל גיל, מין, מיקום.

במקום זאת, החוק מתמקד בזכויות הפרט – כלומר אדם אחד – שלא להיות כפוף לפרופיל ללא הסכמתו.

מהי 'החלטה'

למרות היותם הנושא העיקרי, החלטות הן תחום אפור. החוק לא ברור מהי החלטה. אלה יכולים לנוע בין החלטה של ​​רשות ממשלתית, או משהו שניתן לזהות בקלות רבה יותר כמו ניקוד אשראי או פעולות שננקטו בבקשת משכנתא.

כדי להפוך את הדברים לעוד יותר מעורפלים, החלטות יכולות להוות גם יחס או דעה כלפי נושא מידע, על סמך הנתונים שלו, אבל רק אם יש סבירות לכך שיפעלו.

השפעות משפטיות

'אפקט משפטי' הוא פעולה מחייבת הננקטת כלפי אדם. החלטות הן תרחישים כמו תביעת גמלה, החזר מס או הערכת בריאות.

אף על פי שחלקם או כולם לא ישנו באופן ספציפי את המעמד המשפטי הבסיסי של אדם, הם עדיין עשויים להשפיע עמוקות על חייו של אותו אדם, כולל:

  • שינוי נסיבותיו של אדם או אפשרויות הבחירה העומדות לרשותו;

  • יש השפעה ממושכת על אדם במהלך חייו;

  • (בנסיבות מסוימות) המוביל לאפליה או לפעולות בלתי צודקות כלפי מישהו.

ISO 27701 סעיף 7.2.2 ו-EU GDPR סעיף 22

בסעיף זה אנו מדברים על GDPR סעיפים 22 (2)(א), 22 (2)(ב), 22 (2)(ג), 22 (4)

זיהוי בסיס חוקי

כדי להוות בסיס משפטי לעיבוד PII, ארגונים צריכים לתעד את פעולותיהם ו:

  1. לבקש הסכמה;

  2. נסח חוזה, או אנשי קשר;

  3. לעמוד בכל התחייבות משפטית אחרת;

  4. להגן על 'האינטרסים החיוניים' של הפרטים והקבוצות שהם מחזיקים בנתונים עליהם;

  5. להבטיח שהם פועלים במסגרת האינטרס הציבורי, והוא אינטרס לגיטימי.

ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII הקשורות לארגון שלהם בסכימת סיווג הנתונים שלהם (ראה ISO 27701 סעיף 7.2.8) (הסיווגים עשויים להשתנות מאזור לאזור).

אם ארגונים חווים שינויים כלשהם בסיבות הבסיסיות שלהם לעיבוד PII, זה צריך לבוא לידי ביטוי מיד בבסיס המשפטי המתועד שלהם.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.2.8

ISO 27701 סעיף 7.3.10 ו-EU GDPR סעיף 22

בסעיף זה אנו מדברים על GDPR סעיפים 22 (1) ו-22 (3)

קבלת החלטות אוטומטית

ארגונים צריכים לקחת בחשבון שינויים בסמכות השיפוט בקבלת החלטות אוטומטיות לגבי PII.

ארגונים צריכים לכבד את זכותו של אדם להתנגד ולבקש התערבות אנושית במקום נהלים אוטומטיים.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
האיחוד האירופי GDPR סעיפים 22 (2)(א), 22 (2)(ב), 22 (2)(ג), 22 (4)ISO 27701 7.2.2ISO 27701 7.2.8
סעיפים 22 (1) ו-22 (3) של האיחוד האירופי GDPRISO 27701 7.3.10ללא חתימה

כיצד ISMS.online עוזר

על ידי הוספת PIMS ל-ISMS שלך בפלטפורמת ISMS.online, עמדת האבטחה שלך נשארת במקום אחד ותימנע כפילות במקום שבו התקנים חופפים.

עם ה-PIMS שלך נגיש באופן מיידי לבעלי עניין, מעולם לא היה קל יותר לנטר, לדווח ולבקר מול ISO 27701 ו-ISO 27001 בלחיצת כפתור.

גלה כמה זמן וכסף תחסוך במסע שלך להסמכת ISO 27701 ו-ISO 27001 משולבת באמצעות ISMS.online על ידי הזמנת הדגמה.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף