GDPR סעיף 22 עוסק במושג שנקרא 'פרופיל נתונים' - בעצם שיטה המשמשת לפרופיל אישיותו של אדם אך ורק באמצעות ניתוח נתונים אוטומטי, שיש לו סיכוי להשפיע עליהם משפטית או כלכלית (למשל ניקוד אשראי ובקשות משכנתא).
לפי סעיף 22, ליחידים יש את הזכות לא לקבל פרופיל באופן כזה, אלא אם כן הוסכם במפורש בדרך של חוזה בין הנבדק לבין הארגון שמבצע את הפרופיל.
קבלת החלטות אינדיבידואלית אוטומטית, כולל יצירת פרופילים
קבלת החלטות אינדיבידואלית אוטומטית, כולל יצירת פרופילים
באופן כללי, סעיף 22 אינו רלוונטי אם החלטות משפיעות על מספר נושאי נתונים, או קבוצות של פרטים הקשורים במשתנים מסוימים - למשל גיל, מין, מיקום.
במקום זאת, החוק מתמקד בזכויות הפרט – כלומר אדם אחד – שלא להיות כפוף לפרופיל ללא הסכמתו.
למרות היותם הנושא העיקרי, החלטות הן תחום אפור. החוק לא ברור מהי החלטה. אלה יכולים לנוע בין החלטה של רשות ממשלתית, או משהו שניתן לזהות בקלות רבה יותר כמו ניקוד אשראי או פעולות שננקטו בבקשת משכנתא.
כדי להפוך את הדברים לעוד יותר מעורפלים, החלטות יכולות להוות גם יחס או דעה כלפי נושא מידע, על סמך הנתונים שלו, אבל רק אם יש סבירות לכך שיפעלו.
'אפקט משפטי' הוא פעולה מחייבת הננקטת כלפי אדם. החלטות הן תרחישים כמו תביעת גמלה, החזר מס או הערכת בריאות.
אף על פי שחלקם או כולם לא ישנו באופן ספציפי את המעמד המשפטי הבסיסי של אדם, הם עדיין עשויים להשפיע עמוקות על חייו של אותו אדם, כולל:
בסעיף זה אנו מדברים על GDPR סעיפים 22 (2)(א), 22 (2)(ב), 22 (2)(ג), 22 (4)
כדי להוות בסיס משפטי לעיבוד PII, ארגונים צריכים לתעד את פעולותיהם ו:
ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII הקשורות לארגון שלהם בסכימת סיווג הנתונים שלהם (ראה ISO 27701 סעיף 7.2.8) (הסיווגים עשויים להשתנות מאזור לאזור).
אם ארגונים חווים שינויים כלשהם בסיבות הבסיסיות שלהם לעיבוד PII, זה צריך לבוא לידי ביטוי מיד בבסיס המשפטי המתועד שלהם.
בסעיף זה אנו מדברים על GDPR סעיפים 22 (1) ו-22 (3)
ארגונים צריכים לקחת בחשבון שינויים בסמכות השיפוט בקבלת החלטות אוטומטיות לגבי PII.
ארגונים צריכים לכבד את זכותו של אדם להתנגד ולבקש התערבות אנושית במקום נהלים אוטומטיים.
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
האיחוד האירופי GDPR סעיפים 22 (2)(א), 22 (2)(ב), 22 (2)(ג), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
סעיפים 22 (1) ו-22 (3) של האיחוד האירופי GDPR | ISO 27701 7.3.10 | ללא חתימה |
על ידי הוספת PIMS ל-ISMS שלך בפלטפורמת ISMS.online, עמדת האבטחה שלך נשארת במקום אחד ותימנע כפילות במקום שבו התקנים חופפים.
עם ה-PIMS שלך נגיש באופן מיידי לבעלי עניין, מעולם לא היה קל יותר לנטר, לדווח ולבקר מול ISO 27701 ו-ISO 27001 בלחיצת כפתור.
גלה כמה זמן וכסף תחסוך במסע שלך להסמכת ISO 27701 ו-ISO 27001 משולבת באמצעות ISMS.online על ידי הזמנת הדגמה.