עבור לתוכן
ISMS.online

כיצד להוכיח ציות ל-GDPR סעיף 24

סעיף 24 של ה-GDPR מחייב את בקרי הנתונים ליישם ולהדגים אמצעים טכניים וארגוניים מתאימים כדי להבטיח ציות ל-GDPR, תוך שימוש בגישה מבוססת סיכונים ובדיקה מתמשכת כדי להגן על נתונים אישיים ביעילות.

מְחַבֵּר
דיוויד הולוואי
עודכן בספטמבר 30, 2025
4/5 כוכבים

הבטחת תאימות ל-GDPR: הבנת האחריות שלך לפי סעיף 24

GDPR סעיף 24 הוא הסעיף הראשון של GDPR שמתייחס לחובות הכלליות של מבקר הנתונים, המתוארות בפירוט רב יותר במאמרים הבאים.

השינוי בטון מציות פסיבי לשימוש בשפה מחייבת הוא סימן היכר של חקיקת ה-GDPR, ונותן את הטון לאופן שבו הבקרים צפויים להתנהג בהמשך החקיקה.

GDPR סעיף 24 טקסט משפטי

גרסת GDPR של האיחוד האירופי

אחריות הבקר

  1. בהתחשב באופי, בהיקף, בהקשר ובמטרות העיבוד וכן בסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר יישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח וכדי להיות מסוגל להוכיח כי העיבוד מתבצע בהתאם לתקנה זו. אמצעים אלה ייבדקו ויעודכנו במידת הצורך.
  2. כאשר הוא מידתי ביחס לפעילויות עיבוד, האמצעים הנזכרים בסעיף 1 יכללו יישום של מדיניות הגנת מידע מתאימה על ידי הבקר.
  3. עמידה בקודי התנהגות מאושרים כמפורט בסעיף 40 או מנגנוני הסמכה מאושרים כמפורט בסעיף 42 עשויה לשמש מרכיב שבאמצעותו ניתן להוכיח עמידה בחובותיו של המבקר.

גרסת GDPR בבריטניה

אחריות הבקר

  1. בהתחשב באופי, בהיקף, בהקשר ובמטרות העיבוד וכן בסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר יישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח וכדי להיות מסוגל להוכיח כי העיבוד מתבצע בהתאם לתקנה זו. אמצעים אלה ייבדקו ויעודכנו במידת הצורך.
  2. כאשר הוא מידתי ביחס לפעילויות עיבוד, האמצעים הנזכרים בסעיף 1 יכללו יישום של מדיניות הגנת מידע מתאימה על ידי הבקר.
  3. עמידה בקודי התנהגות מאושרים כמפורט בסעיף 40 או מנגנוני הסמכה מאושרים כמפורט בסעיף 42 עשויה לשמש מרכיב שבאמצעותו ניתן להוכיח עמידה בחובותיו של המבקר.

פרשנות טכנית

'אמצעים'

GDPR למעשה לא מגדיר מהו אמצעי טכני, מה שהוביל לבלבול מסוים בקרב ארגונים שנאבקים להבין מהן החובות שלהם. ככזה, רוב הרשויות המשפטיות הגדירו 'אמצעי' ככל פעולה שארגון יכול לנקוט, מה שהופך אותם לצייתנים.

אימוץ גישה מבוססת סיכונים

בהתחשב בהיקפו הרחב של המונח 'מדד', על מנת לברר כיצד להשיג ציות, ארגונים צריכים לעבור הערכת סיכונים יסודית הלוקחת בחשבון את טבע, היקף ו מטרה של פעילות העיבוד שלה.

בנוסף, ארגונים צריכים להיות מודעים ללא הרף לזכות לחופש הפרט, לצד כל סיכונים תפעוליים.

הדגמת תאימות

ככלל, ככל שפעולת העיבוד מסוכנת יותר, כך נדרשת כמות הראיות גדולה יותר. ארגונים צריכים להיות עסוקים באיסוף ראיות פיזיות ודיגיטליות המוכיחות שהם ארגון תואם ושומר חוק.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


ISO 27701 סעיף 5.2.1 (הבנת הארגון וההקשר שלו) ו-EU GDPR סעיף 24 (3)

לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.

זה כולל:

  • סקירת כל חוקי הפרטיות, תקנות או 'החלטות שיפוטיות' הרווחות;
  • תוך התחשבות במערך הדרישות הייחודי של הארגון הנוגע לסוג המוצרים והשירות שהם מוכרים, ומסמכי ממשל, מדיניות ונהלים ספציפיים לחברה;
  • גורמים אדמיניסטרטיביים;
  • הסכמי צד שלישי או חוזי שירות.

ISO 27701 סעיף 6.15.1.3 (הגנה על רשומות) ו-EU GDPR סעיף 24 (2)

ניהול תקליטים כולל ארבעה תחומים מרכזיים:

  1. אוֹתֶנְטִיוּת;
  2. מהימנות;
  3. יושרה;
  4. שימושיות.

ארגונים צריכים:

  • לפרסם הנחיות העוסקות ב:
    • אִחסוּן;
    • טיפול (שרשרת משמורת);
    • רְשׁוּת;
    • מניעת מניפולציה.
  • ציין כמה זמן יש לשמור כל סוג רשומה;
  • לשמור על כל החוקים העוסקים בשמירת רישומים;
  • לדבוק בציפיות הלקוחות כיצד ארגונים צריכים לטפל ברשומות שלהם;
  • להרוס רשומות ברגע שהם לא נדרשים עוד;
  • לסווג רשומות על סמך הסיכון האבטחה שלהן, למשל:
    • חשבונאות;
    • עסקאות עסקיות;
    • רישומי כוח אדם;
    • משפטי.
  • להבטיח שהם מסוגלים לאחזר רשומות בתוך פרק זמן מקובל, אם צד שלישי או סוכנות אכיפת חוק מתבקשים לעשות זאת;
  • הקפד תמיד על הנחיות היצרן בעת ​​אחסון או טיפול ברשומות במקורות מדיה אלקטרוניים.

ISO 27701 סעיף 6.2.1.1 (מדיניות לאבטחת מידע) ו-EU GDPR סעיף 24 (2)

ISO דוגל בגישה דו-חזיתית להגנה על פרטיות ארגונית הכוללת:

  • מדיניות הגנת הפרטיות הכללית;
  • מדיניות הגנת הפרטיות הספציפית לנושא.

ניתן לשלב את שני סוגי המדיניות למסמך אחד, או להפריד לפי הארגון.

יש להפיץ את המדיניות לכל אנשי הצוות הרלוונטיים (ולאנשי חוץ, אם יש צורך בכך), כדי להבטיח עמידה מתמשכת בדרישות הגנת הפרטיות הפנימיות והחיצוניות.

יש לבקש מכל מי שמקבל פוליסה לאשר, רצוי בכתב, כי שניהם מבינים מה מבקשים ממנו, ומוכנים להיענות.

יש לבדוק את המדיניות כאשר מתבצעים שינויים ב:

  • אסטרטגיה עסקית;
  • שיטות מבצעיות/סביבות טכניות;
  • כל חוק (כולל GDPR), תניות רגולטוריות או הנחיות כלליות הקשורות ל-PII שלארגון מוטלת האחריות לציית אליהם;
  • רמות הסיכון להגנת הפרטיות ונוף האיומים הרווח/הצפוי.

מדיניות כללית

ההנהלה הבכירה צריכה לקבוע מדיניות הגנת פרטיות ברמה העליונה (יחד עם מדיניות אחרת ספציפית לנושא) המתארת ​​בבירור את התהליכים והצעדים המעשיים שינקטו על מנת להגן על PII.

מדיניות הגנת הפרטיות הארגונית צריכה להכיל מידע מ- ולהישאר רלוונטי ל:

  1. האסטרטגיה העסקית הכוללת;
  2. כל דרישות רגולטוריות, משפטיות או חוזיות רווחות;
  3. כל סיכוני הגנת הפרטיות ברורים ונוכחים.

מדיניות הגנת הפרטיות צריכה להגדיר את:

  • הגדרה מבצעית של הגנת הפרטיות;
  • יעדי הגנת הפרטיות המוצהרים;
  • מערכת רחבה יותר של עקרונות שליטה הנוגעים להגנה על PII;
  • מחויבות לעמידה ביעדים הקשורים ל-PII שלהם, ושיפורם על בסיס מתמשך;
  • גישה להאצלת אחריות על מדיניות הגנת הפרטיות כולה או חלק ממנה לסוגי התפקידים הרלוונטיים;
  • גישה לטיפול בחריגים בפוליסה;
  • מתכנן להנהלה הבכירה לבדוק ולאשר שינויים.


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


ISO 27701 סעיף 7.2.8 (רשומות המתייחסות לעיבוד של PII) וסעיף GDPR של האיחוד האירופי 24 (1)

לרשומות (הידועות גם בשם 'רשימות מלאי') צריך להיות בעלים מוקצה, ועשויות לכלול:

  1. מבצעי - הסוג הספציפי של עיבוד PII שמתבצע;
  2. נימוקים - מדוע מעובד ה-PII;
  3. קטגורית - רשימות של מקבלי PII, לרבות ארגונים בינלאומיים;
  4. אבטחה - סקירה כללית של האופן שבו מוגן PII;
  5. פרטיות – כלומר דוח הערכת השפעת פרטיות.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPR סעיף ISO 27701 ISO 27701 סעיפים תומכים
סעיף 24 (3) של ה-EU GDPR ISO 27701 5.2.1 ללא חתימה
סעיף 24 (2) של ה-EU GDPR ISO 27701 6.15.1.3 ללא חתימה
סעיף 24 (2) של ה-EU GDPR ISO 27701 6.2.1.1 ללא חתימה
סעיף 24 (1) של ה-EU GDPR ISO 27701 7.2.8 ללא חתימה

כיצד ISMS.online עוזר

ISMS.online מציעים לך פתרון GDPR מלא.

אנו מספקים סביבה שנבנתה עבורך מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.

לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי.

יש לך 30 דקות? למידע נוסף על ידי הזמנת הדגמה.

דיוויד הולוואי

סמנכ"ל שיווק

דיוויד הולוואי הוא מנהל השיווק הראשי ב-ISMS.online, עם למעלה מארבע שנות ניסיון בתחום תאימות ואבטחת מידע. כחלק מצוות ההנהגה, דיוויד מתמקד בהעצמת ארגונים לנווט בנופים רגולטוריים מורכבים בביטחון, תוך קידום אסטרטגיות שמתאימות יעדים עסקיים לפתרונות בעלי השפעה. הוא גם מנחה שותף של הפודקאסט Phishing For Trouble, שם הוא מתעמק באירועי אבטחת סייבר מתוקשרים וחולק לקחים חשובים שיעזרו לעסקים לחזק את נוהלי האבטחה והתאימות שלהם.

לינקדין

מאמרים בנושא GDPR

GDPR לעומק

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה