כיצד להוכיח ציות ל-GDPR סעיף 24

ISO 27701 סעיף 5.2.1 (הבנת הארגון וההקשר שלו) ו-EU GDPR סעיף 24 (3)

לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.

זה כולל:

• סקירת כל חוקי הפרטיות, תקנות או 'החלטות שיפוטיות' הרווחות;
• תוך התחשבות במערך הדרישות הייחודי של הארגון הנוגע לסוג המוצרים והשירות שהם מוכרים, ומסמכי ממשל, מדיניות ונהלים ספציפיים לחברה;
• גורמים אדמיניסטרטיביים;
• הסכמי צד שלישי או חוזי שירות.

ISO 27701 סעיף 6.15.1.3 (הגנה על רשומות) ו-EU GDPR סעיף 24 (2)

ניהול תקליטים כולל ארבעה תחומים מרכזיים:

1. אוֹתֶנְטִיוּת;
2. מהימנות;
3. יושרה;
4. שימושיות.

ארגונים צריכים:

• לפרסם הנחיות העוסקות ב:
• אִחסוּן;
• טיפול (שרשרת משמורת);
• רְשׁוּת;
• מניעת מניפולציה.
• ציין כמה זמן יש לשמור כל סוג רשומה;
• לשמור על כל החוקים העוסקים בשמירת רישומים;
• לדבוק בציפיות הלקוחות כיצד ארגונים צריכים לטפל ברשומות שלהם;
• להרוס רשומות ברגע שהם לא נדרשים עוד;
• לסווג רשומות על סמך הסיכון האבטחה שלהן, למשל:
• חשבונאות;
• עסקאות עסקיות;
• רישומי כוח אדם;
• משפטי.
• להבטיח שהם מסוגלים לאחזר רשומות בתוך פרק זמן מקובל, אם צד שלישי או סוכנות אכיפת חוק מתבקשים לעשות זאת;
• הקפד תמיד על הנחיות היצרן בעת ​​אחסון או טיפול ברשומות במקורות מדיה אלקטרוניים.

ISO 27701 סעיף 6.2.1.1 (מדיניות לאבטחת מידע) ו-EU GDPR סעיף 24 (2)

ISO דוגל בגישה דו-חזיתית להגנה על פרטיות ארגונית הכוללת:

• מדיניות הגנת הפרטיות הכללית;
• מדיניות הגנת הפרטיות הספציפית לנושא.

ניתן לשלב את שני סוגי המדיניות למסמך אחד, או להפריד לפי הארגון.

יש להפיץ את המדיניות לכל אנשי הצוות הרלוונטיים (ולאנשי חוץ, אם יש צורך בכך), כדי להבטיח עמידה מתמשכת בדרישות הגנת הפרטיות הפנימיות והחיצוניות.

יש לבקש מכל מי שמקבל פוליסה לאשר, רצוי בכתב, כי שניהם מבינים מה מבקשים ממנו, ומוכנים להיענות.

יש לבדוק את המדיניות כאשר מתבצעים שינויים ב:

• אסטרטגיה עסקית;
• שיטות מבצעיות/סביבות טכניות;
• כל חוק (כולל GDPR), תניות רגולטוריות או הנחיות כלליות הקשורות ל-PII שלארגון מוטלת האחריות לציית אליהם;
• רמות הסיכון להגנת הפרטיות ונוף האיומים הרווח/הצפוי.

מדיניות כללית

ההנהלה הבכירה צריכה לקבוע מדיניות הגנת פרטיות ברמה העליונה (יחד עם מדיניות אחרת ספציפית לנושא) המתארת ​​בבירור את התהליכים והצעדים המעשיים שינקטו על מנת להגן על PII.

מדיניות הגנת הפרטיות הארגונית צריכה להכיל מידע מ- ולהישאר רלוונטי ל:

1. האסטרטגיה העסקית הכוללת;
2. כל דרישות רגולטוריות, משפטיות או חוזיות רווחות;
3. כל סיכוני הגנת הפרטיות ברורים ונוכחים.

מדיניות הגנת הפרטיות צריכה להגדיר את:

• הגדרה מבצעית של הגנת הפרטיות;
• יעדי הגנת הפרטיות המוצהרים;
• מערכת רחבה יותר של עקרונות שליטה הנוגעים להגנה על PII;
• מחויבות לעמידה ביעדים הקשורים ל-PII שלהם, ושיפורם על בסיס מתמשך;
• גישה להאצלת אחריות על מדיניות הגנת הפרטיות כולה או חלק ממנה לסוגי התפקידים הרלוונטיים;
• גישה לטיפול בחריגים בפוליסה;
• מתכנן להנהלה הבכירה לבדוק ולאשר שינויים.

ISO 27701 סעיף 7.2.8 (רשומות המתייחסות לעיבוד של PII) וסעיף GDPR של האיחוד האירופי 24 (1)

לרשומות (הידועות גם בשם 'רשימות מלאי') צריך להיות בעלים מוקצה, ועשויות לכלול:

1. מבצעי - הסוג הספציפי של עיבוד PII שמתבצע;
2. נימוקים - מדוע מעובד ה-PII;
3. קטגורית - רשימות של מקבלי PII, לרבות ארגונים בינלאומיים;
4. אבטחה - סקירה כללית של האופן שבו מוגן PII;
5. פרטיות – כלומר דוח הערכת השפעת פרטיות.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

כיצד ISMS.online עוזר

ISMS.online מציעים לך פתרון GDPR מלא.

אנו מספקים סביבה שנבנתה עבורך מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.

לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי.

יש לך 30 דקות? למידע נוסף על ידי הזמנת הדגמה.