GDPR סעיף 24 הוא הסעיף הראשון של GDPR שמתייחס לחובות הכלליות של מבקר הנתונים, המתוארות בפירוט רב יותר במאמרים הבאים.
השינוי בטון מציות פסיבי לשימוש בשפה מחייבת הוא סימן היכר של חקיקת ה-GDPR, ונותן את הטון לאופן שבו הבקרים צפויים להתנהג בהמשך החקיקה.
אחריות הבקר
- בהתחשב באופי, בהיקף, בהקשר ובמטרות העיבוד וכן בסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר יישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח וכדי להיות מסוגל להוכיח כי העיבוד מתבצע בהתאם לתקנה זו. אמצעים אלה ייבדקו ויעודכנו במידת הצורך.
- כאשר הוא מידתי ביחס לפעילויות עיבוד, האמצעים הנזכרים בסעיף 1 יכללו יישום של מדיניות הגנת מידע מתאימה על ידי הבקר.
- עמידה בקודי התנהגות מאושרים כמפורט בסעיף 40 או מנגנוני הסמכה מאושרים כמפורט בסעיף 42 עשויה לשמש מרכיב שבאמצעותו ניתן להוכיח עמידה בחובותיו של המבקר.
אחריות הבקר
- בהתחשב באופי, בהיקף, בהקשר ובמטרות העיבוד וכן בסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר יישם אמצעים טכניים וארגוניים מתאימים כדי להבטיח וכדי להיות מסוגל להוכיח כי העיבוד מתבצע בהתאם לתקנה זו. אמצעים אלה ייבדקו ויעודכנו במידת הצורך.
- כאשר הוא מידתי ביחס לפעילויות עיבוד, האמצעים הנזכרים בסעיף 1 יכללו יישום של מדיניות הגנת מידע מתאימה על ידי הבקר.
- עמידה בקודי התנהגות מאושרים כמפורט בסעיף 40 או מנגנוני הסמכה מאושרים כמפורט בסעיף 42 עשויה לשמש מרכיב שבאמצעותו ניתן להוכיח עמידה בחובותיו של המבקר.
GDPR למעשה לא מגדיר מהו אמצעי טכני, מה שהוביל לבלבול מסוים בקרב ארגונים שנאבקים להבין מהן החובות שלהם. ככזה, רוב הרשויות המשפטיות הגדירו 'אמצעי' ככל פעולה שארגון יכול לנקוט, מה שהופך אותם לצייתנים.
בהתחשב בהיקפו הרחב של המונח 'מדד', על מנת לברר כיצד להשיג ציות, ארגונים צריכים לעבור הערכת סיכונים יסודית הלוקחת בחשבון את טבע, היקף ו מטרה של פעילות העיבוד שלה.
בנוסף, ארגונים צריכים להיות מודעים ללא הרף לזכות לחופש הפרט, לצד כל סיכונים תפעוליים.
ככלל, ככל שפעולת העיבוד מסוכנת יותר, כך נדרשת כמות הראיות גדולה יותר. ארגונים צריכים להיות עסוקים באיסוף ראיות פיזיות ודיגיטליות המוכיחות שהם ארגון תואם ושומר חוק.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.
זה כולל:
ניהול תקליטים כולל ארבעה תחומים מרכזיים:
ארגונים צריכים:
ISO דוגל בגישה דו-חזיתית להגנה על פרטיות ארגונית הכוללת:
ניתן לשלב את שני סוגי המדיניות למסמך אחד, או להפריד לפי הארגון.
יש להפיץ את המדיניות לכל אנשי הצוות הרלוונטיים (ולאנשי חוץ, אם יש צורך בכך), כדי להבטיח עמידה מתמשכת בדרישות הגנת הפרטיות הפנימיות והחיצוניות.
יש לבקש מכל מי שמקבל פוליסה לאשר, רצוי בכתב, כי שניהם מבינים מה מבקשים ממנו, ומוכנים להיענות.
יש לבדוק את המדיניות כאשר מתבצעים שינויים ב:
ההנהלה הבכירה צריכה לקבוע מדיניות הגנת פרטיות ברמה העליונה (יחד עם מדיניות אחרת ספציפית לנושא) המתארת בבירור את התהליכים והצעדים המעשיים שינקטו על מנת להגן על PII.
מדיניות הגנת הפרטיות הארגונית צריכה להכיל מידע מ- ולהישאר רלוונטי ל:
מדיניות הגנת הפרטיות צריכה להגדיר את:
לרשומות (הידועות גם בשם 'רשימות מלאי') צריך להיות בעלים מוקצה, ועשויות לכלול:
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
סעיף 24 (3) של ה-EU GDPR | ISO 27701 5.2.1 | ללא חתימה |
סעיף 24 (2) של ה-EU GDPR | ISO 27701 6.15.1.3 | ללא חתימה |
סעיף 24 (2) של ה-EU GDPR | ISO 27701 6.2.1.1 | ללא חתימה |
סעיף 24 (1) של ה-EU GDPR | ISO 27701 7.2.8 | ללא חתימה |
ISMS.online מציעים לך פתרון GDPR מלא.
אנו מספקים סביבה שנבנתה עבורך מראש כדי לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך, המשתלבת בצורה חלקה במערכת הניהול שלך.
לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי.
יש לך 30 דקות? למידע נוסף על ידי הזמנת הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך