GDPR סעיף 25 עוסק בהגנה על מידע על ידי תכנון וכברירת מחדל.
תפיסה זו מבטיחה שבקר הנתונים מתחשב בפרטיות של נושא המידע בכל שלב של פעולתו, ומעצב פעולות עיבוד נתונים ששמות את ה-GDPR בלב קבוצת יעדים.
על מנת להשיג זאת, ארגונים חייבים להגדיר תחילה קבוצה ברורה של יעדי פרטיות, לפני שהם מבצעים את ההנדסה והיישום שלאחר מכן של פעולת עיבוד נתונים (או, על ידי פרוקסי, מוצר).
הגנה על נתונים על ידי עיצוב וכברירת מחדל
- בהתחשב בסטטוס החדשותי, בעלות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים הנובעים מהעיבוד, על הבקר, הן בזמן קביעת האמצעים לעיבוד והן בזמן העיבוד עצמו, יש ליישם אמצעים טכניים וארגוניים מתאימים, כגון פסאודונימיזציה, אשר נועדו ליישם עקרונות הגנת נתונים, כגון מזעור נתונים, בצורה יעילה באופן ולשלב את אמצעי ההגנה הדרושים בעיבוד על מנת לעמוד בדרישות תקנה זו ולהגן על זכויותיהם של נושאי המידע.
- הבקר יישם אמצעים טכניים וארגוניים מתאימים על מנת להבטיח כי כברירת מחדל, יעובדו רק נתונים אישיים הנחוצים לכל מטרה ספציפית של העיבוד. חובה זו חלה על כמות הנתונים האישיים שנאספו, היקף העיבוד שלהם, תקופת האחסון שלהם והנגישות שלהם. בפרט, אמצעים כאלה יבטיחו כי כברירת מחדל, נתונים אישיים אינם נגישים ללא התערבותו של הפרט למספר בלתי מוגבל של אנשים טבעיים.
- מנגנון הסמכה מאושר בהתאם לסעיף 42 עשוי לשמש כמרכיב כדי להוכיח עמידה בדרישות המפורטות בסעיפים 1 ו-2 של סעיף זה.
הגנה על נתונים על ידי עיצוב וכברירת מחדל
- בהתחשב בסטטוס החדשותי, בעלות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים הנובעים מהעיבוד, על הבקר, הן בזמן קביעת האמצעים לעיבוד והן בזמן העיבוד עצמו, יש ליישם אמצעים טכניים וארגוניים מתאימים, כגון פסאודונימיזציה, אשר נועדו ליישם עקרונות הגנת נתונים, כגון מזעור נתונים, בצורה יעילה באופן ולשלב את אמצעי ההגנה הדרושים בעיבוד על מנת לעמוד בדרישות תקנה זו ולהגן על זכויותיהם של נושאי המידע.
- הבקר יישם אמצעים טכניים וארגוניים מתאימים על מנת להבטיח כי כברירת מחדל, יעובדו רק נתונים אישיים הנחוצים לכל מטרה ספציפית של העיבוד. חובה זו חלה על כמות הנתונים האישיים שנאספו, היקף העיבוד שלהם, תקופת האחסון שלהם והנגישות שלהם. בפרט, אמצעים כאלה יבטיחו כי כברירת מחדל, נתונים אישיים אינם נגישים ללא התערבותו של הפרט למספר בלתי מוגבל של אנשים טבעיים.
- מנגנון הסמכה מאושר בהתאם לסעיף 42 עשוי לשמש כמרכיב כדי להוכיח עמידה בדרישות המפורטות בסעיפים 1 ו-2 של סעיף זה.
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
כאשר ארגון יוצא לעצב פעולת עיבוד נתונים שמקפידה על הגנת נתונים 'בתכנון' ו'ברירת מחדל', ישנם מספר גורמים עיקריים שיש לקחת בחשבון:
ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.
הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.
לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.
זה כולל:
ארגונים צריכים להשתמש בהסכמי סודיות (NDAs) והסכמי סודיות כדי להגן על גילוי מכוון או בשוגג של מידע רגיש לעובדים לא מורשים.
בעת ניסוח, יישום ותחזוקה של הסכמים כאלה, ארגונים צריכים:
חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות החוקיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 בקרות 5.31, 5.32, 5.33 ו-5.34).
ארגונים צריכים להבטיח שמחזור חיי הפיתוח נוצר תוך מחשבה על הגנת הפרטיות.
כדי להשיג זאת, ארגונים צריכים:
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
מערכת ארגונית צריכה להיות מתוכננת, מתועדת, מיושמת ומתוחזקת תוך מחשבה על הגנת הפרטיות:
עקרונות הנדסה צריכים לנתח:
עקרונות הנדסה צריכים לקחת בחשבון:
הנדסת מערכות מאובטחת צריכה לכלול:
ברירת המחדל של הארגון היא לגישת 'אפס אמון' לאבטחה.
כאשר הארגון מעביר פיתוח למיקור חוץ לארגוני צד שלישי, יש לעשות מאמצים להבטיח שעקרונות האבטחה של השותף מתאימים לעקרונות האבטחה של הארגון.
ארגונים צריכים גם לעבד PII רק אם הוא רלוונטי, מידתי והכרחי כדי להגשים מטרה מוצהרת, כולל:
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
סעיף 25 (3) של ה-EU GDPR | ISO 27701 5.2.1 | ללא חתימה |
סעיף 25 (1)(ו) של EU GDPR | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
סעיף 25 (1) של ה-EU GDPR | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
סעיף 25 (1) של ה-EU GDPR | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
סעיף 25 (2) של ה-EU GDPR | ISO 27701 7.4.2 | ללא חתימה |
אנו מספקים לך סביבה בנויה מראש שבה תוכל לתאר ולהדגים כיצד אתה מגן על הנתונים של הלקוחות האירופים והאנגליים שלך.
לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי.
תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.
למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.