הבנת GDPR סעיף 25: הגנה על נתונים על ידי עיצוב וברירת מחדל
GDPR סעיף 25 עוסק בהגנה על מידע על ידי תכנון וכברירת מחדל.
תפיסה זו מבטיחה שבקר הנתונים מתחשב בפרטיות של נושא המידע בכל שלב של פעולתו, ומעצב פעולות עיבוד נתונים ששמות את ה-GDPR בלב קבוצת יעדים.
על מנת להשיג זאת, ארגונים חייבים להגדיר תחילה קבוצה ברורה של יעדי פרטיות, לפני שהם מבצעים את ההנדסה והיישום שלאחר מכן של פעולת עיבוד נתונים (או, על ידי פרוקסי, מוצר).
GDPR סעיף 25 טקסט משפטי
גרסת GDPR של האיחוד האירופי
הגנה על נתונים על ידי עיצוב וכברירת מחדל
- בהתחשב בסטטוס החדשותי, בעלות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים הנובעים מהעיבוד, על הבקר, הן בזמן קביעת האמצעים לעיבוד והן בזמן העיבוד עצמו, יש ליישם אמצעים טכניים וארגוניים מתאימים, כגון פסאודונימיזציה, אשר נועדו ליישם עקרונות הגנת נתונים, כגון מזעור נתונים, בצורה יעילה באופן ולשלב את אמצעי ההגנה הדרושים בעיבוד על מנת לעמוד בדרישות תקנה זו ולהגן על זכויותיהם של נושאי המידע.
- הבקר יישם אמצעים טכניים וארגוניים מתאימים על מנת להבטיח כי כברירת מחדל, יעובדו רק נתונים אישיים הנחוצים לכל מטרה ספציפית של העיבוד. חובה זו חלה על כמות הנתונים האישיים שנאספו, היקף העיבוד שלהם, תקופת האחסון שלהם והנגישות שלהם. בפרט, אמצעים כאלה יבטיחו כי כברירת מחדל, נתונים אישיים אינם נגישים ללא התערבותו של הפרט למספר בלתי מוגבל של אנשים טבעיים.
- מנגנון הסמכה מאושר בהתאם לסעיף 42 עשוי לשמש כמרכיב כדי להוכיח עמידה בדרישות המפורטות בסעיפים 1 ו-2 של סעיף זה.
גרסת GDPR בבריטניה
הגנה על נתונים על ידי עיצוב וכברירת מחדל
- בהתחשב בסטטוס החדשותי, בעלות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכונים של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים הנובעים מהעיבוד, על הבקר, הן בזמן קביעת האמצעים לעיבוד והן בזמן העיבוד עצמו, יש ליישם אמצעים טכניים וארגוניים מתאימים, כגון פסאודונימיזציה, אשר נועדו ליישם עקרונות הגנת נתונים, כגון מזעור נתונים, בצורה יעילה באופן ולשלב את אמצעי ההגנה הדרושים בעיבוד על מנת לעמוד בדרישות תקנה זו ולהגן על זכויותיהם של נושאי המידע.
- הבקר יישם אמצעים טכניים וארגוניים מתאימים על מנת להבטיח כי כברירת מחדל, יעובדו רק נתונים אישיים הנחוצים לכל מטרה ספציפית של העיבוד. חובה זו חלה על כמות הנתונים האישיים שנאספו, היקף העיבוד שלהם, תקופת האחסון שלהם והנגישות שלהם. בפרט, אמצעים כאלה יבטיחו כי כברירת מחדל, נתונים אישיים אינם נגישים ללא התערבותו של הפרט למספר בלתי מוגבל של אנשים טבעיים.
- מנגנון הסמכה מאושר בהתאם לסעיף 42 עשוי לשמש כמרכיב כדי להוכיח עמידה בדרישות המפורטות בסעיפים 1 ו-2 של סעיף זה.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
פרשנות טכנית
כאשר ארגון יוצא לעצב פעולת עיבוד נתונים שמקפידה על הגנת נתונים 'בתכנון' ו'ברירת מחדל', ישנם מספר גורמים עיקריים שיש לקחת בחשבון:
- התפתחויות טכנולוגיות.
- עלות יישום.
- אופי הפעולה (הקשר ומטרה).
- סיכונים וחירויות הפרט.
- היקף (כלומר היכן יש לאסוף נתונים).
- מזעור נתונים.
- המושג אמצעים 'מתאימים'.
ISO 27701 סעיף 5.2.1 (הבנת הארגון וההקשר שלו) ו-EU GDPR סעיף 25 (3)
ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.
הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.
לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.
זה כולל:
- סקירת כל חוקי הפרטיות, התקנות או 'החלטות שיפוטיות' הרווחות.
- תוך התחשבות במערך הדרישות הייחודי של הארגון הנוגע לסוג המוצרים והשירות שהם מוכרים, ומסמכי ממשל, מדיניות ונהלים ספציפיים לחברה.
- כל הגורמים האדמיניסטרטיביים, לרבות התנהלות שוטפת של החברה.
- הסכמי צד שלישי או חוזי שירות שיש להם פוטנציאל להשפיע על PII והגנת הפרטיות.
ISO 27701 סעיף 6.10.2.4 (הסכמי סודיות או סודיות) ו-EU GDPR סעיף 25 (1)(ו)
ארגונים צריכים להשתמש בהסכמי סודיות (NDAs) והסכמי סודיות כדי להגן על גילוי מכוון או בשוגג של מידע רגיש לעובדים לא מורשים.
בעת ניסוח, יישום ותחזוקה של הסכמים כאלה, ארגונים צריכים:
- הציעו הגדרה למידע שיש להגן עליו.
- ציין בבירור את משך ההסכם הצפוי.
- ציין בבירור את כל הפעולות הנדרשות לאחר סיום ההסכם.
- כל אחריות המוסכמת על ידי חותמים מאושרים.
- בעלות על מידע (כולל IP וסודות מסחריים).
- כיצד מותר לחותמים להשתמש במידע.
- הגדר באופן ברור את זכותו של הארגון לפקח על מידע סודי.
- כל השלכה שתנבע מאי ציות.
- בודקים באופן קבוע את צורכי הסודיות שלהם, ומתקנים את ההסכמים העתידיים בהתאם.
חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות החוקיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 בקרות 5.31, 5.32, 5.33 ו-5.34).
תמיכה בבקרות ISO 27002
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
ISO 27701 סעיף 6.11.2.1 (מדיניות פיתוח מאובטח) ו-EU GDPR סעיף 25 (1)
ארגונים צריכים להבטיח שמחזור חיי הפיתוח נוצר תוך מחשבה על הגנת הפרטיות.
כדי להשיג זאת, ארגונים צריכים:
- פעל עם סביבות פיתוח, בדיקה ופיתוח נפרדות (ראה ISO 27002 בקרה 8.31).
- פרסם הנחיות לגבי הגנת הפרטיות לאורך מחזור חיי הפיתוח, כולל מתודולוגיות, הנחיות קידוד ושפות תכנות (ראה ISO 27002 בקרות 8.28, 8.27 ו-5.8).
- תיאור דרישות אבטחה בשלב המפרט והתכנון (ראה ISO 27002 בקרה 5.8).
- הטמעת מחסומי אבטחה בכל הפרויקטים הרלוונטיים (ראה ISO 27002 בקרה 5.8).
- לבצע בדיקות מערכת ואבטחה, כולל סריקות קוד ובדיקות חדירה (ראה ISO 27002 בקרה 5.8).
- הצע מאגרים מאובטחים עבור כל קוד המקור (ראה ISO 27002 בקרות 8.4 ו-8.9).
- יש להפעיל נהלי בקרת גרסאות מחמירים (ראה ISO 27002 בקרה 8.32).
- הצע לצוות הגנה על פרטיות והדרכה באבטחת יישומים (ראה ISO 27002 בקרה 8.28).
- ניתוח יכולת של מפתחים לאתר, למתן ולמגר פגיעויות (ראה ISO 27002 בקרה 8.28).
- תיעוד כל דרישות רישוי רווחות או עתידיות (ראה ISO 27002 בקרה 8.30).
תמיכה בבקרות ISO 27002
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.11.2.5 (סביבת פיתוח מאובטחת) ו-EU GDPR סעיף 25 (1)
מערכת ארגונית צריכה להיות מתוכננת, מתועדת, מיושמת ומתוחזקת תוך מחשבה על הגנת הפרטיות:
עקרונות הנדסה צריכים לנתח:
- מגוון רחב של בקרות אבטחה הנדרשות כדי להגן על PII מפני איומים ספציפיים וכלליים.
- עד כמה בקרות האבטחה מצוידות כדי להתמודד עם אירועי אבטחה גדולים.
- בקרות ממוקדות הנבדלות לתהליכים עסקיים בודדים.
- איפה ברשת ו אֵיך יש ליישם בקרות אבטחה.
- כיצד פקדים שונים פועלים בהרמוניה אחד עם השני.
עקרונות הנדסה צריכים לקחת בחשבון:
- אינטגרציה אדריכלית.
- אמצעי אבטחה טכניים (הצפנה, IAM, DAM וכו')
- עד כמה מצויד הארגון ליישם ולתחזק את הפתרון הנבחר.
- הנחיות לשיטות עבודה מומלצות בתעשייה.
הנדסת מערכות מאובטחת צריכה לכלול:
- עקרונות אדריכליים מבוססים היטב בתקן התעשייה.
- סקירת עיצוב רחבה שמזהה נקודות תורפה ועוזרת ליצור גישה מקצה לקצה לדבקות.
- חשיפה מלאה של בקרות אבטחה שאינן עומדות בדרישות הצפויות.
- התקשות המערכת.
ברירת המחדל של הארגון היא לגישת 'אפס אמון' לאבטחה.
כאשר הארגון מעביר פיתוח למיקור חוץ לארגוני צד שלישי, יש לעשות מאמצים להבטיח שעקרונות האבטחה של השותף מתאימים לעקרונות האבטחה של הארגון.
תמיכה בבקרות ISO 27002
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701 סעיף 7.4.2 (עיבוד מגבלה) וסעיף GDPR של האיחוד האירופי 25 (2)
ארגונים צריכים גם לעבד PII רק אם הוא רלוונטי, מידתי והכרחי כדי להגשים מטרה מוצהרת, כולל:
- גילוי.
- אחסון.
- נגישות.
תמיכה בסעיפים של ISO 27701 ובקרות ISO 27002
| מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
|---|---|---|
| סעיף 25 (3) של ה-EU GDPR | ISO 27701 5.2.1 | ללא חתימה |
| סעיף 25 (1)(ו) של EU GDPR | ISO 27701 6.10.2.4 |
ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
| סעיף 25 (1) של ה-EU GDPR | ISO 27701 6.11.2.1 |
ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
| סעיף 25 (1) של ה-EU GDPR | ISO 27701 6.11.2.5 |
ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
| סעיף 25 (2) של ה-EU GDPR | ISO 27701 7.4.2 | ללא חתימה |
כיצד ISMS.online עוזר
אנו מספקים לך סביבה בנויה מראש שבה תוכל לתאר ולהדגים כיצד אתה מגן על הנתונים של הלקוחות האירופים והאנגליים שלך.
לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי.
תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.
- ROPA קל
- תבניות הערכה
- מרחב מאובטח ל-DRR (בקשות זכויות נושא נתונים)
- ניהול הפרות
למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.
