GDPR סעיף 27 עוסק במידה רבה בהגנה על זכויותיהם של אזרחי בריטניה (או האיחוד האירופי), במקרה שהנתונים שלהם יעובדו על ידי ארגונים מחוץ למדינת הולדתם (או מחוץ לאיחוד הפוליטי המתגורר שלהם), בעיקר באמצעות מינוי נציג רשמי.
נציגים של בקרים או מעבדים שאינם מבוססים באיחוד
- כאשר סעיף 3(2) חל, הבקר או המעבד יקבעו בכתב נציג באיחוד.
- החובה הקבועה בסעיף 1 של סעיף זה לא תחול על:
- עיבוד שהוא מזדמן, אינו כולל, בקנה מידה גדול, עיבוד של קטגוריות מיוחדות של נתונים כמפורט בסעיף 9(1) או עיבוד של נתונים אישיים הנוגעים להרשעות ועבירות פליליות הנזכרות בסעיף 10, ולא סביר לגרום לסיכון לזכויות וחירויות של אנשים טבעיים, תוך התחשבות באופי, בהקשר, בהיקף ובמטרות העיבוד; אוֹ
- רשות ציבורית או גוף.
- הנציג יוקם באחת המדינות החברות שבהן נמצאים נושאי הנתונים, שהנתונים האישיים שלהם מעובדים ביחס להצעת סחורות או שירותים להם, או שהתנהגותם מפוקחת.
- הנציג יקבל סמכות על ידי הבקר או המעבד לפנות אליו בנוסף או במקום לבקר או המעבד על ידי, בפרט, רשויות פיקוח ונושאי מידע, בכל הנושאים הקשורים לעיבוד, למטרות הבטחת ציות לאמור. תַקָנָה.
- מינוי נציג על ידי הבקר או המעבד לא יפגע בפעולות משפטיות שעלולות להינקט נגד הבקר או המעבד עצמם.
נציגים של בקרים או מעבדים שאינם מבוססים בבריטניה
- כאשר סעיף 3(2) חל, הבקר או המעבד יקבעו בכתב נציג בבריטניה.
- החובה הקבועה בסעיף 1 של סעיף זה לא תחול על:
- עיבוד שהוא מזדמן, אינו כולל, בקנה מידה גדול, עיבוד של קטגוריות מיוחדות של נתונים כמפורט בסעיף 9(1) או עיבוד של נתונים אישיים הנוגעים להרשעות ועבירות פליליות הנזכרות בסעיף 10, ולא סביר לגרום לסיכון לזכויות וחירויות של אנשים טבעיים, תוך התחשבות באופי, בהקשר, בהיקף ובמטרות העיבוד; אוֹ
- רשות ציבורית או גוף.
- הנציג יקבל הסמכות על ידי הבקר או המעבד לפנות אליו בנוסף או במקום לבקר או המעבד על ידי, במיוחד, הממונה ונושאי המידע, בכל הנושאים הקשורים לעיבוד, למטרות הבטחת ציות לאמור. תַקָנָה.
- מינוי נציג על ידי הבקר או המעבד לא יפגע בפעולות משפטיות שעלולות להינקט נגד הבקר או המעבד עצמם.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
המשך הציות נמדד ב-GDPR סעיף 27 באמצעות ארבעה תחומים עיקריים:
בסעיף זה אנו מדברים על GDPR סעיפים 27 (1), (2)(א), (2)(ב), (3), (4) ו-(5)
ארגונים צריכים להגדיר תפקידים ואחריות שהם ספציפיים לפונקציות בודדות הכלולים במדיניות הגנת הפרטיות שלהם - הן המדיניות הכללית והן המדיניות הספציפית לנושא.
אנשים עם אחריות ספציפית צריכים להיות מיומנים מספיק כדי לבצע משימות הקשורות לפרטיות, שצריכות לכלול:
ISO מכירה בכך שכל ארגון הוא ייחודי באופן שבו הם מעבדים מידע. תחומי האחריות הנ"ל צריכים להיות מלווים בהנחיות ספציפיות לאתר ולמתקן הלוקחות בחשבון גורמים בעולם האמיתי המשפיעים על פעולת עיבוד PII של הארגון.
יש לתעד בבירור את כל האחריות ואזורי האבטחה לעיל ולהיות זמינים לכל אנשי הצוות הרלוונטיים.
ארגונים צריכים למנות אדם שלקוחות (ורשויות חיצוניות) יוכלו להשתמש בו כנקודת קשר ייעודית לכל הנושאים הקשורים ל-PII (ראה ISO 27701 סעיף 7.3.2).
בנוסף, ארגונים צריכים להאציל אחריות לאדם אחד או יותר לבניית תוכנית ניהול פרטיות ארגונית שתחזק את הציות לחוקים ולתקנות PII מקומיים ולאומיים.
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| האיחוד האירופי GDPR סעיפים 27 (1) עד (5) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
יש לנו תכונות קלות לשימוש המאפשרות לך להתחיל לעבוד על פרטיות הנתונים ברגע שאתה מתחבר, ללא קשר אם אתה טירון או מומחה המעוניין לשלב מספר תקנים ותקנות.
מיפוי נתונים קל עם פתרון ה-PIMS שלנו. באמצעות הכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות, תוכל להקליט ולסקור את הכל בקלות.
אם אתה עובד על תקני פרטיות או תקנות, תצטרך להוכיח שאתה מנהל היטב בקשות לזכויות נושאי מידע (DRR). מרחב ה-DRR המאובטח שלנו שומר את הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.
גלה כיצד נוכל לעזור לך השג את יעדי ה-GDPR שלך על ידי הזמנת הדגמה של 30 דקות.
