כיצד להוכיח ציות ל-GDPR סעיף 28

מעבד

הזמן הדגמה

אישה,עובדת,בבית,משרד.קרוב,מעלה,יד,על,מחשב נייד,מקלדת.

סעיף 28 של GDPR מתייחס למיקור חוץ של פעילויות עיבוד נתונים לספקי שירותים ומתווה מסגרת משפטית לשיתוף פעולה כזה, הגנה על זכויות נושאי הנתונים והבטחת ציות.

GDPR סעיף 28 טקסט משפטי

גרסת GDPR של האיחוד האירופי

מעבד

  1. כאשר העיבוד אמור להתבצע מטעמו של בקר, הבקר ישתמש רק במעבדים המספקים ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו ויבטיח את ההגנה על הזכויות של נושא הנתונים.

  2. המעבד לא יעסיק מעבד אחר ללא אישור מראש ספציפי או כללי בכתב של הבקר. במקרה של הרשאה כללית בכתב, המעבד יידע את הבקר על כל שינוי מתוכנן הנוגע להוספה או החלפה של מעבדים אחרים, ובכך ייתן לבקר את האפשרות להתנגד לשינויים כאמור.

  3. עיבוד על ידי מעבד יהיה כפוף לחוזה או פעולה משפטית אחרת על פי דיני האיחוד או המדינות החברות, המחייבים את המעבד לגבי הבקר ואשר קובעים את נושא ומשך העיבוד, את אופיו ומטרתו של העיבוד, סוג הנתונים האישיים והקטגוריות של נושאי הנתונים והחובות והזכויות של הבקר. באותו חוזה או מעשה משפטי אחר יקבעו, במיוחד, כי המעבד:

    • (א) מעבד את הנתונים האישיים רק לפי הנחיות מתועדות מהבקר, לרבות בכל הנוגע להעברת נתונים אישיים למדינה שלישית או לארגון בינלאומי, אלא אם כן נדרש לעשות כן על פי חוק האיחוד או מדינת החברות שאליו כפוף המעבד; במקרה כזה, המעבד יודיע לבוקר על אותה דרישה משפטית לפני העיבוד, אלא אם כן חוק זה אוסר מידע כזה מטעמים חשובים של אינטרס ציבורי.

    • (ב) מבטיח שאנשים המורשים לעבד את הנתונים האישיים התחייבו לחיסיון או שהם תחת חובת סודיות חוקתית מתאימה.

    • (ג) נוקט בכל האמצעים הנדרשים בהתאם לסעיף 32.

    • (ד) מכבד את התנאים האמורים בפסקאות 2 ו-4 להעסקת מעבד אחר.

    • (ה) בהתחשב באופי העיבוד, מסייעת לבקרה באמצעים טכניים וארגוניים מתאימים, ככל שניתן, למילוי חובת המבקר להיענות לבקשות למימוש זכויות נשוא המידע הקבועות בפרק ג'. .

    • (ו) מסייע לבקר בהבטחת עמידה בהתחייבויות לפי סעיפים 32 עד 36 תוך התחשבות באופי העיבוד ובמידע העומד לרשות המעבד.

    • (ז) לפי בחירתו של המבקר, מוחק או מחזיר את כל הנתונים האישיים לבקר לאחר סיום מתן השירותים הנוגעים לעיבוד, ומוחק עותקים קיימים אלא אם כן חוק האיחוד או מדינת החברות מחייב אחסון של הנתונים האישיים.

    • (ח) מעמיד לרשות המבקר את כל המידע הדרוש כדי להוכיח עמידה בחובות הקבועות בסעיף זה ולאפשר ולתרום לביקורות, לרבות בדיקות, הנערכות על ידי המבקר או מבקר אחר שהופקד על ידי המבקר.

      •  
      לגבי סעיף (ח) של הפסקה הראשונה, המעבד יודיע מיידית לבוקר אם, לדעתו, הוראה מפרה תקנה זו או הוראות אחרות של האיחוד או המדינות החברות בהגנה על מידע.

  4. כאשר מעבד מעסיק מעבד אחר לביצוע פעולות עיבוד ספציפיות מטעם המבקר, יוטלו על זה אותן חובות הגנת מידע כפי שנקבעו בחוזה או בפעולה משפטית אחרת בין הבקר לבין המעבד, כאמור בסעיף 3. מעבד אחר בדרך של חוזה או פעולה משפטית אחרת על פי דיני האיחוד או המדינות החברות, בפרט מתן ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו. אם אותו מעבד אחר לא יעמוד בהתחייבויותיו להגנת המידע, המעבד הראשוני יישאר באחריות מלאה כלפי הבקר לביצוע התחייבויותיו של אותו מעבד אחר.

  5. הקפדה של מעבד על קוד התנהגות מאושר כאמור בסעיף 40 או מנגנון הסמכה מאושר כאמור בסעיף 42 עשויה לשמש כמרכיב שבאמצעותו ניתן להוכיח ערבויות מספיקות כמפורט בסעיפים 1 ו-4 של סעיף זה. .

  6. מבלי לפגוע בחוזה פרטני בין הבקר למעבד, החוזה או המעשה המשפטי האחר הנזכר בסעיפים 3 ו-4 של סעיף זה עשויים להתבסס, כולו או חלקו, על סעיפים חוזיים סטנדרטיים הנזכרים בסעיפים 7 ו 8 לסעיף זה, לרבות כאשר הם חלק מהסמכה שניתנה לבקר או למעבד בהתאם לסעיפים 42 ו-43.

  7. הועדה רשאית לקבוע סעיפים חוזיים סטנדרטיים לעניינים הנזכרים בסעיפים 3 ו-4 לסעיף זה ובהתאם לנוהל הבדיקה האמור בסעיף 93(2).

  8. רשות מפקחת רשאית לאמץ סעיפים חוזיים סטנדרטיים לעניינים הנזכרים בסעיפים 3 ו-4 לסעיף זה ובהתאם למנגנון העקביות האמור בסעיף 63.

  9. החוזה או המעשה המשפטי האחר האמור בסעיפים 3 ו-4 יהיו בכתב, לרבות בצורה אלקטרונית.

  10. מבלי לפגוע בסעיפים 82, 83 ו-84, אם מעבד הפר תקנה זו על ידי קביעת מטרות ואמצעי העיבוד, יחשב המעבד כבעל שליטה לגבי אותו עיבוד.

קפוץ לנושא

גרסת GDPR בבריטניה

מעבד

  1. כאשר העיבוד אמור להתבצע מטעמו של בקר, הבקר ישתמש רק במעבדים המספקים ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו ויבטיח את ההגנה על הזכויות של נושא הנתונים.

  2. המעבד לא יעסיק מעבד אחר ללא אישור מראש ספציפי או כללי בכתב של הבקר. במקרה של הרשאה כללית בכתב, המעבד יידע את הבקר על כל שינוי מתוכנן הנוגע להוספה או החלפה של מעבדים אחרים, ובכך ייתן לבקר את האפשרות להתנגד לשינויים כאמור.

  3. על העיבוד על ידי מעבד יחולו חוזה או מעשה משפטי אחר על פי הדין הפנימי, המחייב את המעבד לגבי הבקר ואשר קובע את נושא ומשך העיבוד, מהות ומטרת העיבוד. , סוג הנתונים האישיים והקטגוריות של נושאי המידע והחובות והזכויות של הבקר. באותו חוזה או מעשה משפטי אחר יקבעו, במיוחד, כי המעבד:

    • (א) מעבד את הנתונים האישיים רק לפי הנחיות מתועדות מהבקר, לרבות בכל הנוגע להעברת נתונים אישיים למדינה שלישית או לארגון בינלאומי, אלא אם כן נדרש לעשות כן על פי הדין הפנימי שאליו כפוף המעבד; במקרה כזה, המעבד יודיע לבוקר על אותה דרישה משפטית לפני העיבוד, אלא אם כן חוק זה אוסר מידע כזה מטעמים חשובים של אינטרס ציבורי.

    • (ב) מבטיח שאנשים המורשים לעבד את הנתונים האישיים התחייבו לחיסיון או שהם תחת חובת סודיות חוקתית מתאימה.

    • (ג) נוקט בכל האמצעים הנדרשים בהתאם לסעיף 32.

    • (ד) מכבד את התנאים האמורים בפסקאות 2 ו-4 להעסקת מעבד אחר.

    • (ה) בהתחשב באופי העיבוד, מסייעת לבקרה באמצעים טכניים וארגוניים מתאימים, ככל שניתן, למילוי חובת המבקר להיענות לבקשות למימוש זכויות נשוא המידע הקבועות בפרק ג'. .

    • (ו) מסייע לבקר בהבטחת עמידה בהתחייבויות לפי סעיפים 32 עד 36 תוך התחשבות באופי העיבוד ובמידע העומד לרשות המעבד.

    • (ז) על פי בחירתו של המבקר, מוחק או מחזיר את כל הנתונים האישיים לבקר לאחר סיום מתן השירותים הנוגעים לעיבוד, ומוחק עותקים קיימים אלא אם כן החוק הפנימי מחייב שמירה של הנתונים האישיים.

    • (ח) מעמיד לרשות המבקר את כל המידע הדרוש כדי להוכיח עמידה בחובות הקבועות בסעיף זה ולאפשר ולתרום לביקורות, לרבות בדיקות, הנערכות על ידי המבקר או מבקר אחר שהופקד על ידי המבקר.
       
      לגבי סעיף (ח) של סעיף ראשון, המעבד יודיע מיידית לבוקר אם, לדעתו, הוראה מפרה תקנה זו או חוק פנימי אחר הנוגע לחובות הגנת מידע.

  4. כאשר מעבד מעסיק מעבד אחר לביצוע פעולות עיבוד ספציפיות מטעם המבקר, יוטלו על זה אותן חובות הגנת מידע כפי שנקבעו בחוזה או בפעולה משפטית אחרת בין הבקר לבין המעבד, כאמור בסעיף 3. מעבד אחר בדרך של חוזה או פעולה משפטית אחרת על פי הדין הפנימי, במיוחד מתן ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו. אם אותו מעבד אחר לא יעמוד בהתחייבויותיו להגנת המידע, המעבד הראשוני יישאר באחריות מלאה כלפי הבקר לביצוע התחייבויותיו של אותו מעבד אחר.

  5. הקפדה של מעבד על קוד התנהגות מאושר כאמור בסעיף 40 או מנגנון הסמכה מאושר כאמור בסעיף 42 עשויה לשמש כמרכיב שבאמצעותו ניתן להוכיח ערבויות מספיקות כמפורט בסעיפים 1 ו-4 של סעיף זה. .

  6. מבלי לפגוע בחוזה אינדיבידואלי בין הבקר לבין המעבד, החוזה או המעשה המשפטי האחר הנזכר בסעיפים 3 ו-4 של סעיף זה עשויים להתבסס, כולו או חלקו, על סעיפים חוזיים סטנדרטיים הנזכרים בסעיף 8 של סעיף זה, לרבות כאשר הם חלק מאישור שניתן לבקר או למעבד בהתאם לסעיפים 42 ו-43.

  7. הממונה רשאי לאמץ סעיפים חוזיים סטנדרטיים לעניינים האמורים בסעיפים 3 ו-4 לסעיף זה.

  8. החוזה או המעשה המשפטי האחר האמור בסעיפים 3 ו-4 יהיו בכתב, לרבות בצורה אלקטרונית.

  9. מבלי לפגוע בסעיפים 82, 83 ו-84, אם מעבד הפר תקנה זו על ידי קביעת מטרות ואמצעי העיבוד, יחשב המעבד כבעל שליטה לגבי אותו עיבוד.

פרשנות טכנית

סעיף 28 של GDPR עוסק ב-8 תחומים מרכיבים, שקובעים כיצד ניתן להעביר פעילויות עיבוד נתונים במיקור חוץ לספקי שירותים של צד שלישי:

  1. הדרישות המינימליות הדרושות על מנת להשתמש בספק שירות.

  2. התקשרות נוספת על ידי מעבדים אחרים, לאחר שספק השירות הועסק עמו.

  3. הצורך בחוזה בכתב מחייב משפטית.

  4. עיבוד משנה (קבלנות משנה).

  5. קודים של התנהגות.

  6. סעיפים חוזיים.

  7. דרישות טופס.

  8. השלכות משפטיות בעקבות הפרת חוזה.

ראה ISMS.online
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
ויויאן קרונר
מיישם מוביל של ISO 27001, 27701 ו-GDPR אפריאן העולמית
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

ISO 27701 סעיף 5.2.1 (הבנת הארגון וההקשר שלו) ו-EU GDPR סעיף 28

בסעיף זה אנו מדברים על GDPR סעיפים 28 (10), 28 (5) ו-28 (6)

ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.

הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.

לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.

זה כולל:

  1. סקירת כל חוקי הפרטיות, התקנות או 'החלטות שיפוטיות' הרווחות.

  2. תוך התחשבות במערך הדרישות הייחודי של הארגון הנוגע לסוג המוצרים והשירות שהם מוכרים, ומסמכי ממשל, מדיניות ונהלים ספציפיים לחברה.

  3. כל הגורמים האדמיניסטרטיביים, לרבות התנהלות שוטפת של החברה.

  4. הסכמי צד שלישי או חוזי שירות שיש להם פוטנציאל להשפיע על PII והגנת הפרטיות.

ISO 27701 סעיף 6.12.1.2 (טיפול באבטחה במסגרת הסכמי ספקים) וסעיף 28 של ה-EU GDPR

בסעיף זה אנו מדברים על GDPR סעיפים 28 (3)(ב), (1), (3)(א), (3)(ב), (3)(ג), (3)(ד), (3) )(ה), (3)(ו), (3)(ג) ו-(3)(ח)

כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.

בעשותם זאת, ארגונים צריכים:

  • הציעו תיאור ברור המפרט את פרטי הפרטיות שאליו יש לגשת, וכיצד יש לגשת למידע זה.

  • סווגו את פרטי הפרטיות שאליהם יש לגשת בהתאם לתכנית סיווג מקובלת (ראה ISO 27002 בקרות 5.10, 5.12 ו-5.13).

  • תנו שיקול נאות לתכנית הסיווג של הספקים עצמו.

  • סיווג זכויות לארבעה תחומים עיקריים - משפטיים, סטטוטוריים, רגולטוריים וחוזיים - עם תיאור מפורט של חובות לכל תחום.

  • ודא שכל צד מחויב לחוקק סדרה של בקרות המנטרות, מעריכות ומנהלות את רמות הסיכון של אבטחת מידע פרטיות.

  • תאר את הצורך של אנשי ספקים לעמוד בתקני אבטחת המידע של ארגון (ראה ISO 27002 בקרה 5.20).

  • הקל על הבנה ברורה של מה מהווה שימוש מקובל ובלתי מקובל במידע פרטיות ובנכסים פיזיים ווירטואליים משני הצדדים.

  • קבע בקרות הרשאות הנדרשות לאנשי צד הספק כדי לגשת או להציג מידע פרטיות של ארגון.

  • קחו בחשבון מה קורה במקרה של הפרת חוזה, או כל אי עמידה בתנאים פרטניים.

  • תאר נוהל ניהול תקריות, כולל איך מועברים אירועים גדולים.

  • ודא כי הצוות מקבל הדרכה למודעות אבטחה.

  • (אם הספק מורשה להשתמש בקבלני משנה) הוסיפו דרישות כדי להבטיח שקבלני המשנה יהיו מיושרים עם אותה סט של תקני אבטחת מידע פרטיות כמו הספק.

  • שקול כיצד צוות הספק נבדק לפני אינטראקציה עם מידע פרטיות.

  • לקבוע את הצורך באישורים של צד שלישי המתייחסים ליכולתו של הספק למלא את דרישות אבטחת המידע של פרטיות ארגונית.

  • בעלי הזכות החוזית לבקר את נהלי הספק.

  • לדרוש מהספקים לספק דוחות המפרטים את האפקטיביות של התהליכים והנהלים שלהם.

  • התמקד בנקיטת צעדים כדי להשפיע על פתרון בזמן ויסודי של כל ליקוי או קונפליקטים.

  • ודא שספקים פועלים עם מדיניות BUDR נאותה, כדי להגן על היושרה והזמינות של PII ונכסים הקשורים לפרטיות.

  • דרשו מדיניות ניהול שינויים בצד הספק המיידעת את הארגון על כל שינוי שיש לו פוטנציאל להשפיע על הגנת הפרטיות.

  • הטמע בקרות אבטחה פיזיות פרופורציונליות לרגישות הנתונים המאוחסנים ומעובדים.

  • (לאן יש להעביר נתונים) בקש מהספקים לוודא שהנתונים והנכסים מוגנים מפני אובדן, נזק או שחיתות.

  • ציין רשימה של פעולות שיש לנקוט על ידי כל אחד מהצדדים במקרה של סיום.

  • בקש מהספק לתאר כיצד הוא מתכוון להשמיד מידע פרטיות לאחר סיום, או שהנתונים אינם נדרשים עוד.

  • נקוט בצעדים כדי להבטיח הפרעה עסקית מינימלית במהלך תקופת מסירה.

ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.

תמיכה בבקרות ISO 27002

  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13
  • ISO 27002 5.20

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

ISO 27701 סעיף 6.15.1.1 (זיהוי חקיקה ישימה ודרישות חוזיות) ו-EU GDPR סעיף 28

בסעיף זה אנו מדברים על GDPR סעיפים 28 (1), (3)(א), (3)(ב), (3)(ג), (3)(ד), (3)(ה), (3) )(ו), (3)(ג) ו-(3)(ח)

ארגונים צריכים לציית לדרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות כאשר:

  1. ניסוח ו/או תיקון נהלי אבטחת מידע פרטיות.

  2. סיווג מידע.

  3. יציאה להערכות סיכונים הקשורות לפעילויות אבטחת מידע פרטיות.

  4. גיבוש קשרי ספקים, לרבות התחייבויות חוזיות לאורך שרשרת האספקה.

ארגונים צריכים לפעול לפי נהלים המאפשרים להם לזהות, לנתח ו להבין חובות חקיקה ורגולטוריות - במיוחד אלה העוסקות בהגנה על פרטיות ובפרטיות מידע - בכל מקום שבו הן פועלות.

ארגונים צריכים להיות מודעים ללא הרף לחובותיהם להגנת הפרטיות בכל פעם שהם נכנסים להסכמים חדשים עם צדדים שלישיים, ספקים וקבלנים.

בעת פריסת שיטות הצפנה לחיזוק הגנת הפרטיות ושמירה על PII, ארגונים צריכים:

  • שים לב לכל החוקים המסדירים את הייבוא ​​והייצוא של חומרה או תוכנה שיש להם פוטנציאל למלא פונקציה קריפטוגרפית.

  • לספק גישה למידע מוצפן במסגרת החוקים של תחום השיפוט שבו הם פועלים.

  • השתמש בשלושה מרכיבי מפתח של הצפנה:

    1. חתימה דיגיטלית.

    2. כלבי ים.

    3. תעודות דיגיטליות.

תמיכה בבקרות ISO 27002

  • ISO 27002 5.20

ISO 27701 סעיף 7.2.6 (חוזים עם מעבדי PII) וסעיפים GDPR של האיחוד האירופי 28(3)(ה) ו-28(9)

ארגונים צריכים לתאר את הפרטים של כל הסדר משותף לעיבוד PII, עם בקר PII נלווה - זה כולל אמצעי הגנה כלליים וכל דרישות האבטחה הנלוות.

התפקידים והאחריות צריכים להיות ברורים וחד משמעיים, ומתוווים במסמך משפטי מחייב (המכונה לפעמים 'הסכם שיתוף נתונים').

הסכמים יכולים לכלול (בין האמצעים האחרים):

  • מדוע משותף PII.

  • קטגוריות נתונים.

  • סקירה כללית של פעולת עיבוד PII.

  • כל תפקיד ותחומי אחריות רלוונטיים.

  • כיצד יש לשלוט באבטחת מידע פרטיות.

  • אילו פעולות יש לנקוט במקרה של הפרת מידע.

  • כיצד יש לשמור PII ולהרוס כאשר אין צורך עוד.

  • מה קורה כאשר מי מהצדדים מפר הסכם.

  • מהן החובות של כל אחד מהצדדים כלפי מנהלי PII.

  • אילו מנגנונים קיימים כדי לספק למנהלי PII פרטים רלוונטיים של ההסכם המשותף.

  • כיצד מנהלי PII יכולים להגיש בקשות רשמיות, וכיצד לנסח ולמסור תגובה.

  • נקודות מגע - הן פנימיות והן לניצול של מנהלי PII.

ISO 27701 סעיף 8.2.1 (הסכם לקוח) ו-EU GDPR סעיף 28

בסעיף זה אנו מדברים על GDPR סעיפים 28 (3)(ה) ו-28 (3)(ו) ו-28 (9)

חוזי לקוחות צריכים לכלול:

  • המושג 'פרטיות לפי עיצוב' (ראה ISO 27701 סעיפים 7.4 ו-8.4).

  • כיצד הארגון מתכוון להשיג אבטחת עיבוד.

  • כיצד יש לדווח על הפרות, כולל לקוחות, מנהלים ורשויות רגולטוריות.

  • איך הערכות השפעה על פרטיות יש לטפל בהם.

  • אישור על כוונת הארגון לספק סיוע לרשויות הגנת PII.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.4
  • ISO 27701 8.4

ראה כיצד נוכל לעזור לך

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISO 27701 סעיף 8.2.2 (מטרות הארגון) ו-EU GDPR סעיף 28 (3)(א)

חוזים צריכים לכלול SLAs המתייחסים ליעדים הדדיים, וכל טווחי זמן קשורים בהם יש להשלים אותם.

ארגונים צריכים להכיר בזכותם לבחור בשיטות הייחודיות המשמשות לעיבוד PII, המשיגות באופן חוקי את מה שהלקוח מחפש, אך ללא צורך בקבלת הרשאות מפורטות לגבי האופן שבו הארגון מתנהל בעניין ברמה הטכנית.

ISO 27701 סעיף 8.2.4 (הוראות מפרות) ו-EU GDPR סעיף 28 (3)(h)

ארגונים צריכים לשמור על הבנת עבודה יסודית של האופן שבו להוראות יש פוטנציאל להתנגש עם חקיקה או חובות רגולטוריות ישימות.

הפרות מתרחשות בדרך כלל סביב שלושה גורמים.

  1. איך משתמשים בטכנולוגיה.

  2. הנחת היסוד של ההוראה.

  3. כל התחייבות חוזית.

ISO 27701 סעיף 8.2.5 (חובות לקוחות) ו-EU GDPR סעיף 28 (3)(h)

ארגונים צריכים להיות מסוגלים לספק ללקוחותיהם מידע מספיק, כך שלקוחות יוכלו לעמוד בהתחייבויותיהם בכל זמן נתון.

המידע הנדרש יכול לשלב מגוון רחב של פונקציות, אך לרוב קשור לביקורות פנימיות, ולתפקיד הארגון בהקלתן באמצעות אספקת מידע.

ISO 27701 סעיף 8.3.1 (חובות למנהלי PII) ו-EU GDPR סעיף 28 (3)(h)

חובות הבקר נשלטים על ידי שלושה גורמים:

  1. חֲקִיקָה.

  2. תַקָנָה.

  3. חוזים.

חוזים צריכים לכלול כל מידע or פעולות טכניות המאפשרים לארגון למלא את התחייבויותיו כבקר.

ISO 27701 סעיף 8.4.2 (החזרה, העברה או סילוק של PII) ו-EU GDPR סעיף 28 (3)(g)

ישנם תרחישים שונים הדורשים סילוק PII, כולל (אך לא רק):

  • החזרת כל PII ללקוח.

  • מתן ה-PII לארגון אחר.

  • הורס מידע.

  • ביטול זיהוי.

  • אחסון בארכיון.

ארגונים צריכים לספק הבטחות קטגוריות שכל PII שאין בו צורך עוד יושמד בהתאם לכל חקיקה או הנחיות אזוריות.

כל פוליסות ההשלכה צריכות להיות זמינות ללקוח לפי דרישה, וצריכות לכסות את פרק הזמן שארגונים צריכים להרוס PII, לאחר סיום החוזה.

ISO 27701 סעיף 8.5.4 (הודעה על בקשות לגילוי PII) ו-EU GDPR סעיף 28 (3)(א)

ארגונים צריכים לנסח נוהל שקובע את האופן שבו מודיעים למנהלי PII על בקשות צד שלישי מחייבות למידע שלהם, כולל מסגרת זמן סבירה ותניה חוזית המתארת ​​את התהליך כולו.

מעל הכל, ארגונים צריכים להיענות לבקשות של רשויות אכיפת החוק, בעלי הזכות לבקש שהלקוח לא יודיע על כל בקשה, ולוודא שהם לא עוברים על שום חוק על ידי יידוע הלקוח בטעות או בכוונה על המצב.

ראה את הפלטפורמה שלנו
בִּפְעוּלָה

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

פשט את התאימות שלך
קבלו את המדריך בחינם

ISO 27701 סעיף 8.5.6 (חשיפה של קבלני משנה המשמשים לעיבוד PII) וסעיפים GDPR של האיחוד האירופי 28 (2) ו-(28)(4)

כל ההוראות לשימוש בקבלני משנה צריכות להיות רשומות ככאלה בתוך חוזה ה-SLA/הלקוח.

מידע על קבלני משנה צריך לכלול:

  • שם קבלני המשנה.

  • כל המדינות שאליהן קבלן המשנה מסוגל להעביר נתונים (ראה ISO 27701 סעיף 8.5.2), כך שהלקוח יוכל ליידע את כל מנהלי PII.

  • כיצד קבלן המשנה צפוי לענות על צרכי הארגון (ראה ISO 27701 סעיף 8.5.7).

יש לנסח מסמכי NDA כדי לחשוף כל מידע שיהווה סיכון אבטחה מוגבר אם ייחשף בפומבי.

תמיכה בסעיפים ISO 27701

  • ISO 27701 8.5.2
  • ISO 27701 8.5.7

ISO 27701 סעיף 8.5.7 (התקשרות של קבלן משנה לעיבוד PII) וסעיפים GDPR של האיחוד האירופי 28 (2) ו-28 (3)(ד)

ארגונים צריכים לקבל אישור בכתב מהלקוחות שלהם, לפני כל PII שיעובד על ידי ארגון צד שלישי.

קבלני משנה צריכים להיות כפופים להסכם מחייב (בדרך כלל בצורה של חוזה כתוב), המבטיח שקבלני משנה מבינים את חובותיהם כלפי יישום הבקרות המפורטות בנספח B ISO 27701.

חוזים צריכים לקחת בחשבון תהליכי הערכת סיכונים שונים (ראה ISO 27701 סעיף 5.4.1.2), ואת כל היקף פעולת עיבוד ה-PII של הארגון (ראה ISO 27701 סעיף 6.12). כאמור לעיל, יש להקפיד על כל הבקרות המפורטות בנספח ב', עם כל ההשמטה הרשומה, לצד ההצדקות לכך.

תמיכה בסעיפים ISO 27701

  • ISO 27701 5.4.1.2
  • ISO 27701 6.12

ISO 27701 סעיף 8.4 (שינוי קבלן משנה לתהליך PII) ו-EU GDPR GDPR סעיף 28 (2)

בכל פעם שעולה צורך לשנות את האופן שבו הארגון מוציא כל מרכיב בפעולת עיבוד ה-PII שלו למיקור חוץ, יש ליידע את הלקוחות על השינויים זמן רב מראש על מנת לתת להם זמן להטיל ספק או להתנגד לשינויים האמורים.

חוזים צריכים לכלול סעיפים המספקים אישור בכתב מהלקוח להמשיך בשינוי, לפני עיבוד מידע אישי כלשהו.

ארגונים עשויים גם לבקש אישור לשינויים במסגרת הסכמים כתובים אד-הוק, מחוץ לכל תנאי חוזי.

תמיכה בסעיפים של ISO 27701 ובקרות ISO 27002

מאמר GDPRסעיף ISO 27701בקרות ISO 27002
האיחוד האירופי GDPR סעיפים 28 (3)(ב) עד (3)(ח)6.12.1.25.10
5.12
5.13
5.20
האיחוד האירופי GDPR סעיפים 28 (1) עד (3)(ח)6.15.1.15.20
האיחוד האירופי GDPR סעיפים 28 (3)(ה) ו-28 (9)7.2.6ללא חתימה
האיחוד האירופי GDPR סעיפים 28 (3)(ה) עד 28 (9)8.2.1
7.4
8.4		ללא חתימה
סעיף 28 (3)(א) של EU GDPR8.2.2ללא חתימה
סעיף 28 (3)(ח) של EU GDPR8.2.4ללא חתימה
סעיף 28 (3)(ח) של EU GDPR8.2.5ללא חתימה
סעיף 28 (3)(ח) של EU GDPR8.3.1ללא חתימה
סעיף 28 (3)(g) של EU GDPR8.4.2ללא חתימה
סעיף 28 (3)(א) של EU GDPR8.5.4ללא חתימה
סעיפים 28 (2) ו-28 (4) של האיחוד האירופי GDPR8.5.6
8.5.2
8.5.7		ללא חתימה
האיחוד האירופי GDPR סעיפים 28 (2) ו-28 (3)(ד)8.5.7
5.4.1.2
6.12		ללא חתימה
סעיף 28 (2) של ה-EU GDPR 8.4ללא חתימה

כיצד ISMS.online עוזר

נבנה לפי ISO 27701, מיושר לתקנות אחרות.

עם ISO 27701, אתה יכול ליצור מערכת ניהול מידע פרטיות התואמת לרוב תקנות הפרטיות. זה כולל את האיחוד האירופי ומרגולצית הנתונים הכללית, BS 10012 ו-POPIA של דרום אפריקה.

אתה יכול לעקוב בקלות אחר התקן הבינלאומי עם התוכנה המפושטת, המאובטחת ובת קיימא שלנו.

פלטפורמת ה-all-in-one שאנו מספקים מבטיחה שעבודת הפרטיות שלך תואמת את ISO 27701 ועומדת בדרישות שלו.

למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.

אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.

פיטר ריסדון
CISO, ויטל

הזמן את ההדגמה שלך

אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
מארק וייטמן
מנהל טכני ראשי אלומה
100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה
הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף