סעיף 28 של GDPR מתייחס למיקור חוץ של פעילויות עיבוד נתונים לספקי שירותים ומתווה מסגרת משפטית לשיתוף פעולה כזה, הגנה על זכויות נושאי הנתונים והבטחת ציות.
מעבד
- כאשר העיבוד אמור להתבצע מטעמו של בקר, הבקר ישתמש רק במעבדים המספקים ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו ויבטיח את ההגנה על הזכויות של נושא הנתונים.
- המעבד לא יעסיק מעבד אחר ללא אישור מראש ספציפי או כללי בכתב של הבקר. במקרה של הרשאה כללית בכתב, המעבד יידע את הבקר על כל שינוי מתוכנן הנוגע להוספה או החלפה של מעבדים אחרים, ובכך ייתן לבקר את האפשרות להתנגד לשינויים כאמור.
- עיבוד על ידי מעבד יהיה כפוף לחוזה או פעולה משפטית אחרת על פי דיני האיחוד או המדינות החברות, המחייבים את המעבד לגבי הבקר ואשר קובעים את נושא ומשך העיבוד, את אופיו ומטרתו של העיבוד, סוג הנתונים האישיים והקטגוריות של נושאי הנתונים והחובות והזכויות של הבקר. באותו חוזה או מעשה משפטי אחר יקבעו, במיוחד, כי המעבד:
- (א) מעבד את הנתונים האישיים רק לפי הנחיות מתועדות מהבקר, לרבות בכל הנוגע להעברת נתונים אישיים למדינה שלישית או לארגון בינלאומי, אלא אם כן נדרש לעשות כן על פי חוק האיחוד או מדינת החברות שאליו כפוף המעבד; במקרה כזה, המעבד יודיע לבוקר על אותה דרישה משפטית לפני העיבוד, אלא אם כן חוק זה אוסר מידע כזה מטעמים חשובים של אינטרס ציבורי.
- (ב) מבטיח שאנשים המורשים לעבד את הנתונים האישיים התחייבו לחיסיון או שהם תחת חובת סודיות חוקתית מתאימה.
- (ג) נוקט בכל האמצעים הנדרשים בהתאם לסעיף 32.
- (ד) מכבד את התנאים האמורים בפסקאות 2 ו-4 להעסקת מעבד אחר.
- (ה) בהתחשב באופי העיבוד, מסייעת לבקרה באמצעים טכניים וארגוניים מתאימים, ככל שניתן, למילוי חובת המבקר להיענות לבקשות למימוש זכויות נשוא המידע הקבועות בפרק ג'. .
- (ו) מסייע לבקר בהבטחת עמידה בהתחייבויות לפי סעיפים 32 עד 36 תוך התחשבות באופי העיבוד ובמידע העומד לרשות המעבד.
- (ז) לפי בחירתו של המבקר, מוחק או מחזיר את כל הנתונים האישיים לבקר לאחר סיום מתן השירותים הנוגעים לעיבוד, ומוחק עותקים קיימים אלא אם כן חוק האיחוד או מדינת החברות מחייב אחסון של הנתונים האישיים.
- (ח) מעמיד לרשות המבקר את כל המידע הדרוש כדי להוכיח עמידה בחובות הקבועות בסעיף זה ולאפשר ולתרום לביקורות, לרבות בדיקות, הנערכות על ידי המבקר או מבקר אחר שהופקד על ידי המבקר.
לגבי סעיף (ח) של הפסקה הראשונה, המעבד יודיע מיידית לבוקר אם, לדעתו, הוראה מפרה תקנה זו או הוראות אחרות של האיחוד או המדינות החברות בהגנה על מידע.- כאשר מעבד מעסיק מעבד אחר לביצוע פעולות עיבוד ספציפיות מטעם המבקר, יוטלו על זה אותן חובות הגנת מידע כפי שנקבעו בחוזה או בפעולה משפטית אחרת בין הבקר לבין המעבד, כאמור בסעיף 3. מעבד אחר בדרך של חוזה או פעולה משפטית אחרת על פי דיני האיחוד או המדינות החברות, בפרט מתן ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו. אם אותו מעבד אחר לא יעמוד בהתחייבויותיו להגנת המידע, המעבד הראשוני יישאר באחריות מלאה כלפי הבקר לביצוע התחייבויותיו של אותו מעבד אחר.
- הקפדה של מעבד על קוד התנהגות מאושר כאמור בסעיף 40 או מנגנון הסמכה מאושר כאמור בסעיף 42 עשויה לשמש כמרכיב שבאמצעותו ניתן להוכיח ערבויות מספיקות כמפורט בסעיפים 1 ו-4 של סעיף זה. .
- מבלי לפגוע בחוזה פרטני בין הבקר למעבד, החוזה או המעשה המשפטי האחר הנזכר בסעיפים 3 ו-4 של סעיף זה עשויים להתבסס, כולו או חלקו, על סעיפים חוזיים סטנדרטיים הנזכרים בסעיפים 7 ו 8 לסעיף זה, לרבות כאשר הם חלק מהסמכה שניתנה לבקר או למעבד בהתאם לסעיפים 42 ו-43.
- הועדה רשאית לקבוע סעיפים חוזיים סטנדרטיים לעניינים הנזכרים בסעיפים 3 ו-4 לסעיף זה ובהתאם לנוהל הבדיקה האמור בסעיף 93(2).
- רשות מפקחת רשאית לאמץ סעיפים חוזיים סטנדרטיים לעניינים הנזכרים בסעיפים 3 ו-4 לסעיף זה ובהתאם למנגנון העקביות האמור בסעיף 63.
- החוזה או המעשה המשפטי האחר האמור בסעיפים 3 ו-4 יהיו בכתב, לרבות בצורה אלקטרונית.
- מבלי לפגוע בסעיפים 82, 83 ו-84, אם מעבד הפר תקנה זו על ידי קביעת מטרות ואמצעי העיבוד, יחשב המעבד כבעל שליטה לגבי אותו עיבוד.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
מעבד
- כאשר העיבוד אמור להתבצע מטעמו של בקר, הבקר ישתמש רק במעבדים המספקים ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו ויבטיח את ההגנה על הזכויות של נושא הנתונים.
- המעבד לא יעסיק מעבד אחר ללא אישור מראש ספציפי או כללי בכתב של הבקר. במקרה של הרשאה כללית בכתב, המעבד יידע את הבקר על כל שינוי מתוכנן הנוגע להוספה או החלפה של מעבדים אחרים, ובכך ייתן לבקר את האפשרות להתנגד לשינויים כאמור.
- על העיבוד על ידי מעבד יחולו חוזה או מעשה משפטי אחר על פי הדין הפנימי, המחייב את המעבד לגבי הבקר ואשר קובע את נושא ומשך העיבוד, מהות ומטרת העיבוד. , סוג הנתונים האישיים והקטגוריות של נושאי המידע והחובות והזכויות של הבקר. באותו חוזה או מעשה משפטי אחר יקבעו, במיוחד, כי המעבד:
- (א) מעבד את הנתונים האישיים רק לפי הנחיות מתועדות מהבקר, לרבות בכל הנוגע להעברת נתונים אישיים למדינה שלישית או לארגון בינלאומי, אלא אם כן נדרש לעשות כן על פי הדין הפנימי שאליו כפוף המעבד; במקרה כזה, המעבד יודיע לבוקר על אותה דרישה משפטית לפני העיבוד, אלא אם כן חוק זה אוסר מידע כזה מטעמים חשובים של אינטרס ציבורי.
- (ב) מבטיח שאנשים המורשים לעבד את הנתונים האישיים התחייבו לחיסיון או שהם תחת חובת סודיות חוקתית מתאימה.
- (ג) נוקט בכל האמצעים הנדרשים בהתאם לסעיף 32.
- (ד) מכבד את התנאים האמורים בפסקאות 2 ו-4 להעסקת מעבד אחר.
- (ה) בהתחשב באופי העיבוד, מסייעת לבקרה באמצעים טכניים וארגוניים מתאימים, ככל שניתן, למילוי חובת המבקר להיענות לבקשות למימוש זכויות נשוא המידע הקבועות בפרק ג'. .
- (ו) מסייע לבקר בהבטחת עמידה בהתחייבויות לפי סעיפים 32 עד 36 תוך התחשבות באופי העיבוד ובמידע העומד לרשות המעבד.
- (ז) על פי בחירתו של המבקר, מוחק או מחזיר את כל הנתונים האישיים לבקר לאחר סיום מתן השירותים הנוגעים לעיבוד, ומוחק עותקים קיימים אלא אם כן החוק הפנימי מחייב שמירה של הנתונים האישיים.
- (ח) מעמיד לרשות המבקר את כל המידע הדרוש כדי להוכיח עמידה בחובות הקבועות בסעיף זה ולאפשר ולתרום לביקורות, לרבות בדיקות, הנערכות על ידי המבקר או מבקר אחר שהופקד על ידי המבקר.
לגבי סעיף (ח) של סעיף ראשון, המעבד יודיע מיידית לבוקר אם, לדעתו, הוראה מפרה תקנה זו או חוק פנימי אחר הנוגע לחובות הגנת מידע.- כאשר מעבד מעסיק מעבד אחר לביצוע פעולות עיבוד ספציפיות מטעם המבקר, יוטלו על זה אותן חובות הגנת מידע כפי שנקבעו בחוזה או בפעולה משפטית אחרת בין הבקר לבין המעבד, כאמור בסעיף 3. מעבד אחר בדרך של חוזה או פעולה משפטית אחרת על פי הדין הפנימי, במיוחד מתן ערבויות מספיקות ליישום אמצעים טכניים וארגוניים מתאימים באופן שהעיבוד יעמוד בדרישות תקנה זו. אם אותו מעבד אחר לא יעמוד בהתחייבויותיו להגנת המידע, המעבד הראשוני יישאר באחריות מלאה כלפי הבקר לביצוע התחייבויותיו של אותו מעבד אחר.
- הקפדה של מעבד על קוד התנהגות מאושר כאמור בסעיף 40 או מנגנון הסמכה מאושר כאמור בסעיף 42 עשויה לשמש כמרכיב שבאמצעותו ניתן להוכיח ערבויות מספיקות כמפורט בסעיפים 1 ו-4 של סעיף זה. .
- מבלי לפגוע בחוזה אינדיבידואלי בין הבקר לבין המעבד, החוזה או המעשה המשפטי האחר הנזכר בסעיפים 3 ו-4 של סעיף זה עשויים להתבסס, כולו או חלקו, על סעיפים חוזיים סטנדרטיים הנזכרים בסעיף 8 של סעיף זה, לרבות כאשר הם חלק מאישור שניתן לבקר או למעבד בהתאם לסעיפים 42 ו-43.
- הממונה רשאי לאמץ סעיפים חוזיים סטנדרטיים לעניינים האמורים בסעיפים 3 ו-4 לסעיף זה.
- החוזה או המעשה המשפטי האחר האמור בסעיפים 3 ו-4 יהיו בכתב, לרבות בצורה אלקטרונית.
- מבלי לפגוע בסעיפים 82, 83 ו-84, אם מעבד הפר תקנה זו על ידי קביעת מטרות ואמצעי העיבוד, יחשב המעבד כבעל שליטה לגבי אותו עיבוד.
סעיף 28 של GDPR עוסק ב-8 תחומים מרכיבים, שקובעים כיצד ניתן להעביר פעילויות עיבוד נתונים במיקור חוץ לספקי שירותים של צד שלישי:
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
בסעיף זה אנו מדברים על GDPR סעיפים 28 (10), 28 (5) ו-28 (6)
ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.
הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.
לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.
זה כולל:
בסעיף זה אנו מדברים על GDPR סעיפים 28 (3)(ב), (1), (3)(א), (3)(ב), (3)(ג), (3)(ד), (3) )(ה), (3)(ו), (3)(ג) ו-(3)(ח)
כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.
בעשותם זאת, ארגונים צריכים:
ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.
בסעיף זה אנו מדברים על GDPR סעיפים 28 (1), (3)(א), (3)(ב), (3)(ג), (3)(ד), (3)(ה), (3) )(ו), (3)(ג) ו-(3)(ח)
ארגונים צריכים לציית לדרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות כאשר:
ארגונים צריכים לפעול לפי נהלים המאפשרים להם לזהות, לנתח ו להבין חובות חקיקה ורגולטוריות - במיוחד אלה העוסקות בהגנה על פרטיות ובפרטיות מידע - בכל מקום שבו הן פועלות.
ארגונים צריכים להיות מודעים ללא הרף לחובותיהם להגנת הפרטיות בכל פעם שהם נכנסים להסכמים חדשים עם צדדים שלישיים, ספקים וקבלנים.
בעת פריסת שיטות הצפנה לחיזוק הגנת הפרטיות ושמירה על PII, ארגונים צריכים:
ארגונים צריכים לתאר את הפרטים של כל הסדר משותף לעיבוד PII, עם בקר PII נלווה - זה כולל אמצעי הגנה כלליים וכל דרישות האבטחה הנלוות.
התפקידים והאחריות צריכים להיות ברורים וחד משמעיים, ומתוווים במסמך משפטי מחייב (המכונה לפעמים 'הסכם שיתוף נתונים').
הסכמים יכולים לכלול (בין האמצעים האחרים):
בסעיף זה אנו מדברים על GDPR סעיפים 28 (3)(ה) ו-28 (3)(ו) ו-28 (9)
חוזי לקוחות צריכים לכלול:
חוזים צריכים לכלול SLAs המתייחסים ליעדים הדדיים, וכל טווחי זמן קשורים בהם יש להשלים אותם.
ארגונים צריכים להכיר בזכותם לבחור בשיטות הייחודיות המשמשות לעיבוד PII, המשיגות באופן חוקי את מה שהלקוח מחפש, אך ללא צורך בקבלת הרשאות מפורטות לגבי האופן שבו הארגון מתנהל בעניין ברמה הטכנית.
ארגונים צריכים לשמור על הבנת עבודה יסודית של האופן שבו להוראות יש פוטנציאל להתנגש עם חקיקה או חובות רגולטוריות ישימות.
הפרות מתרחשות בדרך כלל סביב שלושה גורמים.
ארגונים צריכים להיות מסוגלים לספק ללקוחותיהם מידע מספיק, כך שלקוחות יוכלו לעמוד בהתחייבויותיהם בכל זמן נתון.
המידע הנדרש יכול לשלב מגוון רחב של פונקציות, אך לרוב קשור לביקורות פנימיות, ולתפקיד הארגון בהקלתן באמצעות אספקת מידע.
חובות הבקר נשלטים על ידי שלושה גורמים:
חוזים צריכים לכלול כל מידע or פעולות טכניות המאפשרים לארגון למלא את התחייבויותיו כבקר.
ישנם תרחישים שונים הדורשים סילוק PII, כולל (אך לא רק):
ארגונים צריכים לספק הבטחות קטגוריות שכל PII שאין בו צורך עוד יושמד בהתאם לכל חקיקה או הנחיות אזוריות.
כל פוליסות ההשלכה צריכות להיות זמינות ללקוח לפי דרישה, וצריכות לכסות את פרק הזמן שארגונים צריכים להרוס PII, לאחר סיום החוזה.
ארגונים צריכים לנסח נוהל שקובע את האופן שבו מודיעים למנהלי PII על בקשות צד שלישי מחייבות למידע שלהם, כולל מסגרת זמן סבירה ותניה חוזית המתארת את התהליך כולו.
מעל הכל, ארגונים צריכים להיענות לבקשות של רשויות אכיפת החוק, בעלי הזכות לבקש שהלקוח לא יודיע על כל בקשה, ולוודא שהם לא עוברים על שום חוק על ידי יידוע הלקוח בטעות או בכוונה על המצב.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
כל ההוראות לשימוש בקבלני משנה צריכות להיות רשומות ככאלה בתוך חוזה ה-SLA/הלקוח.
מידע על קבלני משנה צריך לכלול:
יש לנסח מסמכי NDA כדי לחשוף כל מידע שיהווה סיכון אבטחה מוגבר אם ייחשף בפומבי.
ארגונים צריכים לקבל אישור בכתב מהלקוחות שלהם, לפני כל PII שיעובד על ידי ארגון צד שלישי.
קבלני משנה צריכים להיות כפופים להסכם מחייב (בדרך כלל בצורה של חוזה כתוב), המבטיח שקבלני משנה מבינים את חובותיהם כלפי יישום הבקרות המפורטות בנספח B ISO 27701.
חוזים צריכים לקחת בחשבון תהליכי הערכת סיכונים שונים (ראה ISO 27701 סעיף 5.4.1.2), ואת כל היקף פעולת עיבוד ה-PII של הארגון (ראה ISO 27701 סעיף 6.12). כאמור לעיל, יש להקפיד על כל הבקרות המפורטות בנספח ב', עם כל ההשמטה הרשומה, לצד ההצדקות לכך.
בכל פעם שעולה צורך לשנות את האופן שבו הארגון מוציא כל מרכיב בפעולת עיבוד ה-PII שלו למיקור חוץ, יש ליידע את הלקוחות על השינויים זמן רב מראש על מנת לתת להם זמן להטיל ספק או להתנגד לשינויים האמורים.
חוזים צריכים לכלול סעיפים המספקים אישור בכתב מהלקוח להמשיך בשינוי, לפני עיבוד מידע אישי כלשהו.
ארגונים עשויים גם לבקש אישור לשינויים במסגרת הסכמים כתובים אד-הוק, מחוץ לכל תנאי חוזי.
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
האיחוד האירופי GDPR סעיפים 28 (3)(ב) עד (3)(ח) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
האיחוד האירופי GDPR סעיפים 28 (1) עד (3)(ח) | 6.15.1.1 | 5.20 |
האיחוד האירופי GDPR סעיפים 28 (3)(ה) ו-28 (9) | 7.2.6 | ללא חתימה |
האיחוד האירופי GDPR סעיפים 28 (3)(ה) עד 28 (9) | 8.2.1 7.4 8.4 | ללא חתימה |
סעיף 28 (3)(א) של EU GDPR | 8.2.2 | ללא חתימה |
סעיף 28 (3)(ח) של EU GDPR | 8.2.4 | ללא חתימה |
סעיף 28 (3)(ח) של EU GDPR | 8.2.5 | ללא חתימה |
סעיף 28 (3)(ח) של EU GDPR | 8.3.1 | ללא חתימה |
סעיף 28 (3)(g) של EU GDPR | 8.4.2 | ללא חתימה |
סעיף 28 (3)(א) של EU GDPR | 8.5.4 | ללא חתימה |
סעיפים 28 (2) ו-28 (4) של האיחוד האירופי GDPR | 8.5.6 8.5.2 8.5.7 | ללא חתימה |
האיחוד האירופי GDPR סעיפים 28 (2) ו-28 (3)(ד) | 8.5.7 5.4.1.2 6.12 | ללא חתימה |
סעיף 28 (2) של ה-EU GDPR | 8.4 | ללא חתימה |
נבנה לפי ISO 27701, מיושר לתקנות אחרות.
עם ISO 27701, אתה יכול ליצור מערכת ניהול מידע פרטיות התואמת לרוב תקנות הפרטיות. זה כולל את האיחוד האירופי ומרגולצית הנתונים הכללית, BS 10012 ו-POPIA של דרום אפריקה.
אתה יכול לעקוב בקלות אחר התקן הבינלאומי עם התוכנה המפושטת, המאובטחת ובת קיימא שלנו.
פלטפורמת ה-all-in-one שאנו מספקים מבטיחה שעבודת הפרטיות שלך תואמת את ISO 27701 ועומדת בדרישות שלו.
למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.
אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!