GDPR סעיף 30 מחייב ארגונים לשמור רישומים נאותים (בעיקר חשבונות כתובים) של כל הפעילויות הקשורות לעיבוד.
חובה זו מייצגת את הביטוי של מספר עקרונות עיבוד נתונים:
תיעוד של פעילויות עיבוד
- כל בקר, ובמקרה רלוונטי, נציגו של הבקר, ינהל רישום של פעולות העיבוד שבאחריותו. רשומה זו תכיל את כל המידע הבא:
- השם ופרטי ההתקשרות של הבקר ובמקרה רלוונטי של הבקר המשותף, נציג הבקר וקצין הגנת המידע.
- מטרות העיבוד.
- תיאור של הקטגוריות של נושאי המידע ושל הקטגוריות של נתונים אישיים.
- קטגוריות הנמענים שהנתונים האישיים נחשפו או ייחשפו להם לרבות נמענים במדינות שלישיות או בארגונים בינלאומיים.
- במקרים הרלוונטיים, העברות של נתונים אישיים למדינה שלישית או לארגון בינלאומי, לרבות זיהוי של אותה מדינה שלישית או ארגון בינלאומי, ובמקרה של העברות הנזכרות בסעיף השני של סעיף 49(1), תיעוד המתאימים אמצעי הגנה.
- במידת האפשר, מגבלות הזמן הצפויות למחיקת קטגוריות הנתונים השונות.
- במידת האפשר, תיאור כללי של אמצעי האבטחה הטכניים והארגוניים הנזכרים בסעיף 32(1).
- כל מעבד, ובמקרה רלוונטי, נציגו של המעבד ינהלו רישום של כל קטגוריות פעולות העיבוד המבוצעות מטעם בקר, המכיל:
- השם ופרטי ההתקשרות של המעבד או המעבדים ושל כל בקר מטעמו פועל המעבד, ובמקרה רלוונטי, של נציג הבקר או המעבד ושל קצין הגנת המידע.
- קטגוריות העיבוד המבוצעות מטעם כל בקר.
- במקרים הרלוונטיים, העברות של נתונים אישיים למדינה שלישית או לארגון בינלאומי, לרבות זיהוי של אותה מדינה שלישית או ארגון בינלאומי, ובמקרה של העברות הנזכרות בסעיף השני של סעיף 49(1), תיעוד המתאימים אמצעי הגנה.
- במידת האפשר, תיאור כללי של אמצעי האבטחה הטכניים והארגוניים הנזכרים בסעיף 32(1).
- הרישומים האמורים בסעיפים 1 ו-2 יהיו בכתב, לרבות בצורה אלקטרונית.
- הבקר או המעבד, ובמקרה רלוונטי, נציגו של הבקר או המעבד, יעמידו את הרשומה לרשות הרשות המפקחת לפי בקשה.
- החובות האמורות בסעיפים 1 ו-2 לא יחולו על מיזם או ארגון המעסיקים פחות מ-250 עובדים, אלא אם העיבוד שהוא מבצע עלול לגרום לסיכון לזכויות וחירויות של נושאי מידע, העיבוד אינו מזדמן , או שהעיבוד כולל קטגוריות מיוחדות של נתונים כמפורט בסעיף 9(1) או נתונים אישיים הנוגעים להרשעות ועבירות פליליות הנזכרות בסעיף 10.
הזמינו איתנו צ'אט של 30 דקות ואנו נראה לכם איך
תיעוד של פעילויות עיבוד
- כל בקר, ובמקרה רלוונטי, נציגו של הבקר, ינהל רישום של פעולות העיבוד שבאחריותו. רשומה זו תכיל את כל המידע הבא:
- השם ופרטי ההתקשרות של הבקר ובמקרה רלוונטי של הבקר המשותף, נציג הבקר וקצין הגנת המידע.
- מטרות העיבוד.
- תיאור של הקטגוריות של נושאי המידע ושל הקטגוריות של נתונים אישיים.
- קטגוריות הנמענים שהנתונים האישיים נחשפו או ייחשפו להם לרבות נמענים במדינות שלישיות או בארגונים בינלאומיים.
- במקרים הרלוונטיים, העברות של נתונים אישיים למדינה שלישית או לארגון בינלאומי, לרבות זיהוי של אותה מדינה שלישית או ארגון בינלאומי, ובמקרה של העברות הנזכרות בסעיף השני של סעיף 49(1), תיעוד המתאימים אמצעי הגנה.
- במידת האפשר, מגבלות הזמן הצפויות למחיקת קטגוריות הנתונים השונות.
- במידת האפשר, תיאור כללי של אמצעי האבטחה הטכניים והארגוניים הנזכרים בסעיף 32(1), או, לפי העניין, אמצעי האבטחה האמורים בסעיף 28(3) לחוק 2018.
- כל מעבד, ובמקרה רלוונטי, נציגו של המעבד ינהלו רישום של כל קטגוריות פעולות העיבוד המבוצעות מטעם בקר, המכיל:
- השם ופרטי ההתקשרות של המעבד או המעבדים ושל כל בקר מטעמו פועל המעבד, ובמקרה רלוונטי, של נציג הבקר או המעבד ושל קצין הגנת המידע.
- קטגוריות העיבוד המבוצעות מטעם כל בקר.
- במקרים הרלוונטיים, העברות של נתונים אישיים למדינה שלישית או לארגון בינלאומי, לרבות זיהוי של אותה מדינה שלישית או ארגון בינלאומי, ובמקרה של העברות הנזכרות בסעיף השני של סעיף 49(1), תיעוד המתאימים אמצעי הגנה.
- במידת האפשר, תיאור כללי של אמצעי האבטחה הטכניים והארגוניים הנזכרים בסעיף 32(1). או, לפי העניין, אמצעי האבטחה הנזכרים בסעיף 28(3) לחוק 2018.
- הרישומים האמורים בסעיפים 1 ו-2 יהיו בכתב, לרבות בצורה אלקטרונית.
- הבקר או המעבד, ובמקרה רלוונטי, נציגו של הבקר או המעבד, יעמידו את הרשומה לרשות הממונה, לפי דרישה.
- החובות האמורות בסעיפים 1 ו-2 לא יחולו על מיזם או ארגון המעסיקים פחות מ-250 עובדים, אלא אם העיבוד שהוא מבצע עלול לגרום לסיכון לזכויות וחירויות של נושאי מידע, העיבוד אינו מזדמן , או שהעיבוד כולל קטגוריות מיוחדות של נתונים כמפורט בסעיף 9(1) או נתונים אישיים הנוגעים להרשעות ועבירות פליליות הנזכרות בסעיף 10.
סעיף 30 של GDPR מתייחס לארבעה תחומים מרכזיים של תחזוקת רשומות:
סעיף 30 גם מתאר חריגים החלים על כל אחד מהתחומים הנ"ל - ובעיקר זה כל ארגון המעסיק פחות מ-250 עובדים אינו מחויב לנהל רישומי עיבוד, למעט במקרים שבהם הזכויות והחירויות של נושאי מידע הם 'לא מזדמנים', או שהארגון מעבד 'קטגוריות מיוחדות' של נתונים, או נתונים פליליים.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.
בעשותם זאת, ארגונים צריכים:
ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.
ארגונים צריכים לציית לדרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות כאשר:
ארגונים צריכים לפעול לפי נהלים המאפשרים להם לזהות, לנתח ו להבין חובות חקיקה ורגולטוריות - במיוחד אלה העוסקות בהגנה על פרטיות ובפרטיות מידע - בכל מקום שבו הן פועלות.
ארגונים צריכים להיות מודעים ללא הרף לחובותיהם להגנת הפרטיות בכל פעם שהם נכנסים להסכמים חדשים עם צדדים שלישיים, ספקים וקבלנים.
בעת פריסת שיטות הצפנה לחיזוק הגנת הפרטיות ושמירה על PII, ארגונים צריכים:
בסעיף זה אנו מדברים על GDPR סעיפים 30 (1)(א), 30 (1)(ב), 30 (1)(ג), 30 (1)(ד), 30 (1)(ו), 30 ( 1)(ג), 30 (3), 30 (4) ו-30 (5)
ארגונים צריכים לשמור על מערכת יסודית של רשומות התומכות בפעולות ובחובות שלה כמעבד PII.
לרשומות (הידועות גם בשם 'רשימות מלאי') צריך להיות בעלים מוקצה, ועשויות לכלול:
מעת לעת, עשוי להתעורר צורך בהעברת PII בין שתי תחומי שיפוט נפרדים. כאשר זה קורה, ארגונים צריכים להצדיק ולתעד את הצורך לעשות זאת.
הכללים הרגולטוריים והחוקיים האזוריים משתנים בהתאם למקור הנתונים, ולאן הם הולכים להיות מועברים.
ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט, לרבות שימוש ברשות פיקוח ייעודית.
ארגונים צריכים לשמור רשימה מתועדת של המדינות והארגונים שאליהן הם יכולים להעביר את ה-PII שלהם, בנסיבות סבירות.
לאחר שהם גיבשו רשימה, ארגונים צריכים להנגיש את המידע ללקוחותיהם, כולל כל פעולות PII בקבלנות משנה (ראה ISO 27701 סעיף 7.5.1).
בנסיבות מסוימות – במיוחד במקרה של חקירות פליליות – חוקי סודיות עלולים למנוע מהארגון לחשוף מראש את זהות מדינות וארגוני היעד (ראה ISO 27701 סעיפים 8.5.4 ו-8.5.5).
חשוב מאוד שארגונים ישמרו תיעוד מדויק של העברות PII לארגוני צד שלישי.
ארגונים צריכים להיות מסוגלים לרשום PII שתוקן בכל דרך שהיא (בהתאם למחויבויות ויעדים של הבקר), או העברות הנדרשות לפני חקיקת בקשה מהמנהל PII לשנות או למחוק את PII.
רשומות צריכות להיות כפופות לתקופת שמירה פרופורציונלית, וצריכות להיות כפופות לכללי מזעור נתונים המחזירים רק את מה שנדרש כדי להגשים יעד ספציפי.
ארגונים צריכים לרשום כל חשיפה של PII לצדדים שלישיים, כולל שלושת פרטי המידע הבאים:
זה נוהג מקובל לחשוף PII מסיבות שונות, לאורך פעולת עיבוד המידע של הארגון.
יש ליצור יומנים של גילויים המתרחשים במהלך שיטות עסקיות רגילות, וכל נסיבות מיוחדות המתעוררות (כלומר חקירות רגולטוריות או משפטיות.
בסעיף זה אנו מדברים על סעיפים GDPR 30 (2)(א), 30 (2)(ב), 30 (3), 30 (4) ו-30 (5)
ארגונים צריכים לשמור רישומים מדויקים ומעודכנים המאפשרים להם, בכל זמן נתון, להוכיח עמידה בכל התחייבות חוזית הקשורה לעיבוד PII.
בהתאם לתחום השיפוט, הרשומות עשויות לכלול:
לארגונים צריכים להיות תוכניות קונקרטיות שקובעות איך PII יכול להיות חזר, הועבר or מסולקת של, ולהעמיד את כל הפוליסות הללו לרשות הלקוח.
ישנם תרחישים שונים הדורשים סילוק PII, כולל (אך לא רק):
ארגונים צריכים לספק הבטחות קטגוריות שכל PII שאין בו צורך עוד יושמד בהתאם לכל חקיקה או הנחיות אזוריות.
כל פוליסות ההשלכה צריכות להיות זמינות ללקוח לפי דרישה, וצריכות לכסות את פרק הזמן שארגונים צריכים להרוס PII, לאחר סיום החוזה.
ארגונים צריכים לשמור רשימה מדויקת ועדכנית של כל מדינות או ארגונים שאליהם יש פוטנציאל העברה של PII.
לקוחות צריכים להיות מסוגלים להציג רשימה של מדינות וארגונים נמענים פוטנציאליים בכל זמן נתון, כולל יומן של כל המדינות המעורבות בקבלנות משנה PII (ראה ISO 27701 סעיף 8.5.1).
בנסיבות מסוימות, ארגונים לא תמיד יוכלו לחשוף מראש מהיכן הגיעו בקשות העברה - במיוחד כאשר מדובר במקרים של הליכים פליליים. זה בלתי נמנע, וזה צריך להיות בראש סדר העדיפויות של הארגון לשמור על שלמות פעולת אכיפת החוק (ראה ISO 27701 סעיפים 7.5.1, 8.5.4 ו-8.5.5).
ארגונים צריכים לרשום בקפדנות את כל המקרים שבהם הם צריכים לחשוף PII לצד שלישי.
בכל פעם שנחשף PII - בין אם כחלק משגרה עסקית רגילה או בנסיבות מיוחדות, כגון תהליך משפטי או רגולטורי מתמשך - ארגונים צריכים לתעד את מה שנחשף, את הנמען ואת הסיבה הבסיסית לכך.
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
סעיף 30 (2)(ד) של EU GDPR | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
סעיף 30 (2)(ד) של EU GDPR | 6.15.1.1 | 5.20 |
סעיפים GDPR של האיחוד האירופי 30 (1)(א) עד 30 (5) | 7.2.8 | ללא חתימה |
סעיף 30 (1)(ה) של EU GDPR | 7.5.1 | ללא חתימה |
סעיף 30 (1)(ה) של EU GDPR | 7.5.2 7.5.1 8.5.4 8.5.5 | ללא חתימה |
סעיף 30 (1)(ה) של EU GDPR | 7.5.3 | ללא חתימה |
סעיף 30 (1)(ד) של EU GDPR | 7.5.4 | ללא חתימה |
סעיפים GDPR של האיחוד האירופי 30 (2)(א) עד 30 (5) | 8.2.6 | ללא חתימה |
סעיף 30 (1)(ו) של EU GDPR | 8.4.2 | ללא חתימה |
סעיף 30 (2)(ג) של EU GDPR | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | ללא חתימה |
סעיף 30 (1)(ד) של EU GDPR | 8.5.3 | ללא חתימה |
ISMS.online עוזר לך להפגין רמת הגנה העולה על 'הגיונית' במיקום מאובטח ותמיד פועל.
אנו הופכים את מיפוי הנתונים למשימה פשוטה. על ידי הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות, תוכל להקליט ולסקור את הכל בקלות.
אם יקרה הגרוע מכל, אתה תהיה מוכן.
עם הכלים שלנו, אתה יכול לתכנן, לתקשר, לתעד וללמוד מכל הפרה.
למידע נוסף על ידי הזמנת הדגמה של 30 דקות.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
בקש ציטוט