עבור לתוכן
ISMS.online

כיצד להוכיח ציות ל-GDPR סעיף 33

תאימות לסעיף 33 של ה-GDPR מסבירה את החובה של בקרי נתונים לדווח על הפרות מידע אישי לרשויות הפיקוח תוך 72 שעות, תוך פירוט הודעות על הפרות נדרשות, הערכות סיכונים ואמצעי הפחתה כדי להבטיח ציות לרגולציה.

מְחַבֵּר
דיוויד הולוואי
עודכן בספטמבר 30, 2025
4/5 כוכבים

מהו סעיף 33 של GDPR? סקירה מהירה של דרישות תאימות

GDPR סעיף 33 עוסק בחובתו של ארגון להודיע ​​לרשות החוקית או הרגולטורית הרלוונטית כאשר זכויות וחירויותיו של אדם הועמדו בסיכון, עקב פעולותיו (או פעולותיו של צד שלישי שותף) כבקר נתונים.

GDPR סעיף 33 טקסט משפטי

גרסת GDPR של האיחוד האירופי

הודעה על הפרת מידע אישי לרשות הפיקוח

  1. במקרה של הפרת נתונים אישיים, יודיע הבקר ללא דיחוי מיותר, ובמידת האפשר, לא יאוחר מ- 72 שעות לאחר שנודע לו על כך, יודיע על הפרת הנתונים האישיים לרשות הפיקוח המוסמכת בהתאם לסעיף 55, אלא אם כן סביר להניח כי הפרת נתונים אישיים תביא לסיכון לזכויותיהם ולחירויותיהם של אנשים טבעיים. אם ההודעה לרשות הפיקוח לא נעשתה תוך 72 שעות, יצורפו לכך נימוקים לעיכוב.
  2. המעבד יודיע לבוקר ללא דיחוי לאחר שנודע לו על הפרת מידע אישי.
  3. ההודעה האמורה בסעיף 1 תצטרך לפחות:

    • תאר את אופי הפרת הנתונים האישיים, לרבות במידת האפשר, הקטגוריות והמספר המשוער של נושאי הנתונים הנוגעים בדבר, והקטגוריות והמספר המשוער של רשומות הנתונים האישיים הנוגעים בדבר;
    • להעביר את השם ופרטי ההתקשרות של קצין הגנת המידע או נקודת קשר אחרת שבה ניתן לקבל מידע נוסף;
    • תאר את ההשלכות הסבירות של הפרת הנתונים האישיים;
    • תאר את האמצעים שננקטו או מוצע לנקוט על ידי הבקר כדי לטפל בהפרת המידע האישי, לרבות, במידת הצורך, אמצעים לצמצום השפעותיה השליליות האפשריות.
  4. מקום וככל שלא ניתן למסור את המידע במקביל, ניתן למסור את המידע בשלבים ללא עיכוב נוסף מיותר.
  5. הבקר יתעד כל הפרת מידע אישי, הכוללת את העובדות הקשורות להפרת המידע האישי, השפעותיה והפעולה המתקנת שננקטה. תיעוד זה יאפשר לרשות הפיקוח לוודא עמידה בסעיף זה.

גרסת GDPR בבריטניה

הודעה על הפרת מידע אישי לנציב

  1. במקרה של הפרת מידע אישי, יודיע המבקר ללא דיחוי מיותר, ובמידת האפשר, לא יאוחר מ-72 שעות לאחר שנודע לו על כך, להודיע ​​לממונה על הפרת המידע האישי, אלא אם סביר שהפרת המידע האישי לגרום לסיכון לזכויות וחירויות של אנשים טבעיים. אם ההודעה לפי פסקה זו לא נמסרה תוך 72 שעות, יצורפו לה סיבות לעיכוב.
  2. המעבד יודיע לבוקר ללא דיחוי לאחר שנודע לו על הפרת מידע אישי.
  3. ההודעה האמורה בסעיף 1 תצטרך לפחות:

    • תאר את אופי הפרת הנתונים האישיים, לרבות במידת האפשר, הקטגוריות והמספר המשוער של נושאי הנתונים הנוגעים בדבר, והקטגוריות והמספר המשוער של רשומות הנתונים האישיים הנוגעים בדבר;
    • להעביר את השם ופרטי ההתקשרות של קצין הגנת המידע או נקודת קשר אחרת שבה ניתן לקבל מידע נוסף;
    • תאר את ההשלכות הסבירות של הפרת הנתונים האישיים;
    • תאר את האמצעים שננקטו או מוצע לנקוט על ידי הבקר כדי לטפל בהפרת המידע האישי, לרבות, במידת הצורך, אמצעים לצמצום השפעותיה השליליות האפשריות.
  4. מקום וככל שלא ניתן למסור את המידע במקביל, ניתן למסור את המידע בשלבים ללא עיכוב נוסף מיותר.
  5. הבקר יתעד כל הפרת מידע אישי, הכוללת את העובדות הקשורות להפרת המידע האישי, השפעותיה והפעולה המתקנת שננקטה. תיעוד זה יאפשר לממונה לוודא עמידה בסעיף זה.


ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


פרשנות טכנית

כמו גם תיעוד יסודי של כל האירועים סביב הפרה, ארגונים צריכים לקחת בחשבון שישה גורמים שולטים כאשר פועלים בעקבות הפרת נתונים:

  1. ההגדרה של הפרה – "הפרת אבטחה המובילה להרס בשוגג או לא חוקי, אובדן, שינוי, חשיפה בלתי מורשית או גישה לנתונים אישיים שהועברו, נשמרו או מעובדים בדרך אחרת".
  2. שמירה על מודעות חריפה להפרה וקבלת 'דרגה סבירה של בדיקה' כאשר התרחשה חשד להפרה.
  3. להיות מודע לסיכונים לחירויות הפרט שפריצת מידע עלולה לגרום, ועד כמה הסיכונים הללו מציגים את עצמם.
  4. חומרת הסיכון, כולל.

    • קטגוריית הסיכון.
    • כמות הנתונים שהושפעו וגודל ההפרה.
    • כיצד הם מסוגלים לזהות כל אדם שנפגע.
    • עד כמה חמורה ההפרה מבחינת ההשלכות המוחשיות על כל אדם שהושפע ממנה (ועד כמה הם פגיעים).
    • אופי העסקים של הארגון, והאם זה מהווה סיכון גבוה יותר (למשל נתונים פיננסיים).

  5. במידת האפשר, הצורך להודיע ​​לכל רשויות השלטון בתוך 72 שעות.
  6. הצורך במתן סיבה מוצדקת לפנייה לרשויות לאחר שחלפו 72 שעות, אם זה קורה.

בעת הודעה לרשות הפיקוח, ארגונים צריכים:

  • תאר את אופי ההפרה.
  • קבע נקודת קשר.
  • תאר את הסבירות לתוצאות כלשהן.
  • תאר את כל הפעולות שננקטו בתגובה להפרה.
  • ספק כל פרט נוסף הרלוונטי להפרה.

ISO 27701 סעיף 6.13.1.1 (אחריות ונהלים) וסעיפים GDPR של האיחוד האירופי 34 (1), 34 (2), 34 (3)(א), 34 (3)(ב), 34 (3)(ג) ו-34 (4)

על מנת ליצור מדיניות ניהול אירועים מגובשת ומתפקדת היטב, אשר שומרת על הזמינות והשלמות של מידע פרטיות במהלך אירועים קריטיים, ארגונים צריכים:

  1. היצמד לשיטה לדיווח על אירועי אבטחת מידע פרטיות.
  2. קבע סדרה של תהליכים המנהלים אירועים הקשורים לאבטחת מידע פרטיות ברחבי העסק, כולל:

    • מינהל.
    • תיעוד.
    • איתור.
    • טריאז'.
    • עדיפות.
    • ניתוח.
    • תִקשׁוֹרֶת.

  3. נסח נוהל תגובה לאירוע המאפשר לארגון להעריך, להגיב וללמוד מתקריות.
  4. ודא שהתקריות מנוהלות על ידי צוות מיומן ומוכשר הנהנה מתוכניות הכשרה והסמכה מתמשכות במקום העבודה

הצוות המעורב בתקריות אבטחת מידע פרטיות צריך להבין:

  • הזמן שצריך לקחת כדי לפתור תקרית.
  • כל השלכות אפשריות.
  • חומרת האירוע.

כאשר עוסקים באירועי אבטחת מידע פרטיות, הצוות צריך:

  1. הערכת אירועים בהתאם לקריטריונים מחמירים המאמתים אותם כאירועים מאושרים.
  2. סיווג אירועי אבטחת מידע פרטיות ל-5 נושאי משנה:

    • ניטור (ראה ISO 27002 בקרות 8.15 ו-8.16).
    • איתור (ראה ISO 27002 בקרה 8.16).
    • סיווג (ראה ISO 27002 בקרה 5.25).
    • ניתוח.
    • דיווח (ראה ISO 27002 בקרה 6.8).

  3. בעת פתרון אירועי אבטחת מידע פרטיות, ארגונים צריכים:

    • תגובה והסלמה של בעיות (ראה ISO 27002 בקרה 5.26) בהתאם לסוג האירוע.
    • הפעל תוכניות לניהול משברים והמשכיות עסקית.
    • להשפיע על התאוששות מנוהלת מתקרית המפחיתה נזקים תפעוליים ו/או כספיים.
    • להבטיח תקשורת יסודית של אירועים הקשורים לאירועים לכל הצוות הרלוונטי.

  4. עסוק בעבודה משותפת (ראה ISO 27002 בקרות 5.5 ו-5.6).
  5. רישום את כל הפעילויות המבוססות על אירועים מנוהלים.
  6. היה אחראי לטיפול בראיות הקשורות לאירועים (ראה ISO 27002 בקרה 5.28).
  7. בצעו ניתוח שורש יסודי, כדי למזער את הסיכון שהאירוע יקרה שוב, כולל הצעות לשינויים בתהליכים כלשהם.

פעילויות הדיווח צריכות להתרכז סביב 4 תחומים מרכזיים:

  • פעולות שיש לבצע ברגע שמתרחש אירוע אבטחת מידע.
  • טפסי אירוע המתעדים מידע לאורך אירוע.
  • תהליכי משוב מקצה לקצה לכל הצוות הרלוונטי.
  • דוחות תקריות המפרטים מה התרחש לאחר פתרון תקרית.

תמיכה בבקרות ISO 27002

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.13.1.5 (תגובה לתקריות אבטחת מידע) וסעיפים GDPR של האיחוד האירופי 34 (1) ו-34 (2)

ארגונים צריכים להבטיח שאירועי אבטחת מידע פרטיות יטופלו על ידי צוות טכני ייעודי עם הכישורים והמשאבים להשפיע על פתרון מהיר (ראה ISO 27002 בקרה 5.24).

ארגונים צריכים:

  • מכילים איומים הקשורים לפרטיות הנובעים מהבעיה המקורית.
  • לאסוף אוסף של ראיות לאורך תהליך ההחלטה.
  • כולל הסלמה, פעילויות BUDR ותכנון המשכיות בכל מאמצי פתרון (ראה ISO 27002 בקרות 5.29 ו-5.30).
  • לרשום את כל הפעילות הקשורה לאירועים.
  • להבטיח שהצוות פועל על בסיס "צריך לדעת" בעת התמודדות עם אירועי מידע פרטיות.
  • היו מודעים ללא הרף לאחריותם כלפי לקוחותיהם וארגונים חיצוניים, בעת העברת אירועי פרטיות והפרות נתונים.
  • לסגור אירועים למערכת נוקשה של קריטריונים לפתרון.
  • לבצע ניתוח משפטי (ראה ISO 27002 בקרה 5.28), לפי הצורך.
  • שואפים לבסס את הסיבה הבסיסית לאירוע, לאחר שנפתרה (ראה ISO 27002 בקרה 5.27).
  • לנקוט בפעולות מתקנות בכל תהליכים, בקרות, מדיניות ונהלים הקשורים, כדי לחזק את הגנת הפרטיות הארגונית לאחר פתרון אירוע.

תמיכה בבקרות ISO 27002

  • ISO 27002 5.24
  • ISO 27002 5.27
  • ISO 27002 5.28
  • ISO 27002 5.29
  • ISO 27002 5.30

אינדקס מאמרי GDPR מקושרים של האיחוד האירופי, סעיפי ISO 27701 ובקרות ISO 27002

מאמר GDPR סעיף ISO 27701 בקרות ISO 27002
סעיפים GDPR של האיחוד האירופי 34 (1), 34 (2), 34 (3)(א), 34 (3)(ב), 34 (3)(ג) ו-34 (4) ISO 27701 6.13.1.1 ISO 27002 5.25
ISO 27002 5.26
ISO 27002 5.5
ISO 27002 5.6
ISO 27002 6.8
ISO 27002 8.15
ISO 27002 8.16
סעיפים 34 (1) ו-34 (2) של האיחוד האירופי GDPR ISO 27701 6.13.1.5 ISO 27002 5.24
ISO 27002 5.27
ISO 27002 5.28
ISO 27002 5.29
ISO 27002 5.30

כיצד ISMS.online עוזר

הפרה של GDPR עלולה לגרום לקנסות משמעותיים, מה שהופך אותה לאחת מתקנות הפרטיות והאבטחה הנוקשות בעולם. כתוצאה מכך, משתמע מכך שארגונים חייבים להגן על נתונים אישיים במידה 'סבירה'.

אבל הנה החדשות הטובות.

במיקום מאובטח ותמיד פועל, ISMS.online מקל עליך לקפוץ ישירות לתאימות GDPR ולהפגין רמת הגנה החורגת מעבר ל'סביר'.

אנו הופכים את מיפוי הנתונים למשימה פשוטה. על ידי הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות, תוכל להקליט ולסקור את הכל בקלות.

אם יקרה הגרוע מכל, אתה תהיה מוכן.

עם הכלים שלנו, אתה יכול לתכנן, לתקשר, לתעד וללמוד מכל הפרה.

למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.

דיוויד הולוואי

סמנכ"ל שיווק

דיוויד הולוואי הוא מנהל השיווק הראשי ב-ISMS.online, עם למעלה מארבע שנות ניסיון בתחום תאימות ואבטחת מידע. כחלק מצוות ההנהגה, דיוויד מתמקד בהעצמת ארגונים לנווט בנופים רגולטוריים מורכבים בביטחון, תוך קידום אסטרטגיות שמתאימות יעדים עסקיים לפתרונות בעלי השפעה. הוא גם מנחה שותף של הפודקאסט Phishing For Trouble, שם הוא מתעמק באירועי אבטחת סייבר מתוקשרים וחולק לקחים חשובים שיעזרו לעסקים לחזק את נוהלי האבטחה והתאימות שלהם.

לינקדין

מאמרים בנושא GDPR

GDPR לעומק

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה