כיצד להוכיח ציות ל-GDPR סעיף 34

תקשור של הפרת נתונים אישיים לנושא הנתונים

הזמן הדגמה

תחתית,תצוגה,של,מודרניים,גורדי שחקים,בעסק,מחוז,נגד,כחול

GDPR סעיף 34 מתאר את חובתו של ארגון ליידע את נושאי המידע על הפרת מידע, שעלולה לגרום לסיכון משמעותי לזכויותיהם וחירויותיהם כיחידים.

GDPR סעיף 34 טקסט משפטי

גרסת GDPR של האיחוד האירופי

הודעה על הפרת נתונים אישיים לנושא הנתונים

  1. כאשר הפרת המידע האישי עשויה לגרום לסיכון גבוה לזכויות ולחירויות של אנשים טבעיים, הבקר ימסור את הפרת המידע האישי לנושא המידע ללא דיחוי מיותר.

  2. ההודעה לנושא המידע הנזכרת בסעיף 1 של סעיף זה תתאר בשפה ברורה וברורה את אופי הפרת המידע האישי ותכיל לפחות את המידע והאמצעים האמורים בנקודות (ב), (ג) ו-(ד). ) של סעיף 33(3).

  3. לא תידרש הודעה לנושא המידע הנזכר בסעיף 1 אם מתקיים אחד מהתנאים הבאים:

    • (א) הבקר יישם אמצעי הגנה טכניים וארגוניים מתאימים, ואמצעים אלה יושמו על הנתונים האישיים המושפעים מהפרת המידע האישי, בפרט אלה שהופכים את הנתונים האישיים לבלתי מובנים לכל אדם שאינו מורשה לגשת אליהם, כגון הצפנה.

    • (ב) הבקר נקט באמצעים הבאים המבטיחים שהסיכון הגבוה לזכויות וחירויות של נושאי מידע הנזכרים בסעיף 1 אינו צפוי עוד להתממש.

    • (ג) זה יהיה כרוך במאמץ לא מידתי. במקרה כזה, במקום זאת תהיה תקשורת פומבית או אמצעי דומה, לפיו נושאי הנתונים מקבלים מידע בצורה יעילה באותה מידה.
  4. אם הבקר טרם הודיע ​​על הפרת המידע האישי לנושא המידע, רשות הפיקוח, לאחר ששקלה את הסבירות שהפרת המידע האישי תגרום לסיכון גבוה, רשאית לדרוש ממנה לעשות זאת או להחליט כי כל אחד מהתנאים המוזכרים כדי בסעיף 3 מתקיימים.

גרסת GDPR בבריטניה

הודעה על הפרת נתונים אישיים לנושא הנתונים

  1. כאשר הפרת המידע האישי עשויה לגרום לסיכון גבוה לזכויות ולחירויות של אנשים טבעיים, הבקר ימסור את הפרת המידע האישי לנושא המידע ללא דיחוי מיותר.

  2. ההודעה לנושא המידע הנזכרת בסעיף 1 של סעיף זה תתאר בשפה ברורה וברורה את אופי הפרת המידע האישי ותכיל לפחות את המידע והאמצעים האמורים בנקודות (ב), (ג) ו-(ד). ) של סעיף 33(3).

  3. לא תידרש הודעה לנושא המידע הנזכר בסעיף 1 אם מתקיים אחד מהתנאים הבאים:

    • (א) הבקר יישם אמצעי הגנה טכניים וארגוניים מתאימים, ואמצעים אלה יושמו על הנתונים האישיים המושפעים מהפרת המידע האישי, בפרט אלה שהופכים את הנתונים האישיים לבלתי מובנים לכל אדם שאינו מורשה לגשת אליהם, כגון הצפנה.

    • (ב) הבקר נקט באמצעים הבאים המבטיחים שהסיכון הגבוה לזכויות וחירויות של נושאי מידע הנזכרים בסעיף 1 אינו צפוי עוד להתממש.

    • (ג) זה יהיה כרוך במאמץ לא מידתי. במקרה כזה, במקום זאת תהיה תקשורת פומבית או אמצעי דומה, לפיו נושאי הנתונים מקבלים מידע בצורה יעילה באותה מידה.

  4. אם הבקר טרם הודיע ​​על הפרת המידע האישי לנושא המידע, הממונה, לאחר ששקל את הסבירות שהפרת המידע האישי תגרום לסיכון גבוה, רשאי לדרוש ממנו לעשות כן או להחליט כי כל אחד מהתנאים הנזכרים בסעיף 3 מתקיימים.
קפוץ לנושא

פרשנות טכנית

סעיף 34 של GDPR מבהיר שלא כל ההפרות חייבות להיות מועברות לנושאי המידע. עם זאת, ארגונים צריכים למסור את הפרטים של הפרה כאשר היא צפויה לגרום לסיכון גבוה לזכויות ולחירויות של אנשים טבעיים.

סעיף 34 מתאר שלושה תחומים עיקריים שיש להתמקד בהם, כאשר מודיעים על הפרת נתונים:

  • השפה שבה נעשה שימוש.

  • הפרטים הספציפיים המועברים.

  • כיצד מתבצעת התקשורת.

בקרים אינם מחויבים לדווח על הפרה בשלושת התרחישים הבאים:

  1. לארגון יש 'אמצעי הגנה טכניים וארגוניים מתאימים'.

  2. היא נוקטת 'אמצעים עוקבים' כדי למתן את ההפרה.

  3. העברת ההפרה תדרוש מאמץ לא פרופורציונלי.

ISO 27701 סעיף 6.13.1.1 (אחריות ונהלים) ו-GDPR סעיף 34

בסעיף זה אנו מדברים על סעיפים GDPR 34 (1), 34 (2), 34 (3)(א), 34 (3)(ב), 34 (3)(ג) ו-34(4)

על מנת ליצור מדיניות ניהול אירועים מגובשת ומתפקדת היטב, אשר שומרת על הזמינות והשלמות של מידע פרטיות במהלך אירועים קריטיים, ארגונים צריכים:

  1. היצמד לשיטה לדיווח על אירועי אבטחת מידע פרטיות.

  2. קבע סדרה של תהליכים המנהלים אירועים הקשורים לאבטחת מידע פרטיות ברחבי העסק, כולל:

    • מינהל.

    • תיעוד.

    • איתור.

    • טריאז'.

    • עדיפות.

    • ניתוח.

    • תִקשׁוֹרֶת.
  3. נסח נוהל תגובה לאירוע המאפשר לארגון להעריך, להגיב וללמוד מתקריות.

  4. ודא שהתקריות מנוהלות על ידי צוות מיומן ומוכשר הנהנה מתכניות הכשרה והסמכה מתמשכות במקום העבודה.

הצוות המעורב בתקריות אבטחת מידע פרטיות צריך להבין:

  1. הזמן שצריך לקחת כדי לפתור תקרית.

  2. כל השלכות אפשריות.

  3. חומרת האירוע.

כאשר עוסקים באירועי אבטחת מידע פרטיות, הצוות צריך:

  1. הערכת אירועים בהתאם לקריטריונים מחמירים המאמתים אותם כאירועים מאושרים.

  2. סיווג אירועי אבטחת מידע פרטיות ל-5 נושאי משנה:

    • ניטור (ראה ISO 27002 בקרות 8.15 ו-8.16).

    • איתור (ראה ISO 27002 בקרה 8.16).

    • סיווג (ראה ISO 27002 בקרה 5.25).

    • ניתוח.

    • דיווח (ראה ISO 27002 בקרה 6.8).
  3. בעת פתרון אירועי אבטחת מידע פרטיות, ארגונים צריכים:

    • תגובה והסלמה של בעיות (ראה ISO 27002 בקרה 5.26) בהתאם לסוג האירוע.

    • הפעל תוכניות לניהול משברים והמשכיות עסקית.

    • להשפיע על התאוששות מנוהלת מתקרית המפחיתה נזקים תפעוליים ו/או כספיים.

    • להבטיח תקשורת יסודית של אירועים הקשורים לאירועים לכל הצוות הרלוונטי.
  4. עסוק בעבודה משותפת (ראה ISO 27002 בקרות 5.5 ו-5.6).

  5. רישום את כל הפעילויות המבוססות על אירועים מנוהלים.

  6. היה אחראי לטיפול בראיות הקשורות לאירועים (ראה ISO 27002 בקרה 5.28).

  7. בצעו ניתוח שורש יסודי, כדי למזער את הסיכון שהאירוע יקרה שוב, כולל הצעות לשינויים בתהליכים כלשהם.

פעילויות הדיווח צריכות להתרכז סביב 4 תחומים מרכזיים:

  1. פעולות שיש לבצע ברגע שמתרחש אירוע אבטחת מידע.

  2. טפסי אירוע המתעדים מידע לאורך אירוע.

  3. תהליכי משוב מקצה לקצה לכל הצוות הרלוונטי.

  4. דוחות תקריות המפרטים מה התרחש לאחר פתרון תקרית.

תמיכה בבקרות ISO 27002

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

עודכן עבור ISO 27001 2022
  • 81% מהעבודה שנעשתה עבורך
  • שיטת תוצאות מובטחות להצלחת הסמכה
  • חסוך זמן, כסף וטרחה
הזמן את ההדגמה שלך
img

ISO 27701 סעיף 6.13.1.5 (תגובה לאירועי אבטחת מידע) ו-GDPR סעיף 34

בסעיף זה אנו מדברים על GDPR סעיפים 34 (2) ו-34 (1)

ארגונים צריכים להבטיח שאירועי אבטחת מידע פרטיות יטופלו על ידי צוות טכני ייעודי עם הכישורים והמשאבים להשפיע על פתרון מהיר (ראה ISO 27002 בקרה 5.24).

ארגונים צריכים:

  1. מכיל איומים הקשורים לפרטיות הנובעים מהבעיה המקורית.

  2. אסוף אוסף של ראיות לאורך תהליך הפתרון.

  3. כלול הסלמה, פעילויות BUDR ותכנון המשכיות בכל מאמצי פתרון (ראה ISO 27002 בקרות 5.29 ו-5.30).

  4. רישום את כל הפעילות הקשורה לאירועים.

  5. ודא שהצוות פועל על בסיס "צריך לדעת" בעת התמודדות עם אירועי מידע פרטיות.

  6. היו מודעים ללא הרף לאחריותם כלפי לקוחותיהם וארגונים חיצוניים, בעת העברת אירועי פרטיות והפרות מידע.

  7. סגור אירועים למערכת נוקשה של קריטריונים לפתרון.

  8. בצע ניתוח משפטי (ראה ISO 27002 בקרה 5.28), לפי הצורך.

  9. חפשו לקבוע את הגורם הבסיסי לאירוע, לאחר שנפתרה (ראה ISO 27002 בקרה 5.27).

  10. נקוט בפעולה מתקנת בכל תהליכים, בקרות, מדיניות ונהלים הקשורים, כדי לחזק את הגנת הפרטיות הארגונית לאחר פתרון אירוע.

תמיכה בבקרות ISO 27002

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

תמיכה בסעיפים של ISO 27701 ובקרות ISO 27002

מאמר GDPRסעיף ISO 27701בקרות ISO 27002
האיחוד האירופי GDPR סעיפים 34 (1) עד 34 (4)ISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
סעיפים 34 (2) ו-34 (1) של האיחוד האירופי GDPRISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

כיצד ISMS.online עזרה

בשל הנחיה מובנית וגישות ההטמעה 'אמץ, הסתגל, הוסף' שלנו, ISMS.online הופך את הדגמת תאימות ל-GDPR לפשוטה. מגוון תכונות חזקות לחיסכון בזמן יהיו זמינות גם עבורך.

עם הפלטפורמה האינטואיטיבית שלנו, אתה יכול להשיג יעדי אבטחת מידע ופרטיות מרובים על ידי מיפוי העבודה שלך על פני מספר תקנים ומסגרות.

אם אתה זקוק לעזרה או ייעוץ במהלך המסע שלך לקראת GDPR, נוכל להעמיד את צוות המומחים הפנימי שלנו לזמין או להמליץ ​​על שותף מהימן שיכול לעזור.

למידע נוסף על ידי הזמנת הדגמה.

עשיתי את ISO 27001 בדרך הקשה אז אני באמת מעריך כמה זמן זה חסך לנו בהשגת הסמכת ISO 27001.

קארל ווהן
ראש מידעסק, MetCloud

הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף