GDPR סעיף 34 מתאר את חובתו של ארגון ליידע את נושאי המידע על הפרת מידע, שעלולה לגרום לסיכון משמעותי לזכויותיהם וחירויותיהם כיחידים.
הודעה על הפרת נתונים אישיים לנושא הנתונים
- כאשר הפרת המידע האישי עשויה לגרום לסיכון גבוה לזכויות ולחירויות של אנשים טבעיים, הבקר ימסור את הפרת המידע האישי לנושא המידע ללא דיחוי מיותר.
- ההודעה לנושא המידע הנזכרת בסעיף 1 של סעיף זה תתאר בשפה ברורה וברורה את אופי הפרת המידע האישי ותכיל לפחות את המידע והאמצעים האמורים בנקודות (ב), (ג) ו-(ד). ) של סעיף 33(3).
- לא תידרש הודעה לנושא המידע הנזכר בסעיף 1 אם מתקיים אחד מהתנאים הבאים:
- (א) הבקר יישם אמצעי הגנה טכניים וארגוניים מתאימים, ואמצעים אלה יושמו על הנתונים האישיים המושפעים מהפרת המידע האישי, בפרט אלה שהופכים את הנתונים האישיים לבלתי מובנים לכל אדם שאינו מורשה לגשת אליהם, כגון הצפנה.
- (ב) הבקר נקט באמצעים הבאים המבטיחים שהסיכון הגבוה לזכויות וחירויות של נושאי מידע הנזכרים בסעיף 1 אינו צפוי עוד להתממש.
- (ג) זה יהיה כרוך במאמץ לא מידתי. במקרה כזה, במקום זאת תהיה תקשורת פומבית או אמצעי דומה, לפיו נושאי הנתונים מקבלים מידע בצורה יעילה באותה מידה.
- אם הבקר טרם הודיע על הפרת המידע האישי לנושא המידע, רשות הפיקוח, לאחר ששקלה את הסבירות שהפרת המידע האישי תגרום לסיכון גבוה, רשאית לדרוש ממנה לעשות זאת או להחליט כי כל אחד מהתנאים המוזכרים כדי בסעיף 3 מתקיימים.
הודעה על הפרת נתונים אישיים לנושא הנתונים
- כאשר הפרת המידע האישי עשויה לגרום לסיכון גבוה לזכויות ולחירויות של אנשים טבעיים, הבקר ימסור את הפרת המידע האישי לנושא המידע ללא דיחוי מיותר.
- ההודעה לנושא המידע הנזכרת בסעיף 1 של סעיף זה תתאר בשפה ברורה וברורה את אופי הפרת המידע האישי ותכיל לפחות את המידע והאמצעים האמורים בנקודות (ב), (ג) ו-(ד). ) של סעיף 33(3).
- לא תידרש הודעה לנושא המידע הנזכר בסעיף 1 אם מתקיים אחד מהתנאים הבאים:
- (א) הבקר יישם אמצעי הגנה טכניים וארגוניים מתאימים, ואמצעים אלה יושמו על הנתונים האישיים המושפעים מהפרת המידע האישי, בפרט אלה שהופכים את הנתונים האישיים לבלתי מובנים לכל אדם שאינו מורשה לגשת אליהם, כגון הצפנה.
- (ב) הבקר נקט באמצעים הבאים המבטיחים שהסיכון הגבוה לזכויות וחירויות של נושאי מידע הנזכרים בסעיף 1 אינו צפוי עוד להתממש.
- (ג) זה יהיה כרוך במאמץ לא מידתי. במקרה כזה, במקום זאת תהיה תקשורת פומבית או אמצעי דומה, לפיו נושאי הנתונים מקבלים מידע בצורה יעילה באותה מידה.
- אם הבקר טרם הודיע על הפרת המידע האישי לנושא המידע, הממונה, לאחר ששקל את הסבירות שהפרת המידע האישי תגרום לסיכון גבוה, רשאי לדרוש ממנו לעשות כן או להחליט כי כל אחד מהתנאים הנזכרים בסעיף 3 מתקיימים.
בקש ציטוט
סעיף 34 של GDPR מבהיר שלא כל ההפרות חייבות להיות מועברות לנושאי המידע. עם זאת, ארגונים צריכים למסור את הפרטים של הפרה כאשר היא צפויה לגרום לסיכון גבוה לזכויות ולחירויות של אנשים טבעיים.
סעיף 34 מתאר שלושה תחומים עיקריים שיש להתמקד בהם, כאשר מודיעים על הפרת נתונים:
בקרים אינם מחויבים לדווח על הפרה בשלושת התרחישים הבאים:
בסעיף זה אנו מדברים על סעיפים GDPR 34 (1), 34 (2), 34 (3)(א), 34 (3)(ב), 34 (3)(ג) ו-34(4)
על מנת ליצור מדיניות ניהול אירועים מגובשת ומתפקדת היטב, אשר שומרת על הזמינות והשלמות של מידע פרטיות במהלך אירועים קריטיים, ארגונים צריכים:
הצוות המעורב בתקריות אבטחת מידע פרטיות צריך להבין:
כאשר עוסקים באירועי אבטחת מידע פרטיות, הצוות צריך:
פעילויות הדיווח צריכות להתרכז סביב 4 תחומים מרכזיים:
בסעיף זה אנו מדברים על GDPR סעיפים 34 (2) ו-34 (1)
ארגונים צריכים להבטיח שאירועי אבטחת מידע פרטיות יטופלו על ידי צוות טכני ייעודי עם הכישורים והמשאבים להשפיע על פתרון מהיר (ראה ISO 27002 בקרה 5.24).
ארגונים צריכים:
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
האיחוד האירופי GDPR סעיפים 34 (1) עד 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
סעיפים 34 (2) ו-34 (1) של האיחוד האירופי GDPR | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
בשל הנחיה מובנית וגישות ההטמעה 'אמץ, הסתגל, הוסף' שלנו, ISMS.online הופך את הדגמת תאימות ל-GDPR לפשוטה. מגוון תכונות חזקות לחיסכון בזמן יהיו זמינות גם עבורך.
עם הפלטפורמה האינטואיטיבית שלנו, אתה יכול להשיג יעדי אבטחת מידע ופרטיות מרובים על ידי מיפוי העבודה שלך על פני מספר תקנים ומסגרות.
אם אתה זקוק לעזרה או ייעוץ במהלך המסע שלך לקראת GDPR, נוכל להעמיד את צוות המומחים הפנימי שלנו לזמין או להמליץ על שותף מהימן שיכול לעזור.
למידע נוסף על ידי הזמנת הדגמה.
עשיתי את ISO 27001 בדרך הקשה אז אני באמת מעריך כמה זמן זה חסך לנו בהשגת הסמכת ISO 27001.