GDPR סעיף 35 מחייב ארגונים לבצע א הערכת השפעה על הגנת נתונים (DPIA) בכל פעם שיש לפעולותיהם כמעבד נתונים פוטנציאל להשפיע על הזכויות והחירויות של יחידים, כפי שהוענקו על ידי ממשלותיהם הלאומיות.
הערכת השפעה על הגנת מידע
- כאשר סוג של עיבוד, בפרט תוך שימוש בטכנולוגיות חדשות, ובהתחשב באופי, היקפו, ההקשר ובמטרות העיבוד, עלול לגרום לסיכון גבוה לזכויות וחירויות של אנשים טבעיים, על הבקר, לפני העיבוד, לבצע הערכה של ההשפעה של פעולות העיבוד הצפויות על ההגנה על נתונים אישיים. הערכה יחידה עשויה להתייחס לקבוצה של פעולות עיבוד דומות המציגות סיכונים גבוהים דומים.
- הבקר יבקש את עצתו של קצין הגנת המידע, היכן שיועד לכך, בעת ביצוע הערכת השפעה להגנת מידע.
- הערכת השפעה להגנה על נתונים הנזכרת בסעיף 1 תידרש במיוחד במקרה של:
- (א) הערכה שיטתית ונרחבת של היבטים אישיים הנוגעים לאנשים טבעיים, המבוססת על עיבוד אוטומטי, לרבות יצירת פרופיל, ועליה מבוססות החלטות המייצרות השפעות משפטיות לגבי האדם הטבעי או משפיעות באופן דומה על האדם הטבעי.
- (ב) עיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים האמורות בסעיף 9(1), או של נתונים אישיים הנוגעים להרשעות ועבירות פליליות האמורות בסעיף 10; אוֹ
- (ג) ניטור שיטתי של אזור נגיש לציבור בהיקף נרחב.
- הממונה יקים ותפרסם רשימה של סוג פעולות העיבוד הכפופות לדרישה להערכת השפעה על הגנת מידע בהתאם לסעיף 1. רשות הפיקוח תעביר את הרשימות הללו למועצה האמורה בסעיף 68.
- כמו כן, הממונה רשאי להקים ולפרסם רשימה של סוג פעולות העיבוד שבגינן לא נדרשת הערכת השפעה על הגנת מידע. הרשות המפקחת תעביר את הרשימות הללו למועצה.
- ההערכה תכיל לפחות:
- (א) תיאור שיטתי של פעולות העיבוד הצפויות ומטרות העיבוד, לרבות, היכן שניתן, האינטרס הלגיטימי שרודף הבקר.
- (ב) הערכה של נחיצותן ומידתיותן של פעולות העיבוד ביחס למטרות.
- (ג) הערכה של הסיכונים לזכויות וחירויות של נושאי מידע האמורים בפסקה 1; ו
- (ד) האמצעים הצפויים לטפל בסיכונים, לרבות אמצעי הגנה, אמצעי אבטחה ומנגנונים להבטחת ההגנה על נתונים אישיים ולהוכחת ציות לתקנה זו תוך התחשבות בזכויות ובאינטרסים הלגיטימיים של נושאי המידע ושל אנשים אחרים הנוגעים בדבר.
- עמידה בקודי התנהגות מאושרים הנזכרים בסעיף 40 על ידי הבקרים או המעבדים הרלוונטיים תילקח בחשבון כראוי בהערכת ההשפעה של פעולות העיבוד שבוצעו על ידי בקרים או מעבדים כאלה, בפרט למטרות של הערכת השפעה על הגנת מידע.
- במידת הצורך, הבקר יבקש את דעתם של נושאי המידע או נציגיהם לגבי העיבוד המיועד, מבלי לפגוע בהגנה על אינטרסים מסחריים או ציבוריים או באבטחת פעולות העיבוד.
- במקרה של עיבוד בהתאם לסעיף (ג) או (ה) של סעיף 6(1), סעיפים 1 עד 7 של סעיף זה אינם חלים אם כבר בוצעה הערכת השפעה על הגנת מידע עבור העיבוד כחלק מ- הערכת השפעה כללית הנדרשת בחוק המקומי, אלא אם כן נקבע אחרת בחוק המקומי.
- במידת הצורך, הבקר יבצע סקירה כדי להעריך אם העיבוד מבוצע בהתאם להערכת ההשפעה של הגנת הנתונים, לפחות כאשר יש שינוי בסיכון המיוצג על ידי פעולות העיבוד.
GDPR בבריטניה דומה במידה רבה לקטע ה-GDPR של האיחוד האירופי, ללא הבדלים בולטים.
בקש ציטוט
כאשר שוקלים את התכנון והיישום של DPIA, ארגונים צריכים לשקול 11 תחומים מרכזיים:
להגנה על פרטיות מידע ופרטיות יש פוטנציאל להשפיע על מספר רב של עובדים, משתמשים, לקוחות, הן פנימית והן חיצונית.
ארגונים צריכים לקבל הבנה מוצקה של הצרכים של כל הצוות המושפע ומה ISO מחשיב כ'צדדים בעלי עניין'.
הצורך של הארגון להקים ולתעד:
ארגונים צריכים גם לקחת בחשבון כל התחייבות משפטית, רגולטורית או חוזית, לצד דרישות מעשיות ותפעוליות.
בעת יישום PIMS, ארגונים צריכים למפות רשימה של בעלי עניין שמושפעים מ-PIMS או שיש להם תפקיד בעיבוד PII.
כאשר מדובר ב-PII, צד מעוניין יכול להיות אחד מהבאים (אך לא רק):
חשוב לציין שדרישות PII - הקשורות ל-PIMS - נובעות לרוב ממגוון רחב של מקורות, כולל:
לעתים קרובות יכול להיות קשה לארגוני שלטון ורגולציה לאשר עמידה בתקני הגנת הפרטיות שפורסמו מצד ארגון, בתפקידו כמעבד ובקר PII.
ככזה, ארגונים צריכים לצפות מגופים כאלה לקרוא לביקורות בלתי תלויות של כל מערכת ניהול רלוונטית, כדי לעמוד בדרישות הביקורת שלהם.
בסעיף זה אנו מדברים על סעיפים GDPR 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(א), 35 (3)(ב), 35 (3)(ג) 35 (4), 35 (5), 35 (7)(א), 35 (7)(ב), 35 (7)(ג), 35 (7)(ד), 35 (8) ו-35 (9)
הערכות השפעת הפרטיות מאפשרות לארגונים לאמוד כל השלכות על אבטחת מידע בעת עיבוד קבוצה חדשה של PII, או שינוי אופן עיבוד הנתונים הקיימים.
עיבוד PII הוא פונקציה עסקית עתירת סיכונים שיש להעריך ביסודיות כדי להבטיח את היושרה, האותנטיות והחוקיות של הנתונים המעובדים.
בהתאם לתחום השיפוט, ארגונים מסוימים יצטרכו לציית לרשימה קטגורית של תרחישים שבהם נדרשת הערכת השפעה על הפרטיות, כגון:
ארגונים צריכים לקבוע מה מהווה הערכת השפעה נאותה, כולל (אך לא רק):
החוזים צריכים לכלול:
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
סעיף 35 (9) של ה-EU GDPR | ISO 27701 5.2.2 | ללא חתימה |
האיחוד האירופי GDPR סעיפים 35 (1) עד 35 (9) | ISO 27701 7.2.5 | ללא חתימה |
סעיף 35 (1) של ה-EU GDPR | ISO 27701 8.2.1 | ISO 27701 7.4 ISO 27701 8.4 |
הפרה של GDPR עלולה לגרום לקנסות משמעותיים, מה שהופך אותה לאחת מתקנות הפרטיות והאבטחה הקשות בעולם. לכן, ארגונים חייבים להגן על נתונים אישיים במידה 'הגיונית'.
אבל הנה החדשות הטובות.
באמצעות ISMS.online, אתה יכול לקפוץ ישר לתאימות ל-GDPR ולהפגין רמת הגנה שמגיעה מעבר ל'סבירה'. אנו הופכים את מיפוי הנתונים לקל. הקלט וסקור בקלות את פעילות העיבוד של הארגון שלך על ידי הוספת הפרטים שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.
עם הכלים שלנו, אתה יכול לתכנן, לתקשר, לתעד וללמוד מכל הפרה.
למידע נוסף על ידי הזמנת הדגמה.
ISMS.online הוא א
פתרון חד פעמי שהאיץ באופן קיצוני את היישום שלנו.