כיצד להוכיח ציות ל-GDPR סעיף 35

הערכת השפעה על הגנת מידע

הזמן הדגמה

צוות, סיעור מוחות, תהליך., צילום, צעיר, יצירתי, מנהלים, צוות, עובדים, עם

GDPR סעיף 35 מחייב ארגונים לבצע א הערכת השפעה על הגנת נתונים (DPIA) בכל פעם שיש לפעולותיהם כמעבד נתונים פוטנציאל להשפיע על הזכויות והחירויות של יחידים, כפי שהוענקו על ידי ממשלותיהם הלאומיות.

GDPR סעיף 35 טקסט משפטי

גרסת GDPR של האיחוד האירופי

הערכת השפעה על הגנת מידע

  1. כאשר סוג של עיבוד, בפרט תוך שימוש בטכנולוגיות חדשות, ובהתחשב באופי, היקפו, ההקשר ובמטרות העיבוד, עלול לגרום לסיכון גבוה לזכויות וחירויות של אנשים טבעיים, על הבקר, לפני העיבוד, לבצע הערכה של ההשפעה של פעולות העיבוד הצפויות על ההגנה על נתונים אישיים. הערכה יחידה עשויה להתייחס לקבוצה של פעולות עיבוד דומות המציגות סיכונים גבוהים דומים.

  2. הבקר יבקש את עצתו של קצין הגנת המידע, היכן שיועד לכך, בעת ביצוע הערכת השפעה להגנת מידע.

  3. הערכת השפעה להגנה על נתונים הנזכרת בסעיף 1 תידרש במיוחד במקרה של:

    • (א) הערכה שיטתית ונרחבת של היבטים אישיים הנוגעים לאנשים טבעיים, המבוססת על עיבוד אוטומטי, לרבות יצירת פרופיל, ועליה מבוססות החלטות המייצרות השפעות משפטיות לגבי האדם הטבעי או משפיעות באופן דומה על האדם הטבעי.

    • (ב) עיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים האמורות בסעיף 9(1), או של נתונים אישיים הנוגעים להרשעות ועבירות פליליות האמורות בסעיף 10; אוֹ

    • (ג) ניטור שיטתי של אזור נגיש לציבור בהיקף נרחב.

  4. הממונה יקים ותפרסם רשימה של סוג פעולות העיבוד הכפופות לדרישה להערכת השפעה על הגנת מידע בהתאם לסעיף 1. רשות הפיקוח תעביר את הרשימות הללו למועצה האמורה בסעיף 68.

  5. כמו כן, הממונה רשאי להקים ולפרסם רשימה של סוג פעולות העיבוד שבגינן לא נדרשת הערכת השפעה על הגנת מידע. הרשות המפקחת תעביר את הרשימות הללו למועצה.

  6. ההערכה תכיל לפחות:

    • (א) תיאור שיטתי של פעולות העיבוד הצפויות ומטרות העיבוד, לרבות, היכן שניתן, האינטרס הלגיטימי שרודף הבקר.

    • (ב) הערכה של נחיצותן ומידתיותן של פעולות העיבוד ביחס למטרות.

    • (ג) הערכה של הסיכונים לזכויות וחירויות של נושאי מידע האמורים בפסקה 1; ו

    • (ד) האמצעים הצפויים לטפל בסיכונים, לרבות אמצעי הגנה, אמצעי אבטחה ומנגנונים להבטחת ההגנה על נתונים אישיים ולהוכחת ציות לתקנה זו תוך התחשבות בזכויות ובאינטרסים הלגיטימיים של נושאי המידע ושל אנשים אחרים הנוגעים בדבר.

  7. עמידה בקודי התנהגות מאושרים הנזכרים בסעיף 40 על ידי הבקרים או המעבדים הרלוונטיים תילקח בחשבון כראוי בהערכת ההשפעה של פעולות העיבוד שבוצעו על ידי בקרים או מעבדים כאלה, בפרט למטרות של הערכת השפעה על הגנת מידע.

  8. במידת הצורך, הבקר יבקש את דעתם של נושאי המידע או נציגיהם לגבי העיבוד המיועד, מבלי לפגוע בהגנה על אינטרסים מסחריים או ציבוריים או באבטחת פעולות העיבוד.

  9. במקרה של עיבוד בהתאם לסעיף (ג) או (ה) של סעיף 6(1), סעיפים 1 עד 7 של סעיף זה אינם חלים אם כבר בוצעה הערכת השפעה על הגנת מידע עבור העיבוד כחלק מ- הערכת השפעה כללית הנדרשת בחוק המקומי, אלא אם כן נקבע אחרת בחוק המקומי.

  10. במידת הצורך, הבקר יבצע סקירה כדי להעריך אם העיבוד מבוצע בהתאם להערכת ההשפעה של הגנת הנתונים, לפחות כאשר יש שינוי בסיכון המיוצג על ידי פעולות העיבוד.

גרסת GDPR בבריטניה

GDPR בבריטניה דומה במידה רבה לקטע ה-GDPR של האיחוד האירופי, ללא הבדלים בולטים.

קפוץ לנושא

פרשנות טכנית

כאשר שוקלים את התכנון והיישום של DPIA, ארגונים צריכים לשקול 11 תחומים מרכזיים:

  1. האם א מנדטורי יש לבצע DPIA.

  2. מעורבות של קצין הגנת מידע.

  3. הסבירות לסיכון משמעותי לזכויות וחירויות של אדם.

  4. מפרטי DPA.

  5. מנגנוני עקביות.

  6. הדרישות המינימליות של כל DPIA שיש לבצע.

  7. כל קוד התנהגות רלוונטי.

  8. כל הפטור הלאומי הקיים.

  9. סקירה של פעולת העיבוד, לאחר השלמת ה-DPIA.

ISO 27701 סעיף 5.2.2 (הבנת הצרכים והציפיות של צדדים מעוניינים) וסעיף GDPR של האיחוד האירופי (35)

להגנה על פרטיות מידע ופרטיות יש פוטנציאל להשפיע על מספר רב של עובדים, משתמשים, לקוחות, הן פנימית והן חיצונית.

ארגונים צריכים לקבל הבנה מוצקה של הצרכים של כל הצוות המושפע ומה ISO מחשיב כ'צדדים בעלי עניין'.

הצורך של הארגון להקים ולתעד:

  • כל 'צדדים בעלי עניין' הרלוונטיים לנושא הרחב יותר של הגנת הפרטיות.

  • מהן הדרישות הייחודיות של האנשים האמורים בהיקף של PIMS.

ארגונים צריכים גם לקחת בחשבון כל התחייבות משפטית, רגולטורית או חוזית, לצד דרישות מעשיות ותפעוליות.

בעת יישום PIMS, ארגונים צריכים למפות רשימה של בעלי עניין שמושפעים מ-PIMS או שיש להם תפקיד בעיבוד PII.

כאשר מדובר ב-PII, צד מעוניין יכול להיות אחד מהבאים (אך לא רק):

  • עובד.

  • לקוח.

  • רשויות רגולטוריות, שיפוטיות או פיקוח.

  • בקרי ומעבדי PII אחרים.

חשוב לציין שדרישות PII - הקשורות ל-PIMS - נובעות לרוב ממגוון רחב של מקורות, כולל:

  • תהליכים ומטרות פנימיות.

  • גופים ממשלתיים ו/או רגולטוריים.

  • התחייבויות חוזיות עם ארגוני צד שלישי.

לעתים קרובות יכול להיות קשה לארגוני שלטון ורגולציה לאשר עמידה בתקני הגנת הפרטיות שפורסמו מצד ארגון, בתפקידו כמעבד ובקר PII.

ככזה, ארגונים צריכים לצפות מגופים כאלה לקרוא לביקורות בלתי תלויות של כל מערכת ניהול רלוונטית, כדי לעמוד בדרישות הביקורת שלהם.

ISO 27701 סעיף 7.2.5 (הערכת השפעת פרטיות) וסעיף 35 של ה-EU GDPR

בסעיף זה אנו מדברים על סעיפים GDPR 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(א), 35 (3)(ב), 35 (3)(ג) 35 (4), 35 (5), 35 (7)(א), 35 (7)(ב), 35 (7)(ג), 35 (7)(ד), 35 (8) ו-35 (9)

הערכות השפעת הפרטיות מאפשרות לארגונים לאמוד כל השלכות על אבטחת מידע בעת עיבוד קבוצה חדשה של PII, או שינוי אופן עיבוד הנתונים הקיימים.

עיבוד PII הוא פונקציה עסקית עתירת סיכונים שיש להעריך ביסודיות כדי להבטיח את היושרה, האותנטיות והחוקיות של הנתונים המעובדים.

בהתאם לתחום השיפוט, ארגונים מסוימים יצטרכו לציית לרשימה קטגורית של תרחישים שבהם נדרשת הערכת השפעה על הפרטיות, כגון:

  1. קבלת החלטות אוטומטית.

  2. עיבוד ברמת הארגון של קטגוריות PII מיוחדות.

  3. ניטור שטחים ציבוריים גדולים.

ארגונים צריכים לקבוע מה מהווה הערכת השפעה נאותה, כולל (אך לא רק):

  • איזה סוג של PII מאוחסן.

  • איפה זה מאוחסן.

  • לאן ניתן להעביר אותו.

גלה את הפלטפורמה שלנו

הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך

אנחנו חסכוניים ומהירים

גלה כיצד זה יגדיל את החזר ה-ROI שלך
קבל את הצעת המחיר שלך

ISO 27701 סעיף 8.2.1 (הסכם לקוח) ו-EU GDPR סעיף 35 (1)

החוזים צריכים לכלול:

  • המושג 'פרטיות לפי עיצוב' (ראה ISO 27701 סעיפים 7.4 ו-8.4).

  • כיצד הארגון מתכוון להשיג אבטחת עיבוד.

  • כיצד יש לדווח על הפרות, כולל לקוחות, מנהלים ורשויות רגולטוריות.

  • כיצד יש להתמודד עם הערכות השפעת הפרטיות.

  • אישור על כוונת הארגון לספק סיוע לרשויות הגנת PII.

תמיכה בסעיפים ISO 27701

  • ISO 27701 7.4
  • ISO 27701 8.4

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
סעיף 35 (9) של ה-EU GDPRISO 27701 5.2.2ללא חתימה
האיחוד האירופי GDPR סעיפים 35 (1) עד 35 (9)ISO 27701 7.2.5ללא חתימה
סעיף 35 (1) של ה-EU GDPRISO 27701 8.2.1ISO 27701 7.4
ISO 27701 8.4

כיצד ISMS.online עזרה

הפרה של GDPR עלולה לגרום לקנסות משמעותיים, מה שהופך אותה לאחת מתקנות הפרטיות והאבטחה הקשות בעולם. לכן, ארגונים חייבים להגן על נתונים אישיים במידה 'הגיונית'.

אבל הנה החדשות הטובות.

באמצעות ISMS.online, אתה יכול לקפוץ ישר לתאימות ל-GDPR ולהפגין רמת הגנה שמגיעה מעבר ל'סבירה'. אנו הופכים את מיפוי הנתונים לקל. הקלט וסקור בקלות את פעילות העיבוד של הארגון שלך על ידי הוספת הפרטים שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.

עם הכלים שלנו, אתה יכול לתכנן, לתקשר, לתעד וללמוד מכל הפרה.

למידע נוסף על ידי הזמנת הדגמה.

ISMS.online הוא א
פתרון חד פעמי שהאיץ באופן קיצוני את היישום שלנו.

אוון האריס
מייסד ו-COO, מרגיז

הזמן את ההדגמה שלך

פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף