GDPR סעיף 36 מתווה את חובתו של ארגון להתייעץ עם 'רשות מפקחת' לפני ביצוע DPIA (ראה סעיף 35), כדי להגן עוד יותר על הזכויות והחירויות של נושאי המידע לאורך פעולת העיבוד.
התייעצות מוקדמת
- הבקר יתייעץ עם רשות הפיקוח לפני העיבוד, כאשר הערכת ההשפעה של הגנת מידע לפי סעיף 35 מצביעה על כך שהעיבוד יגרום לסיכון גבוה בהיעדר אמצעים שננקטים על ידי המבקר כדי להפחית את הסיכון.
- כאשר רשות הפיקוח סבורה כי העיבוד המיועד האמור בסעיף 1 יהווה הפרה של תקנה זו, בפרט כאשר הבקר לא זיהה או הפחית מספיק את הסיכון, תצטרך הרשות המפקחת, תוך תקופה של עד שמונה שבועות מיום קבלת הבקשה להתייעצות, לספק ייעוץ בכתב לבקר ובמקרה שרלוונטי למעבד, ורשאים להשתמש בכל אחת מסמכויותיו האמורות בסעיף 58. ניתן להאריך תקופה זו בשישה שבועות, בהתחשב במורכבות העיבוד המיועד . רשות הפיקוח תודיע על כל הארכה כאמור לאחר קבלת הבקר ובמקרה רלוונטי למעבד תוך חודש מיום קבלת הבקשה להתייעצות בצירוף הסיבות לעיכוב. ניתן להשעות תקופות אלה עד שרשות הפיקוח תשיג מידע שביקשה לצורך הייעוץ.
- בעת התייעצות עם רשות הפיקוח בהתאם לפסקה 1, יספק הבקר לרשות המפקחת:
- (א) במקרה הרלוונטי, תחומי האחריות המתאימים של הבקר, הבקרים המשותפים והמעבדים המעורבים בעיבוד, בפרט לעיבוד בתוך קבוצת התחייבויות;
- (ב) המטרות והאמצעים של העיבוד המיועד;
- (ג) האמצעים והאמצעים הניתנים להגנת הזכויות והחירויות של נושאי מידע לפי תקנה זו;
- (ד) במידת הצורך, פרטי ההתקשרות של קצין הגנת המידע;
- (ה) הערכת ההשפעה על הגנת הנתונים הקבועה בסעיף 35; ו
- (ו) כל מידע אחר שתבקש הרשות המפקחת.
- המדינות החברות יתייעצו עם רשות הפיקוח במהלך הכנת הצעה לצעד חקיקתי שיאומץ על ידי פרלמנט לאומי, או של אמצעי רגולטורי המבוסס על אמצעי חקיקה כאמור, המתייחס לעיבוד.
- על אף סעיף 1, החוק של המדינה החברות רשאית לדרוש מבקרים להתייעץ עם רשות הפיקוח ולקבל אישור מוקדם ממנה ביחס לעיבוד על ידי בקר לצורך ביצוע משימה שבוצעה על ידי הבקר למען האינטרס הציבורי, לרבות עיבוד ביחס להגנה סוציאלית ובריאות הציבור.
התייעצות מוקדמת
- המבקר יתייעץ עם הממונה לפני העיבוד כאשר הערכת ההשפעה של הגנת מידע לפי סעיף 35 מצביעה על כך שהעיבוד יביא לסיכון גבוה בהיעדר אמצעים שננקטים על ידי המבקר להפחתת הסיכון.
- מקום שהממונה סבור שהעיבוד המיועד האמור בסעיף 1 יפר תקנה זו, בפרט כאשר המבקר לא זיהה או הפחית מספיק את הסיכון, יצטרך הממונה, תוך תקופה של עד שמונה שבועות מיום קבלת הבקשה. להתייעצות, לספק ייעוץ בכתב לבקר ובמקרה שרלוונטי למעבד, והוא רשאי להשתמש בכל אחת מסמכויותיו האמורות בסעיף 58. ניתן להאריך תקופה זו בשישה שבועות, תוך התחשבות במורכבות העיבוד המיועד. הממונה יודיע על כל הארכה כאמור לבוקר ובמקרה רלוונטי למעבד תוך חודש מיום קבלת הבקשה להתייעצות בצירוף הסיבות לעיכוב. ניתן להשעות תקופות אלו עד שהממונה יקבל מידע שביקש לצורך הייעוץ.
- בהתייעצות עם הממונה לפי סעיף 1, ימסור הבקר לרשות הפיקוח:
- (א) במקרה הרלוונטי, תחומי האחריות המתאימים של הבקר, הבקרים המשותפים והמעבדים המעורבים בעיבוד, בפרט לעיבוד בתוך קבוצת התחייבויות;
- (ב) המטרות והאמצעים של העיבוד המיועד;
- (ג) האמצעים והאמצעים הניתנים להגנת הזכויות והחירויות של נושאי מידע לפי תקנה זו;
- (ד) במידת הצורך, פרטי ההתקשרות של קצין הגנת המידע;
- (ה) הערכת ההשפעה על הגנת הנתונים הקבועה בסעיף 35; ו
- (ו) כל מידע אחר שתבקש הרשות המפקחת.
- על הרשות הרלוונטית להתייעץ עם הנציב במהלך הכנת הצעה לצעד חקיקתי שיאומץ על ידי הפרלמנט, האספה הלאומית לוויילס, הפרלמנט הסקוטי או אספת צפון אירלנד, או של צעד רגולטורי המבוסס על אמצעי חקיקה כאמור. הנוגע לעיבוד.
4א. בפסקה 4, "הרשות הרלוונטית" פירושה- (א) ביחס לצעד חקיקתי שאומץ על ידי הפרלמנט, או אמצעי רגולטורי המבוסס על אמצעי חקיקה כאמור, מזכיר המדינה; (ב) ביחס לצעד חקיקתי שאומץ על ידי האסיפה הלאומית לוויילס, או אמצעי רגולטורי המבוסס על אמצעי חקיקה כאמור, השרים הוולשיים; (ג) ביחס לצעד חקיקתי שאומץ על ידי הפרלמנט הסקוטי, או אמצעי רגולטורי המבוסס על אמצעי חקיקה כאמור, השרים הסקוטיים; (ד) ביחס לצעד חקיקתי שאומץ על ידי אספת צפון אירלנד, או צעד רגולטורי המבוסס על אמצעי חקיקה כאמור, מחלקת צפון אירלנד הרלוונטית.- על אף סעיף 1, החוק של המדינה החברות רשאית לדרוש מבקרים להתייעץ עם רשות הפיקוח ולקבל אישור מוקדם ממנה ביחס לעיבוד על ידי בקר לצורך ביצוע משימה שבוצעה על ידי הבקר למען האינטרס הציבורי, לרבות עיבוד ביחס להגנה סוציאלית ובריאות הציבור.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה
בסעיף זה אנו מדברים על סעיפים GDPR 36 (1), 36 (2), 36 (3)(א), 36 (3)(ב), 36 (3)(ג), 36 (3)(ד), 36 (3)(ה), 36 (3)(ו) ו-36 (5)
להגנה על פרטיות מידע ופרטיות יש פוטנציאל להשפיע על מספר רב של עובדים, משתמשים, לקוחות, הן פנימית והן חיצונית.
ארגונים צריכים לקבל הבנה מוצקה של הצרכים של כל הצוות המושפע ומה ISO מחשיב כ'צדדים בעלי עניין'.
הצורך של הארגון להקים ולתעד:
ארגונים צריכים גם לקחת בחשבון כל התחייבות משפטית, רגולטורית או חוזית, לצד דרישות מעשיות ותפעוליות.
בעת יישום PIMS, ארגונים צריכים למפות רשימה של בעלי עניין שמושפעים מ-PIMS או שיש להם תפקיד בעיבוד PII.
כאשר מדובר ב-PII, צד מעוניין יכול להיות אחד מהבאים (אך לא רק):
חשוב לציין שדרישות PII - הקשורות ל-PIMS - נובעות לרוב ממגוון רחב של מקורות, כולל:
לעתים קרובות יכול להיות קשה לארגוני שלטון ורגולציה לאשר עמידה בתקני הגנת הפרטיות שפורסמו מצד ארגון, בתפקידו כמעבד ובקר PII.
ככזה, ארגונים צריכים לצפות מגופים כאלה לקרוא לביקורות בלתי תלויות של כל מערכת ניהול רלוונטית, כדי לעמוד בדרישות הביקורת שלהם.
בסעיף זה אנו מדברים על סעיפים GDPR 36 (1), 36 (3)(א), 36 (3)(ב), 36 (3)(ג), 36 (3)(ד), 36 (3)( ה), 36 (3)(ו) ו-36 (5)
עיבוד PII הוא פונקציה עסקית עתירת סיכונים שיש להעריך ביסודיות כדי להבטיח את היושרה, האותנטיות והחוקיות של הנתונים המעובדים.
בהתאם לתחום השיפוט, ארגונים מסוימים יצטרכו לציית לרשימה קטגורית של תרחישים שבהם נדרשת הערכת השפעה על הפרטיות, כגון:
ארגונים צריכים לקבוע מה מהווה הערכת השפעה נאותה, כולל (אך לא רק):
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| האיחוד האירופי GDPR סעיפים 36 (1) עד 36 (5) | ISO 27701 5.2.2 | ללא חתימה |
| סעיפים GDPR של האיחוד האירופי 36 (1), 36 (3)(א), 36)(3)(ב), 36 (3)(ג), 36 (3)(ד), 36 (3)(ה), 36 (3)(ו) ו-36 (5) | ISO 27701 7.2.5 | ללא חתימה |
תמכו בהחלטות עסקיות רחבות יותר. עם כל הנתונים שלך במקום אחד, שתוכננו מתוך מחשבה על שיתוף פעולה, תהיו מצוידים היטב לקבל את ההחלטות הנכונות בזמן הנכון.
הישאר לפני השינוי. סיכונים אינם סטטיים, כך שהכלים שלך צריכים להיות מסוגלים להסתגל. לטפל ללא מאמץ באיומים והזדמנויות באמצעות כלי משולב ודינמי המפשט זיהוי, הערכה וטיפול בסיכונים על בסיס מתמשך.
למידע נוסף על ידי הזמנת הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
