GDPR סעיף 42 מתאר את יכולתו של ארגון להשיג רמה של הסמכה מרצון, הקשורה לפעולות עיבוד הנתונים שלו.
הסמכה אינה חובה, אך מציינת את מחויבותו של ארגון לשפר ולקדם את יכולתו לעמוד בהתחייבויות רגולטוריות וחוקיות שונות הקשורות ל-GDPR.
חשוב לציין שההסמכה אינה מבטיחה בשום אופן עמידה בדרישות, או מפחיתה בשום אופן את המחויבות של ארגון כלפי האנשים המושפעים מפעולת עיבוד הנתונים שלו.
תעודה
- המדינות החברות, רשויות הפיקוח, המועצה והנציבות יעודדו, במיוחד ברמת האיחוד, הקמת מנגנוני אישור הגנת מידע ושל חותמות וסימנים להגנת מידע, לצורך הוכחת ציות לתקנה זו של פעולות עיבוד על ידי בקרים ומעבדים. הצרכים הספציפיים של ארגונים זעירים, קטנים ובינוניים יילקחו בחשבון.
- בנוסף לציות של בקרים או מעבדים הכפופים לתקנה זו, ניתן להקים מנגנוני אישור הגנת מידע, חותמות או סימנים שאושרו בהתאם לסעיף 5 לסעיף זה במטרה להוכיח את קיומם של אמצעי הגנה מתאימים הניתנים על ידי בקרים או מעבדים שאינם בכפוף לתקנה זו בהתאם לסעיף 3 במסגרת העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים לפי התנאים האמורים בנקודה (ו) של סעיף 46(2). בקרים או מעבדים כאלה יקבלו התחייבויות מחייבות וניתנות לאכיפה, באמצעות מכשירים חוזיים או מסמכים משפטיים מחייבים אחרים, ליישם את אותם אמצעי הגנה מתאימות, לרבות בכל הנוגע לזכויות של נושאי מידע.
- ההסמכה תהיה וולונטרית וזמינה בתהליך שקוף.
- אישור לפי סעיף זה אינו מפחית את אחריותו של הבקר או המעבד לעמידה בתקנה זו ואינו פוגע במשימות ובסמכויות של רשויות הפיקוח המוסמכות לפי סעיף 55 או 56.
- הסמכה לפי סעיף זה תינתן על ידי גופי ההסמכה האמורים בסעיף 43 או על ידי רשות הפיקוח המוסמכת, על בסיס קריטריונים שאושרו על ידי אותה רשות פיקוח מוסמכת בהתאם לסעיף 58(3) או על ידי המועצה לפי סעיף 63. כאשר הקריטריונים מאושרים על ידי המועצה, הדבר עשוי להביא לאישור משותף, חותם הגנת הנתונים האירופאי.
- הבקר או המעבד אשר מגישים את עיבודו למנגנון ההסמכה יספקו לגוף האישור האמור בסעיף 43, או במקרה הרלוונטי, לרשות הפיקוח המוסמכת, את כל המידע והגישה לפעילויות העיבוד שלו הנחוצות לניהול הליך האישור.
- ההסמכה תינתן לבקר או למעבד לתקופה מקסימלית של שלוש שנים וניתנת לחידושה, באותם תנאים, ובלבד שהדרישות הרלוונטיות ימשיכו להתקיים. ההסמכה תבוטל, לפי העניין, על ידי גופי ההסמכה הנזכרים בסעיף 43 או על ידי רשות הפיקוח המוסמכת כאשר הדרישות להסמכה אינן או אינן מתקיימות עוד.
- המועצה תרכז את כל מנגנוני האישורים וחותמות וסימני הגנת המידע במרשם ותהפוך אותם לזמינים לציבור בכל אמצעי מתאים.
תעודה
- הממונה יעודד הקמת מנגנוני אישור הגנת מידע ושל חותמות וסימני הגנת מידע, לצורך הוכחת עמידה בתקנה זו של פעולות עיבוד של בקרים ומעבדים. הצרכים הספציפיים של ארגונים זעירים, קטנים ובינוניים יילקחו בחשבון.
- בנוסף לציות של בקרים או מעבדים הכפופים לתקנה זו, ניתן להקים מנגנוני אישור הגנת מידע, חותמות או סימנים שאושרו בהתאם לסעיף 5 לסעיף זה במטרה להוכיח את קיומם של אמצעי הגנה מתאימים הניתנים על ידי בקרים או מעבדים שאינם בכפוף לתקנה זו בהתאם לסעיף 3 במסגרת העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים לפי התנאים האמורים בנקודה (ו) של סעיף 46(2). בקרים או מעבדים כאלה יקבלו התחייבויות מחייבות וניתנות לאכיפה, באמצעות מכשירים חוזיים או מסמכים משפטיים מחייבים אחרים, ליישם את אותם אמצעי הגנה מתאימות, לרבות בכל הנוגע לזכויות של נושאי מידע.
- ההסמכה תהיה וולונטרית וזמינה בתהליך שקוף.
- אישור לפי סעיף זה אינו מפחית מאחריותו של הבקר או המעבד לקיום תקנה זו ואינו פוגע במשימות ובסמכויות הממונה.
- אישור לפי סימן זה יינתן על ידי גופי ההסמכה האמורים בסעיף 43 או על ידי הממונה, על בסיס קריטריונים שאושרו על ידי הממונה לפי סעיף 58(3).
- הבקר או המעבד המגישים את עיבודו למנגנון ההסמכה יספקו לגוף ההסמכה האמור בסעיף 43, או במקרה הרלוונטי, לממונה, את כל המידע והגישה לפעילויות העיבוד שלו הנחוצות לביצוע הליך ההסמכה.
- ההסמכה תינתן לבקר או למעבד לתקופה מקסימלית של שלוש שנים וניתנת לחידושה, באותם תנאים, ובלבד שהדרישות הרלוונטיות ימשיכו להתקיים. ההסמכה תבוטל, לפי העניין, על ידי גופי ההסמכה האמורים בסעיף 43 או על ידי הממונה, כאשר הדרישות להסמכה אינן או אינן מתקיימות עוד.
- הממונה יאסוף את כל מנגנוני האישור וחותמות וסימני הגנת המידע במרשם ויהפוך אותם לזמינים לציבור בכל אמצעי מתאים.
ניתן לקבל הסמכה בשתי דרכים:
על מנת שארגון יקבל הסמכה יש להעריך אותם בהתאם לקריטריוני הסמכה שונים, המאושרים על ידי רשות מתאימה.
כל הקריטריונים צריכים להתמקד ב אימות, משמעות, ו התאמה של פעולת עיבוד הנתונים של הארגון.
שלושה מרכיבים עיקריים של עיבוד הנתונים של ארגון צריכים להיכלל בתהליך ההסמכה:
בסעיף זה אנו מדברים על סעיפים GDPR 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8)
ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.
הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.
ארגונים צריכים גם:
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
האיחוד האירופי GDPR סעיפים 42 (1) עד 42 (8) | ISO 27701 5.2.1 | ללא חתימה |
פלטפורמת ISMS.online מבטיחה שתוכל ליצור, לתקשר, לשלוט ולשתף פעולה בקלות. עם ISMS.online התאימות שלך הופכת ל'עסקים כרגיל' כאשר כל הפעילות שלך יוצרת מסלולי ביקורת ברורים.
זה אומר שתיגש לכל ביקורת בביטחון; בידיעה שהסרת את הסיכון לטעות תוך חיסכון בזמן והפחתת עלויות.
למידע נוסף על ידי הזמנת הדגמה קצרה.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.