כיצד להוכיח ציות ל-GDPR סעיף 47

כללי תאגיד מחייבים

הזמן הדגמה

גברים,יד,הקלדה,במחשב,מקלדת,תוך כדי,עבודה,מהבית

אם למדינה המקבלת אין חוקים משמעותיים להגנת מידע (ראה סעיף 45), GDPR סעיף 47 מאפשר לארגונים לאמץ כללי תאגיד מחייבים, המשמשים כהגנה הולמת כלפי כל מידע שיש להעביר.

GDPR סעיף 47 טקסט משפטי

גרסת GDPR של האיחוד האירופי

כללי תאגיד מחייבים

  1. רשות הפיקוח המוסמכת תאשר כללי תאגיד מחייבים בהתאם למנגנון העקביות הקבוע בסעיף 63, ובלבד שהם:

    • (א) מחייבים מבחינה משפטית וחלים על כל חבר הנוגע בדבר בקבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, לרבות עובדיהם;

    • (ב) להעניק במפורש זכויות הניתנות לאכיפה לנושאי מידע בנוגע לעיבוד הנתונים האישיים שלהם; ו

    • (ג) למלא את הדרישות הקבועות בפסקה 2.

  2. כללי התאגיד המחייבים הנזכרים בסעיף 1 יפרטו לפחות:

    • (א) המבנה ופרטי ההתקשרות של קבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת ושל כל אחד מחבריה;

    • (ב) העברת הנתונים או מערך ההעברות, לרבות קטגוריות הנתונים האישיים, סוג העיבוד ומטרותיו, סוג נושאי הנתונים המושפעים וזיהוי המדינה או המדינות השלישיות הנדונות;

    • (ג) אופיים המחייב מבחינה משפטית, הן פנימית והן חיצונית;

    • (ד) היישום של עקרונות הגנת המידע הכלליים, בפרט הגבלת מטרה, מזעור נתונים, תקופות אחסון מוגבלות, איכות נתונים, הגנה על מידע על ידי עיצוב וכברירת מחדל, בסיס משפטי לעיבוד, עיבוד של קטגוריות מיוחדות של נתונים אישיים, אמצעים כדי להבטיח את אבטחת המידע, ואת הדרישות לגבי העברות הלאה לגופים שאינם מחויבים לכללי התאגיד המחייבים;

    • (ה) זכויותיהם של נושאי מידע בכל הנוגע לעיבוד והאמצעים למימוש זכויות אלו, לרבות הזכות שלא להיות כפופים להחלטות המבוססות על עיבוד אוטומטי בלבד, לרבות יצירת פרופיל בהתאם לסעיף 22, הזכות להגיש תלונה עם הרשות המפקחת המוסמכת ולפני בתי המשפט המוסמכים של המדינות החברות בהתאם לסעיף 79, ולקבל פיצוי ובמידת הצורך פיצוי בגין הפרה של כללי התאגיד המחייבים;

    • (ו) קבלת אחריות על ידי הבקר או המעבד שהוקם בשטחה של מדינה חברה בגין כל הפרה של כללי התאגיד המחייבים על ידי כל חבר הנוגע בדבר שלא הוקם באיחוד; הבקר או המעבד יהיו פטורים מאותה אחריות, כולה או חלקה, רק אם יוכיח שאותו חבר אינו אחראי לאירוע הגורם לנזק;

    • (ז) כיצד המידע על כללי התאגיד המחייבים, בפרט על ההוראות האמורות בנקודות (ד), (ה) ו-(ו) של פסקה זו מסופק לנושאי הנתונים בנוסף לסעיפים 13 ו-14;

    • (ח) המשימות של כל קצין הגנת מידע שהוגדר בהתאם לסעיף 37 או כל אדם או ישות אחרים הממונים על מעקב אחר הציות לכללי התאגיד המחייבים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת; כמו גם מעקב אחר הדרכה וטיפול בתלונות;

    • (ט) הליכי התלונה;

    • (י) המנגנונים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת להבטחת אימות העמידה בכללי התאגיד המחייבים. מנגנונים כאלה יכללו ביקורות להגנה על נתונים ושיטות להבטחת פעולות מתקנות להגנה על זכויות נושא המידע. תוצאות אימות כזה צריכות להיות מועברות לאדם או לישות האמורים בנקודה (ח) ולדירקטוריון של מפעל השליטה של ​​קבוצת מפעלים, או של קבוצת מפעלים העוסקים בפעילות כלכלית משותפת, והן צריכות להיות זמינות. לפי בקשה לרשות הפיקוח המוסמכת;

    • (יא) מנגנוני הדיווח והרישום על שינויים בכללים ודיווח על אותם שינויים לרשות הפיקוח;

    • (יב) מנגנון שיתוף הפעולה עם רשות הפיקוח כדי להבטיח ציות של כל חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, בפרט על ידי העמדת תוצאות האימות של האמצעים הנזכרים לרשות הפיקוח. לנקודה (י);

    • (מ) מנגנוני הדיווח לרשות הפיקוח המוסמכת על כל דרישות משפטיות שאליהן כפוף חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת במדינה שלישית, שעלולות להיות להן השפעה שלילית מהותית. על הערבויות הניתנות בכללי התאגיד המחייבים; ו

    • (נ) ההכשרה המתאימה להגנה על מידע לעובדים שיש להם גישה קבועה או קבועה לנתונים אישיים.

  3. הנציבות רשאית לציין את הפורמט והנהלים לחילופי מידע בין בקרים, מעבדים ורשויות פיקוח עבור כללים תאגידיים מחייבים במשמעות סעיף זה. פעולות יישום אלה יאומצו בהתאם לנוהל הבדיקה הקבוע בסעיף 93(2).

גרסת GDPR בבריטניה

כללי תאגיד מחייבים

  1. הממונה יאשר כללי תאגיד מחייבים, ובלבד שהם:

    • (א) מחייבים מבחינה משפטית וחלים על כל חבר הנוגע בדבר בקבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, לרבות עובדיהם;
    • (ב) להעניק במפורש זכויות הניתנות לאכיפה לנושאי מידע בנוגע לעיבוד הנתונים האישיים שלהם; ו

    • (ג) למלא את הדרישות הקבועות בפסקה 2.

  2. כללי התאגיד המחייבים הנזכרים בסעיף 1 יפרטו לפחות:

    • (א) המבנה ופרטי ההתקשרות של קבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת ושל כל אחד מחבריה;

    • (ב) העברת הנתונים או מערך ההעברות, לרבות קטגוריות הנתונים האישיים, סוג העיבוד ומטרותיו, סוג נושאי הנתונים המושפעים וזיהוי המדינה או המדינות השלישיות הנדונות;

    • (ג) אופיים המחייב מבחינה משפטית, הן פנימית והן חיצונית;

    • (ד) היישום של עקרונות הגנת המידע הכלליים, בפרט הגבלת מטרה, מזעור נתונים, תקופות אחסון מוגבלות, איכות נתונים, הגנה על מידע על ידי עיצוב וכברירת מחדל, בסיס משפטי לעיבוד, עיבוד של קטגוריות מיוחדות של נתונים אישיים, אמצעים כדי להבטיח את אבטחת המידע, ואת הדרישות לגבי העברות הלאה לגופים שאינם מחויבים לכללי התאגיד המחייבים;

    • (ה) זכויותיהם של נושאי נתונים בכל הנוגע לעיבוד והאמצעים למימוש זכויות אלו, לרבות הזכות שלא להיות כפופים להחלטות המבוססות על עיבוד אוטומטי בלבד, לרבות פרופילים בהתאם לסעיף 22, הממונה ובפני בית משפט ב- בהתאם לסעיף 79 (ראה סעיף 180 לחוק משנת 2018), ולקבל פיצוי ובמידת הצורך פיצוי בגין הפרה של כללי התאגיד המחייבים;

    • (ו) קבלת האחריות על ידי הבקר או המעבד שהוקם בממלכה המאוחדת לכל הפרה של כללי התאגיד המחייבים על ידי כל חבר הנוגע בדבר שלא הוקם בבריטניה; הבקר או המעבד יהיו פטורים מאותה אחריות, כולה או חלקה, רק אם יוכיח שאותו חבר אינו אחראי לאירוע הגורם לנזק;

    • (ז) כיצד המידע על כללי התאגיד המחייבים, בפרט על ההוראות האמורות בנקודות (ד), (ה) ו-(ו) של פסקה זו מסופק לנושאי הנתונים בנוסף לסעיפים 13 ו-14;

    • (ח) המשימות של כל קצין הגנת מידע שהוגדר בהתאם לסעיף 37 או כל אדם או ישות אחרים הממונים על מעקב אחר הציות לכללי התאגיד המחייבים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת; כמו גם מעקב אחר הדרכה וטיפול בתלונות;

    • (ט) הליכי התלונה;

    • (י) המנגנונים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת להבטחת אימות העמידה בכללי התאגיד המחייבים. מנגנונים כאלה יכללו ביקורות להגנה על נתונים ושיטות להבטחת פעולות מתקנות להגנה על זכויות נושא המידע. תוצאות אימות כזה צריכות להיות מועברות לאדם או לישות האמורים בנקודה (ח) ולדירקטוריון של מפעל השליטה של ​​קבוצת מפעלים, או של קבוצת מפעלים העוסקים בפעילות כלכלית משותפת, והן צריכות להיות זמינות. לפי בקשה לנציב;

    • (יא) מנגנוני הדיווח והרישום על שינויים בכללים ודיווח על אותם שינויים לממונה;

    • (יב) מנגנון שיתוף הפעולה עם רשות הפיקוח כדי להבטיח ציות של כל חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, בפרט על ידי העמדת תוצאות האימות של האמצעים האמורים לרשות הממונה. בנקודה (י);

    • (מ) מנגנוני הדיווח לממונה על כל דרישות משפטיות להן כפוף חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת במדינה שלישית, אשר צפויות להשפיע לרעה באופן מהותי על ערבויות הניתנות על פי כללי התאגיד המחייבים; ו

    • (נ) ההכשרה המתאימה להגנה על מידע לעובדים שיש להם גישה קבועה או קבועה לנתונים אישיים.
קפוץ לנושא
פָּשׁוּט. לבטח. יציב.

ראה את הפלטפורמה שלנו בפעולה עם פגישה מעשית מותאמת המבוססת על הצרכים והמטרות שלך.

הזמן את ההדגמה שלך
img

פרשנות טכנית

כללי תאגיד מחייבים חייבים:

  • להיות בר אכיפה משפטית.

  • מכיל סט ברור של הנחיות לכל הצדדים הנוגעים בדבר, העובדים והשותפים.

  • הענק לנושאי המידע זכויות מוחשיות.

  • מכיל כמות מינימלית של מידע טכני, חוזי ומשפטי (המכונה גם 'תוכן מינימלי').

  • לעבור הליך אישור, המאשר את ההסכם בעיני הרשות הרלוונטית להגנת המידע.

ISO 27701 סעיף 7.5.1 (זיהוי בסיס להעברת PII בין תחומי שיפוט) וסעיף 47 של ה-EU GDPR

בסעיף זה אנו מדברים על סעיפים GDPR 47 (1)(א), 47 (1)(ב), 47 (1)(ג), 47 (2)(א), 47 (2)(ב), 47 ( 2)(ג), 47 (2)(ד), 47 (2)(ה), 47 (2)(ו), 47 (2)(ז), 47 (2)(ח), 47 (2) (א), 47 (2)(י), 47 (2)(ק), 47 (2)(ל), 47 (2)(מ), 47 (2)(נ) ו-47 (3)

מעת לעת, עשוי להתעורר צורך בהעברת PII בין שתי תחומי שיפוט נפרדים. כאשר זה קורה, ארגונים צריכים להצדיק ולתעד את הצורך לעשות זאת.

הכללים הרגולטוריים והחוקיים האזוריים משתנים בהתאם למקור הנתונים, ולאן הם הולכים להיות מועברים.

ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט, לרבות שימוש ברשות פיקוח ייעודית.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
סעיפים GDPR של האיחוד האירופי 47 (1)(א) עד 47 (3)ISO 27701 7.5.1ללא חתימה

כיצד ISMS.online עזרה

עם ISMS.online, קל לך לקפוץ ישר אל המסע אל תאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מעבר ל'סביר', והכל במיקום מאובטח אחד, תמיד פועל שאליו תוכל לגשת מכל מקום.

אם בכל שלב במסע שלך לעבר GDPR, מכל סיבה שהיא, אתה מרגיש חוסר ביטחון עצמי, יכולת או דחף לפעולה, נוכל להעמיד לרשותך את צוות המומחים הפנימי שלנו או להמליץ ​​על אחד מהשותפים המהימנים שלנו כדי לסייע אותך בהשגת המטרות שלך.

למידע נוסף על ידי תזמון הדגמה.

זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.

אמי קוני
מנהל תפעול, Amigo

הזמן את ההדגמה שלך

מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף