אם למדינה המקבלת אין חוקים משמעותיים להגנת מידע (ראה סעיף 45), GDPR סעיף 47 מאפשר לארגונים לאמץ כללי תאגיד מחייבים, המשמשים כהגנה הולמת כלפי כל מידע שיש להעביר.
כללי תאגיד מחייבים
- רשות הפיקוח המוסמכת תאשר כללי תאגיד מחייבים בהתאם למנגנון העקביות הקבוע בסעיף 63, ובלבד שהם:
- (א) מחייבים מבחינה משפטית וחלים על כל חבר הנוגע בדבר בקבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, לרבות עובדיהם;
- (ב) להעניק במפורש זכויות הניתנות לאכיפה לנושאי מידע בנוגע לעיבוד הנתונים האישיים שלהם; ו
- (ג) למלא את הדרישות הקבועות בפסקה 2.
- כללי התאגיד המחייבים הנזכרים בסעיף 1 יפרטו לפחות:
- (א) המבנה ופרטי ההתקשרות של קבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת ושל כל אחד מחבריה;
- (ב) העברת הנתונים או מערך ההעברות, לרבות קטגוריות הנתונים האישיים, סוג העיבוד ומטרותיו, סוג נושאי הנתונים המושפעים וזיהוי המדינה או המדינות השלישיות הנדונות;
- (ג) אופיים המחייב מבחינה משפטית, הן פנימית והן חיצונית;
- (ד) היישום של עקרונות הגנת המידע הכלליים, בפרט הגבלת מטרה, מזעור נתונים, תקופות אחסון מוגבלות, איכות נתונים, הגנה על מידע על ידי עיצוב וכברירת מחדל, בסיס משפטי לעיבוד, עיבוד של קטגוריות מיוחדות של נתונים אישיים, אמצעים כדי להבטיח את אבטחת המידע, ואת הדרישות לגבי העברות הלאה לגופים שאינם מחויבים לכללי התאגיד המחייבים;
- (ה) זכויותיהם של נושאי מידע בכל הנוגע לעיבוד והאמצעים למימוש זכויות אלו, לרבות הזכות שלא להיות כפופים להחלטות המבוססות על עיבוד אוטומטי בלבד, לרבות יצירת פרופיל בהתאם לסעיף 22, הזכות להגיש תלונה עם הרשות המפקחת המוסמכת ולפני בתי המשפט המוסמכים של המדינות החברות בהתאם לסעיף 79, ולקבל פיצוי ובמידת הצורך פיצוי בגין הפרה של כללי התאגיד המחייבים;
- (ו) קבלת אחריות על ידי הבקר או המעבד שהוקם בשטחה של מדינה חברה בגין כל הפרה של כללי התאגיד המחייבים על ידי כל חבר הנוגע בדבר שלא הוקם באיחוד; הבקר או המעבד יהיו פטורים מאותה אחריות, כולה או חלקה, רק אם יוכיח שאותו חבר אינו אחראי לאירוע הגורם לנזק;
- (ז) כיצד המידע על כללי התאגיד המחייבים, בפרט על ההוראות האמורות בנקודות (ד), (ה) ו-(ו) של פסקה זו מסופק לנושאי הנתונים בנוסף לסעיפים 13 ו-14;
- (ח) המשימות של כל קצין הגנת מידע שהוגדר בהתאם לסעיף 37 או כל אדם או ישות אחרים הממונים על מעקב אחר הציות לכללי התאגיד המחייבים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת; כמו גם מעקב אחר הדרכה וטיפול בתלונות;
- (ט) הליכי התלונה;
- (י) המנגנונים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת להבטחת אימות העמידה בכללי התאגיד המחייבים. מנגנונים כאלה יכללו ביקורות להגנה על נתונים ושיטות להבטחת פעולות מתקנות להגנה על זכויות נושא המידע. תוצאות אימות כזה צריכות להיות מועברות לאדם או לישות האמורים בנקודה (ח) ולדירקטוריון של מפעל השליטה של קבוצת מפעלים, או של קבוצת מפעלים העוסקים בפעילות כלכלית משותפת, והן צריכות להיות זמינות. לפי בקשה לרשות הפיקוח המוסמכת;
- (יא) מנגנוני הדיווח והרישום על שינויים בכללים ודיווח על אותם שינויים לרשות הפיקוח;
- (יב) מנגנון שיתוף הפעולה עם רשות הפיקוח כדי להבטיח ציות של כל חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, בפרט על ידי העמדת תוצאות האימות של האמצעים הנזכרים לרשות הפיקוח. לנקודה (י);
- (מ) מנגנוני הדיווח לרשות הפיקוח המוסמכת על כל דרישות משפטיות שאליהן כפוף חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת במדינה שלישית, שעלולות להיות להן השפעה שלילית מהותית. על הערבויות הניתנות בכללי התאגיד המחייבים; ו
- (נ) ההכשרה המתאימה להגנה על מידע לעובדים שיש להם גישה קבועה או קבועה לנתונים אישיים.
- הנציבות רשאית לציין את הפורמט והנהלים לחילופי מידע בין בקרים, מעבדים ורשויות פיקוח עבור כללים תאגידיים מחייבים במשמעות סעיף זה. פעולות יישום אלה יאומצו בהתאם לנוהל הבדיקה הקבוע בסעיף 93(2).
כללי תאגיד מחייבים
- הממונה יאשר כללי תאגיד מחייבים, ובלבד שהם:
- (א) מחייבים מבחינה משפטית וחלים על כל חבר הנוגע בדבר בקבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, לרבות עובדיהם;
- (ב) להעניק במפורש זכויות הניתנות לאכיפה לנושאי מידע בנוגע לעיבוד הנתונים האישיים שלהם; ו
- (ג) למלא את הדרישות הקבועות בפסקה 2.
- כללי התאגיד המחייבים הנזכרים בסעיף 1 יפרטו לפחות:
- (א) המבנה ופרטי ההתקשרות של קבוצת המפעלים, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת ושל כל אחד מחבריה;
- (ב) העברת הנתונים או מערך ההעברות, לרבות קטגוריות הנתונים האישיים, סוג העיבוד ומטרותיו, סוג נושאי הנתונים המושפעים וזיהוי המדינה או המדינות השלישיות הנדונות;
- (ג) אופיים המחייב מבחינה משפטית, הן פנימית והן חיצונית;
- (ד) היישום של עקרונות הגנת המידע הכלליים, בפרט הגבלת מטרה, מזעור נתונים, תקופות אחסון מוגבלות, איכות נתונים, הגנה על מידע על ידי עיצוב וכברירת מחדל, בסיס משפטי לעיבוד, עיבוד של קטגוריות מיוחדות של נתונים אישיים, אמצעים כדי להבטיח את אבטחת המידע, ואת הדרישות לגבי העברות הלאה לגופים שאינם מחויבים לכללי התאגיד המחייבים;
- (ה) זכויותיהם של נושאי נתונים בכל הנוגע לעיבוד והאמצעים למימוש זכויות אלו, לרבות הזכות שלא להיות כפופים להחלטות המבוססות על עיבוד אוטומטי בלבד, לרבות פרופילים בהתאם לסעיף 22, הממונה ובפני בית משפט ב- בהתאם לסעיף 79 (ראה סעיף 180 לחוק משנת 2018), ולקבל פיצוי ובמידת הצורך פיצוי בגין הפרה של כללי התאגיד המחייבים;
- (ו) קבלת האחריות על ידי הבקר או המעבד שהוקם בממלכה המאוחדת לכל הפרה של כללי התאגיד המחייבים על ידי כל חבר הנוגע בדבר שלא הוקם בבריטניה; הבקר או המעבד יהיו פטורים מאותה אחריות, כולה או חלקה, רק אם יוכיח שאותו חבר אינו אחראי לאירוע הגורם לנזק;
- (ז) כיצד המידע על כללי התאגיד המחייבים, בפרט על ההוראות האמורות בנקודות (ד), (ה) ו-(ו) של פסקה זו מסופק לנושאי הנתונים בנוסף לסעיפים 13 ו-14;
- (ח) המשימות של כל קצין הגנת מידע שהוגדר בהתאם לסעיף 37 או כל אדם או ישות אחרים הממונים על מעקב אחר הציות לכללי התאגיד המחייבים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת; כמו גם מעקב אחר הדרכה וטיפול בתלונות;
- (ט) הליכי התלונה;
- (י) המנגנונים בתוך קבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת להבטחת אימות העמידה בכללי התאגיד המחייבים. מנגנונים כאלה יכללו ביקורות להגנה על נתונים ושיטות להבטחת פעולות מתקנות להגנה על זכויות נושא המידע. תוצאות אימות כזה צריכות להיות מועברות לאדם או לישות האמורים בנקודה (ח) ולדירקטוריון של מפעל השליטה של קבוצת מפעלים, או של קבוצת מפעלים העוסקים בפעילות כלכלית משותפת, והן צריכות להיות זמינות. לפי בקשה לנציב;
- (יא) מנגנוני הדיווח והרישום על שינויים בכללים ודיווח על אותם שינויים לממונה;
- (יב) מנגנון שיתוף הפעולה עם רשות הפיקוח כדי להבטיח ציות של כל חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת, בפרט על ידי העמדת תוצאות האימות של האמצעים האמורים לרשות הממונה. בנקודה (י);
- (מ) מנגנוני הדיווח לממונה על כל דרישות משפטיות להן כפוף חבר בקבוצת ההתחייבויות, או קבוצת המפעלים העוסקים בפעילות כלכלית משותפת במדינה שלישית, אשר צפויות להשפיע לרעה באופן מהותי על ערבויות הניתנות על פי כללי התאגיד המחייבים; ו
- (נ) ההכשרה המתאימה להגנה על מידע לעובדים שיש להם גישה קבועה או קבועה לנתונים אישיים.
כללי תאגיד מחייבים חייבים:
בסעיף זה אנו מדברים על סעיפים GDPR 47 (1)(א), 47 (1)(ב), 47 (1)(ג), 47 (2)(א), 47 (2)(ב), 47 ( 2)(ג), 47 (2)(ד), 47 (2)(ה), 47 (2)(ו), 47 (2)(ז), 47 (2)(ח), 47 (2) (א), 47 (2)(י), 47 (2)(ק), 47 (2)(ל), 47 (2)(מ), 47 (2)(נ) ו-47 (3)
מעת לעת, עשוי להתעורר צורך בהעברת PII בין שתי תחומי שיפוט נפרדים. כאשר זה קורה, ארגונים צריכים להצדיק ולתעד את הצורך לעשות זאת.
הכללים הרגולטוריים והחוקיים האזוריים משתנים בהתאם למקור הנתונים, ולאן הם הולכים להיות מועברים.
ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט, לרבות שימוש ברשות פיקוח ייעודית.
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
סעיפים GDPR של האיחוד האירופי 47 (1)(א) עד 47 (3) | ISO 27701 7.5.1 | ללא חתימה |
עם ISMS.online, קל לך לקפוץ ישר אל המסע אל תאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מעבר ל'סביר', והכל במיקום מאובטח אחד, תמיד פועל שאליו תוכל לגשת מכל מקום.
אם בכל שלב במסע שלך לעבר GDPR, מכל סיבה שהיא, אתה מרגיש חוסר ביטחון עצמי, יכולת או דחף לפעולה, נוכל להעמיד לרשותך את צוות המומחים הפנימי שלנו או להמליץ על אחד מהשותפים המהימנים שלנו כדי לסייע אותך בהשגת המטרות שלך.
למידע נוסף על ידי תזמון הדגמה.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.