GDPR סעיף 6 מתווה את העקרונות החוקיים הבסיסיים האוסרים כל עיבוד של נתונים אישיים אלא אם כן הוא מבוסס על תניות משפטיות ספציפיות.
חוקיות העיבוד
- העיבוד יהיה חוקי רק אם וככל שמתקיים לפחות אחד מאלה:
- (א) נושא המידע נתן הסכמה לעיבוד הנתונים האישיים שלו למטרות ספציפיות אחת או יותר;
- (ב) העיבוד הכרחי לקיום חוזה שהנושא המידע צד לו או על מנת לנקוט בצעדים לבקשת נושא המידע לפני כריתת החוזה;
- (ג) העיבוד הכרחי לעמידה בחובה חוקית שהבקר כפוף לה;
- (ד) העיבוד הכרחי על מנת להגן על האינטרסים החיוניים של נושא המידע או של אדם טבעי אחר;
- (ה) העיבוד הכרחי לביצוע משימה שבוצעה לטובת הציבור או בהפעלת סמכות רשמית הנתונה בידי המבקר;
- (ו) העיבוד הכרחי למטרות האינטרסים הלגיטימיים הננקטים על ידי הבקר או על ידי צד שלישי, למעט מקום שבו אינטרסים אלה גוברים על ידי האינטרסים או הזכויות היסודיות והחירויות של נושא המידע המחייבים הגנה על נתונים אישיים, בפרט כאשר נושא הנתונים הוא ילד.
סעיף (ו) של סעיף ראשון לא תחול על עיבוד המבוצע על ידי רשויות ציבוריות במילוי תפקידן.- המדינות החברות רשאיות לשמור או להכניס הוראות ספציפיות יותר כדי להתאים את היישום של כללי תקנה זו לגבי עיבוד לצורך עמידה בנקודות (ג) ו-(ה) של פסקה 1 על ידי קביעת דרישות ספציפיות יותר לעיבוד ואמצעים אחרים כדי להבטיח עיבוד חוקי והוגן לרבות עבור מצבי עיבוד ספציפיים אחרים כמפורט בפרק IX.
- הבסיס לעיבוד האמור בסעיף (ג) ו-(ה) בסעיף 1 ייקבע על ידי:
- (א) דיני האיחוד; אוֹ
- (ב) חוק מדינה חברה שהבקר כפוף לו.
מטרת העיבוד תיקבע באותו בסיס משפטי, או, בכל הנוגע לעיבוד האמור בנקודה (ה) בסעיף 1, תהיה הכרחית לביצוע משימה שבוצעה למען האינטרס הציבורי או בהפעלת תפקיד רשמי. הסמכות הנתונה לבקר. אותו בסיס משפטי עשוי להכיל הוראות ספציפיות להתאמת היישום של כללי תקנה זו, בין היתר: התנאים הכלליים המסדירים את חוקיות העיבוד על ידי המבקר; סוגי הנתונים הכפופים לעיבוד; נושאי הנתונים הנוגעים בדבר; הישויות שאליהן, והמטרות שלשמן, ניתן לחשוף את הנתונים האישיים; הגבלת המטרה; תקופות אחסון; ופעולות עיבוד ונהלי עיבוד, לרבות אמצעים להבטחת עיבוד חוקי והוגן, כגון אלו של מצבי עיבוד ספציפיים אחרים כמפורט בפרק ט'. החוק של האיחוד או המדינות החברות יענו על מטרה של אינטרס ציבורי ויהיה פרופורציונלי למטרה הלגיטימית שנשפתה אחריה.
- כאשר העיבוד למטרה אחרת מזו שלשמה נאספו הנתונים האישיים אינו מבוסס על הסכמת נושא המידע או על חוק האיחוד או מדינת חברה המהווה אמצעי הכרחי ומידתי בחברה דמוקרטית לשמירה על המטרות הנזכרות. בסעיף 23(1), הבקר יביא בחשבון, על מנת לוודא אם עיבוד למטרה אחרת תואם את המטרה שלשמה נאספים הנתונים האישיים לראשונה, בין היתר:
- (א) כל קשר בין המטרות שלשמן נאספו הנתונים האישיים לבין מטרות העיבוד הנוסף המיועד;
- (ב) ההקשר שבו נאספו הנתונים האישיים, בפרט בנוגע ליחסים בין נושאי המידע לבין הבקר;
- (ג) אופי הנתונים האישיים, בפרט האם מעובדות קטגוריות מיוחדות של נתונים אישיים, בהתאם לסעיף 9, או האם מעובדים נתונים אישיים הקשורים להרשעות ועבירות פליליות, בהתאם לסעיף 10;
- (ד) ההשלכות האפשריות של עיבוד נוסף המיועד עבור נושאי המידע;
- (ה) קיומם של אמצעי הגנה מתאימים, שעשויים לכלול הצפנה או פסאודונימיזציה.
חוקיות העיבוד
- העיבוד יהיה חוקי רק אם וככל שמתקיים לפחות אחד מאלה:
- (א) נושא המידע נתן הסכמה לעיבוד הנתונים האישיים שלו למטרות ספציפיות אחת או יותר;
- (ב) העיבוד הכרחי לקיום חוזה שהנושא המידע צד לו או על מנת לנקוט בצעדים לבקשת נושא המידע לפני כריתת החוזה;
- (ג) העיבוד הכרחי לעמידה בחובה חוקית שהבקר כפוף לה;
- (ד) העיבוד הכרחי על מנת להגן על האינטרסים החיוניים של נושא המידע או של אדם טבעי אחר;
- (ה) העיבוד הכרחי לביצוע משימה שבוצעה לטובת הציבור או בהפעלת סמכות רשמית הנתונה בידי המבקר;
- (ו) העיבוד הכרחי למטרות האינטרסים הלגיטימיים הננקטים על ידי הבקר או על ידי צד שלישי, למעט מקום שבו אינטרסים אלה גוברים על ידי האינטרסים או הזכויות היסודיות והחירויות של נושא המידע המחייבים הגנה על נתונים אישיים, בפרט כאשר נושא הנתונים הוא ילד.
סעיף (ו) של סעיף ראשון לא תחול על עיבוד המבוצע על ידי רשויות ציבוריות במילוי תפקידן.
הבסיס לעיבוד האמור בסעיף (ג) ו-(ה) בסעיף 1 ייקבע בחוק הפנימי.
מטרת העיבוד תיקבע באותו בסיס משפטי, או, בכל הנוגע לעיבוד האמור בנקודה (ה) בסעיף 1, תהיה הכרחית לביצוע משימה שבוצעה למען האינטרס הציבורי או בהפעלת תפקיד רשמי. הסמכות הנתונה לבקר. אותו בסיס משפטי עשוי להכיל הוראות ספציפיות להתאמת היישום של כללי תקנה זו, בין היתר: התנאים הכלליים המסדירים את חוקיות העיבוד על ידי המבקר; סוגי הנתונים הכפופים לעיבוד; נושאי הנתונים הנוגעים בדבר; הישויות שאליהן, והמטרות שלשמן, ניתן לחשוף את הנתונים האישיים; הגבלת המטרה; תקופות אחסון; ופעולות עיבוד ונהלי עיבוד, לרבות אמצעים להבטחת עיבוד חוקי והוגן, כגון אלו של מצבי עיבוד ספציפיים אחרים כמפורט בפרק ט'. החוק הפנימי יענה על מטרה של אינטרס ציבורי ויהיה פרופורציונלי למטרה הלגיטימית שנרדפת אליה.- כאשר העיבוד למטרה אחרת מזו שלשמה נאספו הנתונים האישיים אינו מבוסס על הסכמתו של נושא המידע או על החוק הפנימי המהווה אמצעי הכרחי ומידתי בחברה דמוקרטית לשמירה על [ביטחון לאומי, הגנה או כל אחד מהם] המטרות הנזכרות בסעיף 23(1), על הבקר, על מנת לוודא אם עיבוד למטרה אחרת תואם את המטרה שלשמה נאספים הנתונים האישיים בתחילה, יקח בחשבון, בין היתר:
- (א) כל קשר בין המטרות שלשמן נאספו הנתונים האישיים לבין מטרות העיבוד הנוסף המיועד;
- (ב) ההקשר שבו נאספו הנתונים האישיים, בפרט בנוגע ליחסים בין נושאי המידע לבין הבקר;
- (ג) אופי הנתונים האישיים, בפרט האם מעובדות קטגוריות מיוחדות של נתונים אישיים, בהתאם לסעיף 9, או האם מעובדים נתונים אישיים הקשורים להרשעות ועבירות פליליות, בהתאם לסעיף 10;
- (ד) ההשלכות האפשריות של עיבוד נוסף המיועד עבור נושאי המידע;
- (ה) קיומם של אמצעי הגנה מתאימים, שעשויים לכלול הצפנה או פסאודונימיזציה.
סעיף 6 של GDPR מתאר 7 גורמים התורמים למה שהוא מגדיר כ'בסיס חוקי לעיבוד':
בסעיף זה אנו מדברים על GDPR סעיפים 6 (1)(א), 6 (1)(ב), 6 (1)(ג), 6 (1)(ד), 6 (1)(ה), 6 ( 1)(ו), 6 (2), 6 (3), 6 (4)(א), 6 (4)(ב), 6 (4)(ג), 6 (4)(ד) ו-6 ( 4)(ה)
בהתאם לתחום השיפוט, ייתכן שארגונים יצטרכו להוכיח שפעילויות עיבוד ה-PII שלהם חוקיות לפני שהם מתחילים.
כדי להוות בסיס משפטי לעיבוד PII, ארגונים צריכים:
עבור כל נקודה שהוזכרה לעיל, ארגונים צריכים להיות מסוגלים להציע אישור מתועד.
ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII הקשורות לארגון שלהם בסכימת סיווג הנתונים שלהם (ראה ISO 27701 סעיף 7.2.8) (הסיווגים עשויים להשתנות מאזור לאזור).
אם ארגונים חווים שינויים כלשהם בסיבות הבסיסיות שלהם לעיבוד PII, זה צריך לבוא לידי ביטוי מיד בבסיס המשפטי המתועד שלהם.
בסעיף זה אנו מדברים על GDPR סעיף 6 (4)(ה)
ארגונים צריכים להשמיד לחלוטין כל PII שאינו ממלא עוד מטרה, או לשנות אותו באופן שמונע כל צורה של זיהוי עיקרי.
ברגע שהארגון קבע שאין צורך לעבד את ה-PII בכל עת בעתיד, המידע צריך להיות נמחק or דה-מזוהה, כפי שהנסיבות מכתיבות.
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| האיחוד האירופי GDPR סעיפים 6 (1)(א) עד 6 (4)(ה) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| סעיף 6 (4)(ה) של EU GDPR | ISO 27701 7.4.5 | ללא חתימה |
פלטפורמת ISMS.online כוללת הדרכה מובנית בכל שלב, בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' שלנו, כך שהדגמת תאימות ה-GDPR שלך קלה משמעותית. תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.
על ידי מיפוי העבודה שלך על פני מספר תקנים ומסגרות, הפלטפורמה האינטואיטיבית שלנו מקלה על השגת יעדי אבטחת מידע ופרטיות נתונים מרובים.
אם מסיבה כלשהי אתה חווה חוסר ביטחון עצמי, יכולת או דחף לנקוט פעולה במהלך המסע שלך ל-GDPR, נוכל להעמיד את צוות המומחים הפנימי שלנו לזמין או להמליץ על אחד מהשותפים המהימנים שלנו כדי לתת דחיפה למאמצים שלך.
למידע נוסף על ידי הזמנת הדגמה קצרה.
