GDPR סעיף 7 עוסק ב'תנאים להסכמה' שצריכים להתקיים, על מנת שיקבע כי ארגון קיבל את ההרשאה הנדרשת לפני עיבוד נתוני אדם.
תנאים להסכמה
- כאשר העיבוד מבוסס על הסכמה, הבקר יוכל להוכיח כי נושא הנתונים הסכים לעיבוד הנתונים האישיים שלו.
- ניתנה הסכמת נושא המידע במסגרת הצהרה בכתב הנוגעת גם לעניינים אחרים, בקשת ההסכמה תוצג באופן ברור להבדל משאר העניינים, בצורה מובנת ונגישה בקלות, תוך שימוש ברור שפה פשוטה. כל חלק של הצהרה כאמור המהווה הפרה של תקנה זו לא יחייב.
- לנושא המידע תהיה הזכות לחזור בה מהסכמתו בכל עת. ביטול ההסכמה לא ישפיע על חוקיות העיבוד המבוסס על הסכמה לפני ביטולו. לפני מתן הסכמה, נושא המידע יודיע על כך. יהיה קל לחזור בו כמו לתת הסכמה.
- בהערכה האם ניתנת הסכמה באופן חופשי, תילקח בחשבון באופן מרבי אם, בין היתר, ביצוע חוזה, לרבות מתן שירות, מותנה בהסכמה לעיבוד נתונים אישיים שאינה הכרחית לקיום חוזה. החוזה הזה.
תנאים להסכמה
- כאשר העיבוד מבוסס על הסכמה, הבקר יוכל להוכיח כי נושא הנתונים הסכים לעיבוד הנתונים האישיים שלו.
- ניתנה הסכמת נושא המידע במסגרת הצהרה בכתב הנוגעת גם לעניינים אחרים, בקשת ההסכמה תוצג באופן ברור להבדל משאר העניינים, בצורה מובנת ונגישה בקלות, תוך שימוש ברור שפה פשוטה. כל חלק של הצהרה כאמור המהווה הפרה של תקנה זו לא יחייב.
- לנושא המידע תהיה הזכות לחזור בה מהסכמתו בכל עת. ביטול ההסכמה לא ישפיע על חוקיות העיבוד המבוסס על הסכמה לפני ביטולו. לפני מתן הסכמה, נושא המידע יודיע על כך. יהיה קל לחזור בו כמו לתת הסכמה.
- בהערכה האם ניתנת הסכמה באופן חופשי, תילקח בחשבון באופן מרבי אם, בין היתר, ביצוע חוזה, לרבות מתן שירות, מותנה בהסכמה לעיבוד נתונים אישיים שאינה הכרחית לקיום חוזה. החוזה הזה.
ההסכמה מטופלת לאורך סעיף 7 של GDPR על פני 3 תחומים מרכזיים:
ארגונים צריכים לאסוף הסכמה באופן שיקל על נושאי PII לבקש מידע על האופן שבו הוא הושג (חותמות זמן, מי ביקש זאת וכו') (ראה ISO 27701 סעיף 7.3.3).
ההסכמה מסתמכת על שלוש תניות משפטיות בבסיסן: היא צריכה להינתן באופן חופשי, המתייחסת לסיבה לעיבוד וברורה בכוונתה.
ארגונים צריכים לספק מנגנון המתאר את הזכויות של כל מנהל PII שרוצה לבטל את הסכמתו, יחד עם הנחיות כיצד לעשות זאת המתאימות לשיטות המשמשות לאיסוף PII (למשל דואר אלקטרוני, טלפון).
מנהלי PII צריכים להיות מסוגלים גם "לשנות" הסכמה - כלומר להגביל את הבקר מביצוע פעולות מסוימות, כגון מחיקת PII. יש לתעד בקשות כאלה בהתאם לנהלים להסרת הסכמה.
ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל שינוי או ביטול של בקשות הסכמה.
ארגונים צריכים לקבל אישור מעיקרון ה-PII לפני השימוש בנתונים כלשהם שסופקו למטרות שיווק או פרסום, ולוודא שקבלת שימוש כזה אינה תנאי מוקדם לעיבוד PII.
תנאי שיווק ופרסום צריכות להיות מתועדות בבירור בכל חוזים או הסכמי שירות, בהתאם למטרה לעיל.
ארגונים צריכים לחפש 'הסכמה מפורשת' המבוססת על ייצוג שקוף ועדכני של אופן השימוש ב-PII.
| מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
|---|---|---|
| סעיף 7 (1) ו-7 (2) של ה-EU GDPR | ISO 27701 7.2.4 | ללא חתימה |
| סעיף 7 (3) של ה-EU GDPR | ISO 27701 7.3.4 | ללא חתימה |
| סעיף 7 (4) של ה-EU GDPR | ISO 27701 8.2.3 | ללא חתימה |
פלטפורמת ISMS.online כוללת הדרכה מובנית בכל שלב, בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' שלנו, כך שהדגמת תאימות ה-GDPR שלך קלה משמעותית. תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.
באמצעות הפלטפורמה האינטואיטיבית שלנו, תוכל למפות את עבודתך על פני מספר סטנדרטים ומסגרות, כך שתוכל להשיג מספר יעדי אבטחת מידע ופרטיות במינימום זמן.
אם בכל שלב במסע שלך לעבר GDPR, מכל סיבה שהיא, אתה מרגיש חוסר ביטחון עצמי, יכולת או דחף לפעולה, נוכל להעמיד לרשותך את צוות המומחים הפנימי שלנו או להמליץ על אחד מהשותפים המהימנים שלנו כדי לסייע אותך בהשגת המטרות שלך.
למידע נוסף על ידי הזמנת הדגמה קצרה.
