ISO 27701 – סעיף 7.2 – תנאים לאיסוף ועיבוד

הבנת ISO 27701 סעיף 7.2: תנאים לעיבוד PII חוקי

ISO 27701 סעיף 7.2 (תנאים לאיסוף ועיבוד) מכיל הנחיות כיצד להוכיח ולתעד שפעילויות עיבוד ה-PII של הארגון הן חוקיות, ופועלות בגבולות החוק הרלוונטיים.

להלן תקציר של ההנחיות הספציפיות לסעיפים של ISO, יחד עם בריטניה המקבילה GDPR ציטוטים (טבלת ציטוטים מקושרים בתחתית העמוד).

שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.

ISO 27701 סעיף 7.2.1 - זיהוי ומסמך מטרה

מטרת סעיף 7.2.1

ארגונים צריכים תחילה לזהות ולאחר מכן לרשום את הסיבות הספציפיות לעיבוד ה-PII שבו הם משתמשים.

הנחיות לגבי סעיף 7.2.1

מנהלי PII צריכים להיות בקיא מלאה בכל הסיבות השונות מדוע מעובד PII שלהם.

באחריות הארגון להעביר את הסיבות הללו למנהלי PII, יחד עם 'הצהרה ברורה' מדוע הם צריכים לעבד את המידע שלהם.

כל התיעוד צריך להיות ברור, מקיף ומובן בקלות על ידי כל מנהל PII שקורא אותו - כולל כל מה שקשור להסכמה, כמו גם עותקים של נהלים פנימיים (ראה ISO 27701 סעיפים 7.2.3, 7.3.2 ו-7.2.8).

סעיפי ISO 27701 רלוונטיים

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 סעיף 7.2.2 - זיהוי בסיס חוקי

מטרת סעיף 7.2.2

בהתאם לתחום השיפוט, ייתכן שארגונים יצטרכו להוכיח שפעילויות עיבוד ה-PII שלהם חוקיות לפני שהם מתחילים.

הנחיות לגבי סעיף 7.2.2

כדי להוות בסיס משפטי לעיבוד PII, ארגונים צריכים:

• בקש הסכמה ממנהלי PII.
• נסח חוזה.
• לעמוד בהתחייבויות משפטיות שונות אחרות.
• הגן על 'האינטרסים החיוניים' של עקרונות ה-PII השונים.
• ודא שהמשימות המבוצעות הן לטובת הציבור.
• אשר שעיבוד PII הוא אינטרס לגיטימי.

עבור כל נקודה שהוזכרה לעיל, ארגונים צריכים להיות מסוגלים להציע אישור מתועד.

ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII הקשורות לארגון שלהם בסכימת סיווג הנתונים שלהם (ראה ISO 27701 סעיף 7.2.8) (הסיווגים עשויים להשתנות מאזור לאזור).

אם ארגונים חווים שינויים כלשהם בסיבות הבסיסיות שלהם לעיבוד PII, זה צריך לבוא לידי ביטוי מיד בבסיס המשפטי המתועד שלהם.

סעיפי ISO 27701 רלוונטיים

• ISO 27701 7.2.8

ISO 27701 סעיף 7.2.3 - קבע מתי וכיצד יש לקבל הסכמה

מטרת סעיף 7.2.3

ארגונים צריכים להיות מסוגלים להוכיח זאת הסכמה לעיבוד התקבלה כדין ממנהלי PII.

הנחיות לגבי סעיף 7.2.3

ארגונים צריכים להיות מסוגלים לתעד את הסיבות לבקשת הסכמה, וכיצד יש לרכוש אותה.

תנאי PII משתנים מאזור לאזור, כך שארגונים צריכים להיות מודעים כל הזמן לכל החוקים והתקנות המקומיים ו/או הלאומיים שעשויים לקבוע כיצד הם מקבלים הסכמה, יחד עם כל תנאים מיוחדים הקשורים לסוגי נתונים מסוימים (למשל ילדים).

ISO 27701 סעיף 7.2.4 - השג ורישום הסכמה

מטרת סעיף 7.2.4

לאחר שהם קבעו שנדרשת הסכמה, ארגונים צריכים לקבל הסכמה בהתאם לסט הדרישות הייחודי שלהם.

הנחיות לגבי סעיף 7.2.4

ארגונים צריכים לאסוף הסכמה באופן שיקל על נושאי PII לבקש מידע על האופן שבו הוא הושג (חותמות זמן, מי ביקש זאת וכו') (ראה ISO 27701 סעיף 7.3.3).

הסכמה מסתמכת על שלוש תניות משפטיות בסיסיות: היא צריכה להיות מסופק באופן חופשי, הנוגע ל סיבה לעיבוד ו ברור בכוונתו.

ISO 27701 סעיף 7.2.5 - הערכת השפעה על הפרטיות

מטרת סעיף 7.2.5

הערכות השפעת הפרטיות מאפשרות לארגונים לאמוד כל השלכות על אבטחת מידע בעת עיבוד קבוצה חדשה של PII, או שינוי אופן עיבוד הנתונים הקיימים.

הנחיות לגבי סעיף 7.2.5

עיבוד PII הוא פונקציה עסקית עתירת סיכונים שיש להעריך ביסודיות כדי להבטיח את היושרה, האותנטיות והחוקיות של הנתונים המעובדים.

בהתאם לתחום השיפוט, ארגונים מסוימים יצטרכו לציית לרשימה קטגורית של תרחישים שבהם נדרשת הערכת השפעה על הפרטיות, כגון:

• קבלת החלטות אוטומטית.
• עיבוד ברמת הארגון של קטגוריות PII מיוחדות.
• ניטור שטחים ציבוריים גדולים.

ארגונים צריכים לקבוע מה מהווה הערכת השפעה נאותה, כולל (אך לא רק):

1. איזה סוג של PII מאוחסן.
2. איפה זה מאוחסן.
3. לאן ניתן להעביר אותו.

ISO 27701 סעיף 7.2.6 - חוזים עם מעבדי PII

מטרת סעיף 7.2.6

ארגונים צריכים להתקשר בחוזים כתובים ומחייבים עם כל מעבד PII חיצוני שבו הוא משתמש.

הנחיות לגבי סעיף 7.2.6

כל חוזים צריכים להבטיח שמעבד ה-PII מיישם את כל המידע הנדרש הכלול ב-ISO 27701 נספח B, תוך תשומת לב מיוחדת לבקרות הערכת סיכונים (ISO 27701 סעיף 5.4.1.2) וההיקף הכולל של פעילויות העיבוד (ראה ISO 27701 סעיף 6.12 )

ארגונים צריכים להיות מסוגלים להצדיק את השמטת כל הבקרות הכלולות בנספח B, ביחסיהם עם מעבד ה-PII (ראה ISO 27701 סעיף 5.4.1.3).

ISO 27701 סעיף 7.2.7 - בקר PII משותף

מטרת סעיף 7.2.7

ארגונים צריכים לתאר את הפרטים של כל הסדר משותף לעיבוד PII, עם בקר PII נלווה - זה כולל אמצעי הגנה כלליים וכל דרישות האבטחה הנלוות.

הנחיות לגבי סעיף 7.2.7

התפקידים והאחריות צריכים להיות ברורים וחד משמעיים, ומתוווים במסמך משפטי מחייב (המכונה לפעמים 'הסכם שיתוף נתונים').

הסכמים יכולים לכלול (בין האמצעים האחרים):

• מדוע משותף PII.
• קטגוריות נתונים.
• סקירה כללית של פעולת עיבוד PII.
• כל תפקיד ותחומי אחריות רלוונטיים.
• כיצד יש לשלוט באבטחת מידע פרטיות.
• אילו פעולות יש לנקוט במקרה של הפרת מידע.
• כיצד יש לשמור PII ולהרוס כאשר אין צורך עוד.
• מה קורה כאשר מי מהצדדים מפר הסכם.
• מהן החובות של כל אחד מהצדדים כלפי מנהלי PII.
• אילו מנגנונים קיימים כדי לספק למנהלי PII פרטים רלוונטיים של ההסכם המשותף.
• כיצד מנהלי PII יכולים להגיש בקשות רשמיות, וכיצד לנסח ולמסור תגובה.
• נקודות מגע - הן פנימיות והן לניצול של מנהלי PII.

ISO 27701 סעיף 7.2.8 - רשומות הקשורות לעיבוד PII

מטרת סעיף 7.2.8

ארגונים צריכים לשמור על מערכת יסודית של רשומות התומכות בפעולות ובחובות שלה כמעבד PII.

הנחיות לגבי סעיף 7.2.8

לרשומות (הידועות גם בשם 'רשימות מלאי') צריך להיות בעלים של נציג, ועשויות לכלול:

1. תפעולי - הסוג הספציפי של עיבוד PII שמתבצע.
2. הצדקות - מדוע ה-PII מעובד.
3. קטגורי - רשימות של מקבלי PII, כולל ארגונים בינלאומיים.
4. אבטחה - סקירה כללית של האופן שבו מוגן PII.
5. פרטיות – כלומר דוח הערכת השפעת פרטיות.

מאמרי GDPR תומכים

אלמנטים שונים של ISO 27701 סעיף 7.2 חלים במסגרת חקיקת ה-GDPR הבריטית. עיין בטבלה שלהלן עבור ההפניות המתאימות.

כיצד ISMS.online עוזר

תהליך הטמעת ISO 27701 יכול להיות מאתגר, במיוחד אם מעולם לא לקחתם על עצמכם פרויקט כזה בעבר. ISMS.online יכול לעזור לך!

מסגרות ISO 27701 שלנו מאפשרות לעסק שלך להוכיח עמידה בתקן ISO 27701.

מומחי אבטחת המידע שלנו יכולים לסייע לך ביצירת הליך הטמעה לוגי התואם את המסגרת.

למידע נוסף על ידי הזמנת הדגמה.