ISO 27701 סעיף 7.3.1 - קביעה ומילוי חובות למנהלי PII
מטרת סעיף 7.3.1
ארגונים צריכים קודם כל להקים ולאחר מכן לתעד אותם במלואם משפטי, רגולטורים ו עסקים התחייבויות למנהלי PII.
הנחיות לגבי סעיף 7.3.1
ארגונים צריכים לספק את מה ש-ISO רואה כ'אמצעי המתאים' כדי לענות על הצרכים של מנהלי PII, כולל תיעוד שקוף ונקודת קשר ייעודית.
NB. שיטות ההתקשרות צריכות להיות זהות לדרכים שבהן הארגון אוסף PII.
ISO 27701 סעיף 7.3.2 - קביעת מידע עבור מנהלי PII
מטרת סעיף 7.3.2
ארגונים צריכים לשרטט ולתעד את המידע שמנהלי PII מקבלים, הקשור לעיבוד PII.
הנחיות לגבי סעיף 7.3.2
ארגונים צריכים לתאר קבוצה קטגורית של דרישות שמכתיבות מתי יש לספק מידע למנהלי PII, ומהו המידע הזה, למשל:
- מטרת האיסוף והעיבוד של ה-PII.
- פרטי התקשרות עם החברה.
- כיצד והיכן התקבל ה-PII.
- דרישות חוזיות ו/או סטטוטוריות.
- כיצד ניתן להסיר הסכמה.
- העברות PII.
- כיצד להגיש תלונה רשמית.
- כיצד מתקבלות החלטות בנוגע לעיבוד PII.
- תקופות שמירת PII.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 7.3.3 - מתן מידע למנהלי PII
מטרת סעיף 7.3.3
ארגונים צריכים לספק מידע 'ברור ונגיש' שיקבע מי הוא בקר ה-PII וכיצד הוא מעובד.
הנחיות לגבי סעיף 7.3.3
כל המידע צריך להיות מסופק ללא שגיאות, ובשפה מובנת בקלות (למשל חסר ז'רגון, לא טכני מדי) על ידי האנשים שיש להם את היכולת לקרוא אותו (ראה ISO 27702 סעיף 7.3.2).
סעיפי ISO 27701 רלוונטיים
- ISO 27701 7.3.2
ISO 27701 סעיף 7.3.4 - מתן מנגנון לשינוי או ביטול הסכמה
מטרת סעיף 7.3.4
יש לספק לנבדקים PII אמצעי לביטול הסכמה לאיסוף או עיבוד של PII.
הנחיות לגבי סעיף 7.3.4
ברמה הבסיסית, ארגונים צריכים לספק מנגנון המתאר את הזכויות של כל מנהל PII שרוצה לבטל את הסכמתו, יחד עם הנחיות כיצד לעשות זאת המתאימות לשיטות המשמשות לאיסוף PII (למשל דואר אלקטרוני, טלפון) .
מנהלי PII צריכים להיות מסוגלים גם "לשנות" הסכמה - כלומר להגביל את הבקר מביצוע פעולות מסוימות, כגון מחיקת PII. יש לתעד בקשות כאלה בהתאם לנהלים להסרת הסכמה.
ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל שינוי או ביטול של בקשות הסכמה.
ISO 27701 סעיף 7.3.5 - מתן מנגנון לשינוי או ביטול הסכמה
מטרת סעיף 7.3.5
יש לתת למנהלי PII את היכולת להעלות התנגדויות על עיבוד ה-PII שלהם.
הנחיות לגבי סעיף 7.3.5
החוקים משתנים מאזור לאזור, אך תחומי שיפוט מסוימים מספקים למנהלי PII את הזכות להעלות התנגדות בנוגע לעיבוד ה-PII שלהם.
ארגונים צריכים לגשת לפונקציה זו בשתי דרכים:
- על ידי תיעוד כל דרישות משפטיות או רגולטוריות הקשורות להתנגדויות הספציפיות שהעלו מנהלי PII.
- מתן מידע למנהלים כיצד הם יכולים להתנגד.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 7.3.6 - גישה, תיקון ו/או מחיקה
מטרת סעיף 7.3.6
ארגונים צריכים לנסח, לתעד וליישם נהלים המאפשרים למנהלי PII לעשות זאת גישה, לתקן ו / או להסיר PII שלהם.
הנחיות לגבי סעיף 7.3.6
נהלים צריכים לכלול מנגנונים שבאמצעותם מנהל ה-PII יכול לבצע את הפעולה הנ"ל, לרבות כיצד הארגון יודיע למנהל אם לא ניתן לבצע תיקונים.
ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל בקשות הגישה, התיקון או המחיקה.
חשוב מאוד להעביר כל בקשות כאלה לצדדים שלישיים שהועברו PII (ראה ISO 27701 סעיף 7.3.7).
היכולת של מנהל PII לבקש תיקונים או מחיקות מוכתבת על ידי תחום השיפוט שבו פועל הארגון. ככזה, חברות צריכות להתעדכן בכל שינוי משפטי או רגולטורי המסדיר את התחייבויותיהן כלפי PII.
סעיפי ISO 27701 רלוונטיים
- ISO 27701 7.3.7
ISO 27701 סעיף 7.3.7 - חובות של בקרי PII ליידע צדדים שלישיים
מטרת סעיף 7.3.7
מעת לעת, עשוי להתעורר צורך לשתף PII עם צדדים שלישיים (באמצעות הערוצים המתאימים).
ארגונים צריכים ליידע חברות כאלה על כל בקשות לשינוי, ביטול הסכמה או התנגדויות הקשורות לכל PII ששותף.
הנחיות לגבי סעיף 7.3.7
ארגונים צריכים להשתמש בערוצים הטכניים המתאימים כדי להבטיח שצדדים שלישיים יקבלו מידע מהיר ומדויק, ובהתאם לכל דרישות חוקיות או רגולטוריות אזוריות.
במידת האפשר, ארגונים צריכים להאציל פונקציה זו לאדם מסור, ולנקוט צעדים כדי להבטיח שבקשות כאלה אושרו.
ISO 27701 סעיף 7.3.8 - מתן עותק של PII מעובד
מטרת סעיף 7.3.8
חשוב מאוד שארגונים יוכלו לספק, לפי בקשה, עותק של כל PII שעובד.
הנחיות לגבי סעיף 7.3.8
ISO דורש מארגונים לספק עותק של ה-PII בפורמט ידידותי למשתמש הנגיש בקלות על ידי מנהל ה-PII.
ארגונים צריכים לנקוט בזהירות רבה כדי להבטיח שכל מידע שסופק קשור אך ורק למנהל PII שביקש זאת.
חוקי זיהוי PII משתנים מאזור לאזור, אך אם ה-PII עבר תהליך ביטול זיהוי, הארגונים אינם צריכים לנסות להזדהות מחדש, אלא אם כן נדרשים לכך על פי חוק.
ארגונים צריכים גם לחקור שיטות להעברת ה-PII ישירות לארגון אחר, אם תתבקש לעשות זאת.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
ISO 27701 סעיף 7.3.9 - טיפול בבקשות
מטרת סעיף 7.3.9
ארגונים צריכים לציית למערכת קונקרטית של נהלים המסדירה כיצד עליהם להגיב לבקשות של מנהלי PII.
הנחיות לגבי סעיף 7.3.9
הבקשות יכולות לנוע בין (אך לא מוגבלות ל) עותק של ה-PII, או הגשת תלונה, ויש לטפל בהן תוך זמן תגובה שפורסם, המתחשב באופי הבקשה.
בהתאם לתחום השיפוט, ארגונים עשויים גם לגבות דמי טיפול, אך לרוב זה מוגבל לבקשות מוגזמות או חוזרות.
ISO 27701 סעיף 7.3.10 - קבלת החלטות אוטומטית
מטרת סעיף 7.3.10
ארגונים צריכים להתייחס לכל התחייבות משפטית למנהלי PII הקשורים לעיבוד אוטומטי של PII.
הנחיות לגבי סעיף 7.3.10
ארגונים צריכים לקחת בחשבון את השונות בסמכות השיפוט בקבלת החלטות אוטומטית לגבי PII - ליתר דיוק, לאפשר למנהלי PII להתנגד ולבקש התערבות אנושית במקום נהלים אוטומטיים.
מאמרי GDPR תומכים
אלמנטים שונים של ISO 27701 סעיף 7.3 חלים בבריטניה GDPR חֲקִיקָה. עיין בטבלה שלהלן עבור ההפניות המתאימות.
מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | מאמרי GDPR משויכים |
---|---|---|
7.3.1 | קביעה ומילוי חובות למנהלי PII | סעיף (12) |
7.3.2 | קביעת מידע עבור מנהלי PII | מאמרים (11), (13), (14), (15), (18), (21) |
7.3.3 | מתן מידע למנהלי PII | מאמרים (11), (12), (13), (21) |
7.3.4 | מתן מנגנון לשינוי או ביטול הסכמה | מאמרים (7), (13), (14), (18) |
7.3.5 | מתן מנגנון לעיבוד אובייקט לזיהוי אישי | מאמרים (13), (14), (21) |
7.3.6 | גישה, תיקון ו/או מחיקה | מאמרים (5), (13), (14), (16), (17) |
7.3.7 | חובות של בקרי PII ליידע צדדים שלישיים | סעיף (19) |
7.3.8 | מתן עותק של PII מעובד | מאמרים (15), (20) |
7.3.9 | טיפול בבקשות | מאמרים (12), (15) |
7.3.10 | קבלת החלטות אוטומטית | מאמרים (13), (14), (22) |
כיצד ISMS.online עוזר
פלטפורמת ISMS.online מציעה סיוע משולב בכל שלב, ואת גישת ההטמעה 'אמץ, הסתגל, הוסף' ל-ISO 27701, כדי להקל בהרבה על התהליך.
תוכל גם ליהנות ממגוון תכונות לחיסכון בזמן.
אם מסיבה כלשהי אתה חווה חוסר ביטחון עצמי, יכולת או דחף לפעול במהלך המסע שלך ל-ISO 27701, נוכל להעמיד את צוות המומחים הפנימי שלנו לזמין או להמליץ על אחד מהשותפים המהימנים שלנו כדי לתת דחיפה למאמצים שלך.
למידע נוסף על ידי הזמנת הדגמה.