הבנת ISO 27701 סעיף 8.2: תנאים לעיבוד נתונים חוקי
עמידה בסעיף 27701 בתקן ISO 8.2 מבטיחה שארגונים פועלים כחוק בעת איסוף ועיבוד PII, והם מתאימים לכל החוקים או התניות הרגולטוריות הרווחות בכל מקום שבו הם מעבדים PII.
ISO 27701 סעיף 8.2.1 - הסכם לקוח
מטרת סעיף 8.2.1
יש לערוך חוזים העוסקים בעיבוד PII המתייחסים לצורך של הארגון במתן סיוע ללקוח, והתחייבויותיו.
הנחיות לגבי סעיף 8.2.1
החוזים צריכים לכלול:
- המושג 'פרטיות לפי עיצוב' (ראה ISO 27701 סעיפים 7.4 ו-8.4).
- כיצד הארגון מתכוון להשיג אבטחת עיבוד.
- כיצד יש לדווח על הפרות, כולל לקוחות, מנהלים ורשויות רגולטוריות.
- כיצד יש להתמודד עם הערכות השפעת הפרטיות.
- אישור על כוונת הארגון לספק סיוע לרשויות הגנת PII.
סעיפי ISO 27701 רלוונטיים
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 סעיף 8.2.2 – מטרות הארגון
מטרת סעיף 8.2.2
מלכתחילה, יש לעבד PII רק בהתאם להוראות הלקוח.
הנחיות לגבי סעיף 8.2.2
חוזים צריכים לכלול SLAs המתייחסים ליעדים הדדיים, וכל טווחי זמן קשורים בהם יש להשלים אותם.
ארגונים צריכים להכיר בזכותם לבחור בשיטות הייחודיות המשמשות לעיבוד PII, המשיגות באופן חוקי את מה שהלקוח מחפש, אך ללא צורך בקבלת הרשאות מפורטות לגבי האופן שבו הארגון מתנהל בעניין ברמה הטכנית.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 8.2.3 - שימוש בשיווק ופרסום
מטרת סעיף 8.2.3
ארגונים צריכים לקבל אישור מעיקרון ה-PII לפני השימוש בנתונים כלשהם שסופקו למטרות שיווק או פרסום, ולוודא שקבלת שימוש כזה אינה תנאי מוקדם לעיבוד PII.
הנחיות לגבי סעיף 8.2.3
תנאי שיווק ופרסום צריכות להיות מתועדות בבירור בכל חוזים או הסכמי שירות, בהתאם למטרה לעיל.
ארגונים צריכים לחפש 'הסכמה מפורשת' המבוססת על ייצוג שקוף ועדכני של אופן השימוש ב-PII.
ISO 27701 סעיף 8.2.4 – הוראה מפרה
מטרת סעיף 8.2.4
ארגונים צריכים להיות קולניים לגבי כל הוראת עיבוד מהלקוח המנוגדת לכל חוק או תקנות.
הנחיות לגבי סעיף 8.2.4
ארגונים צריכים לשמור על הבנת עבודה יסודית של האופן שבו להוראות יש פוטנציאל להתנגש עם חקיקה או חובות רגולטוריות ישימות.
הפרות מתרחשות בדרך כלל סביב שלושה גורמים.
- איך משתמשים בטכנולוגיה.
- הנחת היסוד של ההוראה.
- כל התחייבות חוזית.
ISO 27701 סעיף 8.2.5 - התחייבויות הלקוח
מטרת סעיף 8.2.5
ארגונים צריכים להיות מסוגלים לספק ללקוחותיהם מידע מספיק, כך שלקוחות יוכלו לעמוד בהתחייבויותיהם בכל זמן נתון.
הנחיות לגבי סעיף 8.2.5
המידע הנדרש יכול לשלב מגוון רחב של פונקציות, אך לרוב קשור לביקורות פנימיות, ולתפקיד הארגון בהקלתן באמצעות אספקת מידע.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 8.2.6 - רשומות הקשורות לעיבוד PII
מטרת סעיף 8.2.6
ארגונים צריכים לשמור רישומים מדויקים ומעודכנים המאפשרים להם, בכל זמן נתון, להוכיח עמידה בכל התחייבות חוזית הקשורה לעיבוד PII.
הנחיות לגבי סעיף 8.2.6
בהתאם לתחום השיפוט, הרשומות עשויות לכלול:
- רשימות קטגוריות של עיבוד, על בסיס לקוח ללקוח.
- כל העברת נתונים למדינות אחרות או לארגונים בינלאומיים.
- בקרות אבטחה טכניות.
מאמרי GDPR תומכים
אלמנטים שונים של ISO 27701 סעיף 8.2 חלים בבריטניה GDPR חֲקִיקָה. עיין בטבלה שלהלן עבור ההפניות המתאימות.
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | מאמרי GDPR משויכים |
|---|---|---|
| 8.2.1 | הסכם הלקוח | מאמרים (28), (35) |
| 8.2.2 | מטרות הארגון | מאמרים (5), (28), (29), (32) |
| 8.2.3 | שימוש בשיווק ופרסום | סעיף (7) |
| 8.2.4 | הוראה מפרה | סעיף (28) |
| 8.2.5 | חובות לקוחות | סעיף (28) |
| 8.2.6 | רשומות הקשורות לעיבוד PII | סעיף (30) |
כיצד ISMS.online עוזר
פלטפורמת ISMS.online מציעה סיוע משולב בכל שלב, ואת גישת ההטמעה 'אמץ, הסתגל, הוסף' ל-ISO 27701, כדי להקל בהרבה על התהליך. תוכל גם ליהנות ממגוון תכונות לחיסכון בזמן.
אנו הופכים את מיפוי הנתונים למשימה פשוטה. קל להקליט ולסקור את הכל, תוך הוספת פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.
תצטרך להראות עד כמה אתה מנהל בקשות לזכויות נושאי נתונים (DRR). מרחב ה-DRR המאובטח שלנו שומר את הכל במקום אחד, ותומך בו באמצעות דיווח אוטומטי ותובנה.
קל להגדיר ולהפעיל סוגים שונים של הערכות פרטיות, מהערכות השפעה על הגנת נתונים ועד להערכות מוכנות לרגולציה או לציות.
למידע נוסף על ידי הזמנת הדגמה.
