ISO 27701 – סעיף 8.5 – שיתוף, העברה וחשיפה של PII

ISO/IEC 27701 סעיף 8.5 מתאר דרישות לארגונים לגבי שיתוף, העברה וחשיפת מידע אישי מזהה (PII), הבטחת עמידה בהתחייבויות משפטיות, רגולטוריות וחוזיות תוך שמירה על שקיפות ושמירה על הפרטיות.

הזמן הדגמה
מְחַבֵּר
מקס אדוארדס
עודכן ב-27 בפברואר 2025
לינקדין טויטר טויטר

הבנת ISO 27701 סעיף 8.5: שיתוף, העברה וחשיפה של PII

ISO 27701 סעיף 8.5 מתאר את יעדי הארגון בכל פעם ש-PII מוגדר להיות מועבר או חשיפה למדינות אחרות, ארגונים וקבלני משנה אחרים.

ISO 27701 סעיף 8.5.1 - שיתוף, העברה וחשיפה של PII

מטרת סעיף 8.5.1

בכל פעם שיש להעביר PII בין תחומי שיפוט, ארגונים צריכים ליידע את הלקוח על הצורך הבסיסי לעשות זאת, בזמן.

הנחיות לגבי סעיף 8.5.1

תקנות העברת PII יכולות להשתנות מאזור לאזור, בהתאם לאן מועברים הנתונים וממנו.

יעדי העברה יכולים לכלול:

  • ספקים.
  • צד שלישי.
  • מדינות שונות.
  • ארגונים בינלאומיים.

ארגונים צריכים לתת ללקוח הודעה מספקת על כל העברות, כדי שיוכלו להעלות התנגדויות ובנסיבות מסוימות, ניתן יהיה להגיש בקשות סיום.

ארגונים לא תמיד צריכים להודיע ​​ללקוחות על שינויים בהסדרי העברת הנתונים שלהם, אבל חוזים צריכים לפרט בבירור את הנסיבות שבהן הם צריכים להציע אזהרה מוקדמת.

בעת העברת PII למדינה אחרת, ארגונים צריכים לשקול מנגנונים רשמיים, כגון:

  1. סעיפי חוזה לדוגמה.
  2. כללי תאגיד מחייבים.
  3. כללי פרטיות חוצי גבולות.


קבל headstart של 81%.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה


ISO 27701 סעיף 8.5.2 - מדינות וארגונים בינלאומיים אליהם ניתן להעביר PII

מטרת סעיף 8.5.2

ארגונים צריכים לשמור רשימה מדויקת ועדכנית של כל מדינות או ארגונים שאליהם יש פוטנציאל העברה של PII.

הנחיות לגבי סעיף 8.5.2

לקוחות צריכים להיות מסוגלים להציג רשימה של מדינות וארגונים נמענים פוטנציאליים בכל זמן נתון, כולל יומן של כל המדינות המעורבות בקבלנות משנה PII (ראה סעיף 27701 של ISO 8.5.1).

בנסיבות מסוימות, ארגונים לא תמיד יוכלו לחשוף מראש מהיכן הגיעו בקשות העברה - במיוחד כאשר מדובר במקרים של הליכים פליליים. זה בלתי נמנע, וזה צריך להיות בראש סדר העדיפויות של הארגון לשמור על שלמות פעולת אכיפת החוק (ראה ISO 27701 סעיפים 7.5.1, 8.5.4 ו-8.5.5).

סעיפי ISO 27701 רלוונטיים

  • ISO 27701 7.5.1
  • ISO 27701 8.5.1
  • ISO 27701 8.5.4
  • ISO 27701 8.5.5

ISO 27701 סעיף 8.5.3 - רשומות של גילוי PII לצד שלישי

מטרת סעיף 8.5.3

ארגונים צריכים לרשום בקפדנות את כל המקרים שבהם הם צריכים לחשוף PII לצד שלישי.

הנחיות לגבי סעיף 8.5.3

בכל פעם שנחשף PII - בין אם כחלק משגרה עסקית רגילה או בנסיבות מיוחדות, כגון תהליך משפטי או רגולטורי מתמשך - ארגונים צריכים לתעד את מה שנחשף, את הנמען ואת הסיבה הבסיסית לכך.



ציות לא חייב להיות מסובך.

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.

הזמן הדגמה


ISO 27701 סעיף 8.5.4 - הודעה על בקשות לגילוי אישי אישי

מטרת סעיף 8.5.4

בכל פעם שמוגשת בקשה משפטית מחייבת לארגון לחשוף פרטים אישיים מזהים, היכן שמותר, על הארגון ליידע את מנהל המידע על הבקשה.

הנחיות לגבי סעיף 8.5.4

ארגונים צריכים לנסח נוהל שקובע את האופן שבו מודיעים למנהלי PII על בקשות צד שלישי מחייבות למידע שלהם, כולל מסגרת זמן סבירה ותניה חוזית המתארת ​​את התהליך כולו.

מעל הכל, ארגונים צריכים להיענות לבקשות של רשויות אכיפת החוק, בעלי הזכות לבקש שהלקוח לא יודיע על כל בקשה, ולוודא שהם לא עוברים על שום חוק על ידי יידוע הלקוח בטעות או בכוונה על המצב.

ISO 27701 סעיף 8.5.5 - גילויי PII מחייבים מבחינה משפטית

מטרת סעיף 8.5.5

ארגונים צריכים להתנגד לאלתר לכל בקשה לחשיפת פרטים אישיים מזהים שמנוגדת לחוקי אבטחת המידע הרווחים, או שאינה מחייבת מבחינה משפטית.

יש להתייעץ עם מנהלי PII לפני שהארגון חושף מידע כלשהו הקשור ל-PII, וארגונים צריכים לעמוד בתנאים חוזיים המתארים אילו גילויים מותר, מנקודת מבטו של הלקוח.

הנחיות לגבי סעיף 8.5.5

חוזים צריכים להיות ספציפיים במה שהם רואים כבקשה חוקית, בנוסף לכל אלה שאושרו על ידי הלקוח, לרבות אלה שמקורם ב:

  • בתי משפט.
  • בתי הדין לעבודה.
  • סכסוכי עבודה.
  • רשויות רגולטוריות/מנהליות.

ISO 27701 סעיף 8.5.6 - גילויי PII מחייבים מבחינה משפטית

מטרת סעיף 8.5.6

לפני התקשרות עם קבלני משנה כלשהם שנדרשים לעבד PII, על הארגון לחשוף את פרטי הקשר תחילה, לפני שהוא מאפשר לקבלן המשנה לבצע את תפקידיו.

הנחיות לגבי סעיף 8.5.6

כל ההוראות לשימוש בקבלני משנה צריכות להיות רשומות ככאלה בתוך חוזה ה-SLA/הלקוח.

מידע על קבלני משנה צריך לכלול:

  1. שם קבלני המשנה.
  2. כל מדינות שאליהן קבלן המשנה מסוגל להעביר נתונים (ראה סעיף 27701 ISO 8.5.2), כך שהלקוח יוכל ליידע את כל מנהלי ה-PII.
  3. כיצד קבלן המשנה צפוי לענות על צרכי הארגון (ראה ISO 27701 סעיף 8.5.7).

יש לנסח מסמכי NDA כדי לחשוף כל מידע שיהווה סיכון אבטחה מוגבר אם ייחשף בפומבי.

סעיפי ISO 27701 רלוונטיים

  • ISO 27701 8.5.2
  • ISO 27701 8.5.7


נהל את כל התאימות שלך במקום אחד

ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.

הזמן הדגמה


ISO 27701 סעיף 8.5.7 - התקשרות של קבלן משנה לעיבוד PII

מטרת סעיף 8.5.7

הזמן היחיד שמקובל לבצע פעולות עיבוד PII בקבלנות משנה, הוא לצד התנאים הכלולים בהסכם חוזי.

הנחיות לגבי סעיף 8.5.7

ארגונים צריכים לקבל אישור בכתב מהלקוחות שלהם, לפני כל PII שיעובד על ידי ארגון צד שלישי.

קבלני משנה צריכים להיות כפופים להסכם מחייב (בדרך כלל בצורה של חוזה כתוב), המבטיח שקבלני משנה מבינים את חובותיהם כלפי יישום הבקרות המפורטות בנספח B ISO 27701.

חוזים צריכים לקחת בחשבון תהליכי הערכת סיכונים שונים (ראה ISO 27701 סעיף 5.4.1.2), ואת כל היקף פעולת עיבוד ה-PII של הארגון (ראה ISO 27701 סעיף 6.12). כאמור לעיל, יש להקפיד על כל הבקרות המפורטות בנספח ב', עם כל ההשמטה הרשומה, לצד ההצדקות לכך.

סעיפי ISO 27701 רלוונטיים

  • ISO 27701 5.4.1.2
  • ISO 27701 6.12

ISO 27701 סעיף 8.5.8 - שינוי קבלן משנה לתהליך PII

מטרת סעיף 8.5.8

בכל פעם שעולה צורך לשנות את האופן שבו הארגון מוציא כל מרכיב בפעולת עיבוד ה-PII שלו למיקור חוץ, יש ליידע את הלקוחות על השינויים זמן רב מראש על מנת לתת להם זמן להטיל ספק או להתנגד לשינויים האמורים.

הנחיות לגבי סעיף 8.5.8

חוזים צריכים לכלול סעיפים המספקים אישור בכתב מהלקוח להמשיך בשינוי, לפני עיבוד מידע אישי כלשהו.

ארגונים עשויים גם לבקש אישור לשינויים במסגרת הסכמים כתובים אד-הוק, מחוץ לכל תנאי חוזי.

מאמרי GDPR תומכים

אלמנטים שונים של ISO 27701 סעיף 8.5 חלים בבריטניה GDPR חֲקִיקָה. עיין בטבלה שלהלן עבור ההפניות המתאימות.

מזהה סעיף ISO 27701שם סעיף ISO 27701מאמרי GDPR משויכים
8.5.1בסיס להעברת PII בין תחומי שיפוט מאמרים (44), (46), (48), (49)
8.5.2מדינות וארגונים בינלאומיים שאליהם ניתן להעביר PII סעיף (30)
8.5.3רשומות של חשיפת מידע אישי לצדדים שלישיים סעיף (30)
8.5.4הודעה על בקשות לגילוי אישי אישי סעיף (28)
8.5.5גילויי PII מחייבים מבחינה משפטיתמאמר (48)
8.5.6חשיפה של קבלני משנה המשמשים לעיבוד PII סעיף (28)
8.5.7התקשרות של קבלן משנה לעיבוד PII סעיף (28)
8.5.8שינוי קבלן משנה לתהליך PII סעיף (28)

כיצד ISMS.online עוזר

ב-ISMS.online, אנו הופכים את תיעוד מערכת ניהול מידע הפרטיות שלך לקל יותר עבור הארגון שלך. אנו מספקים לך ממשק ניהול מידע הגיוני, שמיש ומבוסס ענן, שיעזור לארגון שלך לבדוק את תהליכי הפרטיות שלו ולהתקדם מול תקן ISO 27701 / PIMS.

הפלטפורמה מבוססת הענן שלנו מאפשרת לך לגשת לכל משאבי ה-PIMS שלך במקום אחד.

אתה יכול להשתמש בפלטפורמה הקלה לשימוש שלנו כדי לתעד את כל מה שאתה צריך כדי להראות שאתה עומד בדרישות של ISO 27701. שיטת התוצאות הבטוחות שלנו (ARM) מבטל את המסתורין של הדרישות של ISO 27701 ונותנת לך ביטחון בזמן שאתה מתקדם לקראת השגת תעודה.

יש לנו צוות פנימי של מומחי אבטחת מידע שיכולים לספק הדרכה ולענות על שאלות כדי לעזור לך בדרך להסמכת ISO 27701.

למידע נוסף על ידי הזמנת הדגמה.

קפוץ לנושא

מקס אדוארדס

מקס עובד כחלק מצוות השיווק של ISMS.online ומבטיח שהאתר שלנו מתעדכן בתוכן שימושי ומידע על כל מה שקשור ל-ISO 27001, 27002 ותאימות.

סיור בפלטפורמת ISMS

מעוניין בסיור פלטפורמת ISMS.online?

התחל את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות עכשיו ותחווה את הקסם של ISMS.online בפעולה!

נסה זאת בחינם

אנחנו מובילים בתחומנו

משתמשים אוהבים אותנו
מנהיג רשת - אביב 2025
מנהיג מומנטום - אביב 2025
מנהיג אזורי - אביב 2025 בריטניה
מנהיג אזורי - האיחוד האירופי אביב 2025
Best Est. החזר ROI Enterprise - אביב 2025
סביר להניח להמליץ ​​על Enterprise - אביב 2025

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

-ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

-קרן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

-בן ה.

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!