וואָס איז GDPR אַרטיקל 33? א שנעל איבערבליק פון קאָמפּליאַנסע רעקווירעמענץ
GDPR אַרטיקל 33 דילז מיט אַן אָרגאַניזאַציע 'ס פליכט צו געבנ צו וויסן די באַטייַטיק לעגאַל אָדער רעגולאַטאָרי אויטאָריטעט ווען די רעכט און פרייהייט פון אַ יחיד איז געווען שטעלן אין ריזיקירן, רעכט צו זייער אַקשאַנז (אָדער פּאַרטנערעד דריט פּאַרטיי ס אַקשאַנז) ווי אַ דאַטן קאַנטראָולער.
GDPR אַרטיקל 33 לעגאַל טעקסט
EU GDPR ווערסיע
אָנזאָג פון אַ פערזענלעכע דאַטן בריטש צו די סופּערווייזערי אויטאָריטעט
- אין פאַל פון פעלן פון פערזענלעכע דאַטן, די קאַנטראָולער זאָל אָן יבעריק פאַרהאַלטן און, אויב מעגלעך, ניט שפּעטער ווי 72 שעה נאָך זיין אַווער פון עס, געבנ צו וויסן די ברייקינג פון פּערזענלעך דאַטן צו די סופּערווייזערי אויטאָריטעט קאָמפּעטענט אין לויט מיט אַרטיקל 55, סייַדן די פערזענלעכע דאַטן בריטש איז אַנלייקלי צו רעזולטאַט אין אַ ריזיקירן פֿאַר די רעכט און פרידאַמז פון נאַטירלעך פנים. אויב די אָנזאָג צו די סופּערווייזערי אויטאָריטעט איז ניט געמאכט אין 72 שעה, עס וועט זיין באגלייט דורך סיבות פֿאַר די פאַרהאַלטן.
- דער פּראַסעסער וועט געבנ צו וויסן די קאָנטראָללער אָן יבעריק פאַרהאַלטן נאָך ווערן אַווער פון אַ פערזענלעכע דאַטן בריטש.
- די אָנזאָג ריפערד צו אין פּאַראַגראַף 1 וועט בייַ מינדסטער:
- באַשרייַבן די נאַטור פון די פערזענלעכע דאַטן בריטש, אַרייַנגערעכנט ווו מעגלעך, די קאַטעגאָריעס און דערנענטערנ נומער פון דאַטן סאַבדזשעקץ זארגן און די קאַטעגאָריעס און דערנענטערנ נומער פון פערזענלעכע דאַטן רעקאָרדס זארגן;
- יבערגעבן די נאָמען און קאָנטאַקט דעטאַילס פון די דאַטן שוץ אָפיציר אָדער אנדערע קאָנטאַקט פונט ווו מער אינפֿאָרמאַציע קענען זיין באקומען;
- באַשרייַבן די מסתּמא קאַנסאַקווענסאַז פון די פערזענלעכע דאַטן בריטש;
- באַשרייַבן די מיטלען גענומען אָדער פארגעלייגט צו זיין גענומען דורך די קאָנטראָללער צו אַדרעס די פערזענלעכע דאַטן בריטש, אַרייַנגערעכנט, ווו צונעמען, מיטלען צו פאַרמינערן די מעגלעך אַדווערס יפעקץ.
- וואו, און אין ווי ווייַט ווי, עס איז ניט מעגלעך צו צושטעלן די אינפֿאָרמאַציע אין דער זעלביקער צייט, די אינפֿאָרמאַציע קען זיין צוגעשטעלט אין פאַסעס אָן יבעריק ווייַטער פאַרהאַלטן.
- דער קאַנטראָולער וועט דאָקומענט קיין פערזענלעכע דאַטן בריטשיז, אַרייַנגערעכנט די Facts רילייטינג צו די פערזענלעכע דאַטן בריטש, די יפעקץ און די רימידיאַל אַקשאַנז גענומען. די דאַקיומענטיישאַן וועט געבן די סופּערווייזערי אויטאָריטעט צו באַשטעטיקן די העסקעם מיט דעם אַרטיקל.
UK GDPR ווערסיע
אָנזאָג פון אַ פערזענלעכע דאַטן בריטש צו די קאַמישאַנער
- אין דעם פאַל פון אַ פערזענלעכע דאַטן בריטש, דער קאַנטראָולער וועט אָן יבעריק פאַרהאַלטן און, אויב מעגלעך, ניט שפּעטער ווי 72 שעה נאָך זיין אַווער פון עס, געבנ צו וויסן די פערזענלעכע דאַטן בריטש צו די קאַמישאַנער, סייַדן די פערזענלעכע דאַטן בריטש איז אַנלייקלי צו רעזולטאַט אין אַ ריזיקירן צו די רעכט און פרייהייט פון נאַטירלעך פנים. אויב די אָנזאָג אונטער דעם פּאַראַגראַף איז נישט געמאכט אין 72 שעה, עס וועט זיין באגלייט מיט סיבות פֿאַר די פאַרהאַלטן.
- דער פּראַסעסער וועט געבנ צו וויסן די קאָנטראָללער אָן יבעריק פאַרהאַלטן נאָך ווערן אַווער פון אַ פערזענלעכע דאַטן בריטש.
- די אָנזאָג ריפערד צו אין פּאַראַגראַף 1 וועט בייַ מינדסטער:
- באַשרייַבן די נאַטור פון די פערזענלעכע דאַטן בריטש, אַרייַנגערעכנט ווו מעגלעך, די קאַטעגאָריעס און דערנענטערנ נומער פון דאַטן סאַבדזשעקץ זארגן און די קאַטעגאָריעס און דערנענטערנ נומער פון פערזענלעכע דאַטן רעקאָרדס זארגן;
- יבערגעבן די נאָמען און קאָנטאַקט דעטאַילס פון די דאַטן שוץ אָפיציר אָדער אנדערע קאָנטאַקט פונט ווו מער אינפֿאָרמאַציע קענען זיין באקומען;
- באַשרייַבן די מסתּמא קאַנסאַקווענסאַז פון די פערזענלעכע דאַטן בריטש;
- באַשרייַבן די מיטלען גענומען אָדער פארגעלייגט צו זיין גענומען דורך די קאָנטראָללער צו אַדרעס די פערזענלעכע דאַטן בריטש, אַרייַנגערעכנט, ווו צונעמען, מיטלען צו פאַרמינערן די מעגלעך אַדווערס יפעקץ.
- וואו, און אין ווי ווייַט ווי, עס איז ניט מעגלעך צו צושטעלן די אינפֿאָרמאַציע אין דער זעלביקער צייט, די אינפֿאָרמאַציע קען זיין צוגעשטעלט אין פאַסעס אָן יבעריק ווייַטער פאַרהאַלטן.
- דער קאַנטראָולער וועט דאָקומענט קיין פערזענלעכע דאַטן בריטשיז, אַרייַנגערעכנט די Facts רילייטינג צו די פערזענלעכע דאַטן בריטש, די יפעקץ און די רימידיאַל אַקשאַנז גענומען. די דאַקיומענטיישאַן וועט געבן די קאַמישאַנער צו באַשטעטיקן העסקעם מיט דעם אַרטיקל.
פאַרוואַלטן אַלע אייערע קאָנפאָרמאַנס, אַלץ אין איין אָרט
ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.
טעכניש קאָמענטאַר
ווי געזונט ווי ונ דורך דאַקיומענטאַד אַלע געשעענישן אַרום אַ בריטש, אָרגאַנאַזיישאַנז דאַרפֿן צו באַטראַכטן זעקס גאַווערנינג סיבות ווען אַקטינג אויף אַ דאַטן בריטש:
- די דעפֿיניציע פון אַ בריטש - "אַ בריטש פון זיכערהייט וואָס פירן צו די אַקסאַדענטאַל אָדער אַנלאָפאַל צעשטערונג, אָנווער, אָלטעריישאַן, אַנאָטערייזד אַנטפּלעקונג פון אָדער אַקסעס צו פערזענלעכע דאַטן טראַנסמיטטעד, סטאָרד אָדער אַנדערש פּראַסעסט."
- אָנהאַלטן אַקוטע וויסיקייַט פון אַ בריטש און באַקומען אַ 'גלייַך גראַד פון דורכקוק' ווען אַ סאַספּעקטיד בריטש איז פארגעקומען.
- זיין אַווער פון די ריסקס צו יחיד פרייהייט אַז אַ דאַטן בריטש קען פאַרשאַפן, און ווי מסתּמא די ריסקס פאָרשטעלן זיך.
- די שטרענגקייַט פון די ריזיקירן, אַרייַנגערעכנט.
- די ריזיקירן קאַטעגאָריע.
- די סומע פון דאַטן אַפעקטאַד און די גרייס פון דעם בריטש.
- ווי זיי זענען ביכולת צו ידענטיפיצירן קיין אַפעקטאַד מענטשן.
- ווי ערנסט די בריטש איז אין טערמינען פון מאַמאָשעסדיק קאַנסאַקווענסאַז צו קיין מענטשן אַפעקטאַד דורך עס (און ווי שפּירעוודיק זיי זענען).
- די נאַטור פון דער אָרגאַניזאַציע 'ס געשעפט, און צי דאָס קאַנסטאַטוץ אַ העכער ריזיקירן (למשל פינאַנציעל דאַטן).
- ווו מעגלעך, די נויט צו געבנ צו וויסן קיין גאַווערנינג אויטאריטעטן ין קסנומקס שעה.
- די נויט צו צושטעלן אַ גילטיק סיבה פֿאַר קאָנטאַקט די אויטאריטעטן נאָך 72 שעה איז דורכגעגאנגען, אויב דאָס אַקערז.
ווען נאָוטאַפייינג די סופּערווייזערי אויטאָריטעט אָרגאַנאַזיישאַנז דאַרפֿן צו:
- באַשרייַבן די נאַטור פון די בריטש.
- באַשטימען אַ קאָנטאַקט פונט.
- באַשרייַבן די ליקעליהאָאָד פון קיין קאַנסאַקווענסאַז.
- באַשרייַבן קיין אַקשאַנז גענומען אין ענטפער צו די בריטש.
- צושטעלן קיין נאָך דעטאַילס וואָס זענען באַטייַטיק צו די בריטש.
ISO 27701 פּונקט 6.13.1.1 (פֿאַראַנטוואָרטלעכקייט און פּראָוסידזשערז) און אי.יו. GDPR אַרטיקלען 34 (1), 34 (2), 34 (3) (אַ), 34 (3) (ב), 34 (3) (c) און 34 (4)
אין סדר צו שאַפֿן אַ קאָוכיסיוו, העכסט פאַנגקשאַנינג אינצידענט פאַרוואַלטונג פּאָליטיק וואָס באַוואָרענען די אַוויילאַבילאַטי און אָרנטלעכקייַט פון פּריוואַטקייט אינפֿאָרמאַציע בעשאַס קריטיש ינסאַדאַנץ, אָרגאַנאַזיישאַנז זאָל:
- אַדכיר צו אַ אופֿן פֿאַר ריפּאָרטינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט געשעענישן.
- פאַרלייגן אַ סעריע פון פּראַסעסאַז וואָס פירן פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט-פֿאַרבונדענע ינסאַדאַנץ אַריבער די געשעפט, אַרייַנגערעכנט:
- אַדמיניסטראַציע.
- דאָקומענטאַטיאָן.
- דעטעקשאַן.
- טריאַגע.
- פּרייאָראַטייזיישאַן.
- אַנאַליסיס.
- קאָמוניקאַציע.
- פּלאַן אַן אינצידענט ענטפער פּראָצעדור וואָס ינייבאַלז די אָרגאַניזאַציע צו אַססעסס, ריספּאַנד צו און לערנען פון ינסאַדאַנץ.
- פאַרזיכערן אַז ינסאַדאַנץ זענען געראטן דורך טריינד און קאָמפּעטענט פּערסאַנעל וואָס נוץ פון אָנגאָינג ווערקפּלייס טריינינג און סערטאַפאַקיישאַן מגילה
שטעקן ינוואַלווד אין פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ זאָל פֿאַרשטיין:
- די צייט עס זאָל נעמען צו האַלטן אַן אינצידענט.
- קיין פּאָטענציעל פאלגן.
- די שטרענגקייט פון דעם אינצידענט.
ווען איר האַנדלען מיט פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט געשעענישן, דער שטעקן זאָל:
- אַססעסס געשעענישן אין לויט מיט אַ שטרענג קרייטיריאַ וואָס וואַלאַדייץ זיי ווי אַ באוויליקט ינסאַדאַנץ.
- קאַטאַגערייז פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט געשעענישן אין 5 סאַב-טעמעס:
- מאָניטאָרינג (זען יסאָ קסנומקס קאָנטראָלס 8.15 און 8.16).
- דעטעקשאַן (זען ISO 27002 קאָנטראָל 8.16).
- קלאַסאַפאַקיישאַן (זען ISO 27002 קאָנטראָל 5.25).
- אַנאַליסיס.
- רעפּאָרטינג (זען ISO 27002 קאָנטראָל 6.8).
- ווען סאַלווינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ, אָרגאַנאַזיישאַנז זאָל:
- ענטפער און עסקאַלייט ישוז (זען ISO 27002 קאָנטראָל 5.26) אין לויט מיט דעם טיפּ פון אינצידענט.
- אַקטאַווייט קריזיס פאַרוואַלטונג און געשעפט קאַנטיניויישאַן פּלאַנז.
- ווירקן אַ געראטן אָפּזוך פון אַן אינצידענט וואָס מיטאַגייץ אַפּעריישאַנאַל און / אָדער פינאַנציעל שעדיקן.
- ינשור גרונטיק קאָמוניקאַציע פון אינצידענט-פֿאַרבונדענע געשעענישן צו אַלע באַטייַטיק פּערסאַנעל.
- אָנטייל נעמען אין קאַלאַבערייטיוו אַרבעט (זען ISO 27002 קאָנטראָלס 5.5 און 5.6).
- קלאָץ אַלע אינצידענט געראטן-באזירט אַקטיוויטעטן.
- זיין פאַראַנטוואָרטלעך פֿאַר די האַנדלינג פון אינצידענט-פֿאַרבונדענע זאָגן (זען ISO 27002 קאָנטראָל 5.28).
- נעמען אַ גרונטיק וואָרצל גרונט אַנאַליסיס, צו מינאַמייז די ריזיקירן פון די אינצידענט געשעעניש ווידער, אַרייַנגערעכנט סאַגדזשעסטיד אַמענדמאַנץ צו קיין פּראַסעסאַז.
רעפּאָרטינג אַקטיוויטעטן זאָל זיין סענטערד אַרום 4 שליסל געביטן:
- אַקשאַנז וואָס דאַרפֿן צו זיין גענומען אַמאָל אַ אינפֿאָרמאַציע זיכערהייט געשעעניש אַקערז.
- אינצידענט פארמען וואָס רעקאָרדירן אינפֿאָרמאַציע איבער אַן אינצידענט.
- סוף-צו-סוף באַמערקונגען פּראַסעסאַז צו אַלע באַטייַטיק פּערסאַנעל.
- אינצידענט ריפּאָרץ אַז דעטאַל וואָס איז פארגעקומען אַמאָל אַ אינצידענט איז ריזאַלווד.
שטיצן ISO 27002 קאָנטראָלס
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן
איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.
ISO 27701 פּונקט 6.13.1.5 (ענטפער צו אינפֿאָרמאַציע זיכערהייט ינסידענץ) און EU GDPR אַרטיקלען 34 (1) און 34 (2)
אָרגאַנאַזיישאַנז זאָל ענשור אַז פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ זענען דעלט מיט אַ דעדאַקייטאַד טעכניש מאַנשאַפֿט מיט די סקילז און רעסורסן צו ווירקן אַ פּינטלעך האַכלאָטע (זען ISO 27002 קאָנטראָל 5.24).
אָרגאַנאַזיישאַנז זאָל:
- אַנטהאַלטן קיין פּריוואַטקייט-פֿאַרבונדענע טרעץ וואָס קומען פֿון דער אָריגינעל אַרויסגעבן.
- קלייַבן אַ גוף פון זאָגן איבער די האַכלאָטע פּראָצעס.
- אַרייַננעמען עסקאַלירונג, BUDR אַקטיוויטעטן און קאַנטיניויישאַן פּלאַנירונג אין קיין האַכלאָטע השתדלות (זען ISO 27002 קאָנטראָלס 5.29 און 5.30).
- קלאָץ אַלע אינצידענט-פֿאַרבונדענע אַקטיוויטעטן.
- ענשור אַז שטעקן אַרבעטן אויף אַ "דאַרפֿן צו וויסן" יקער ווען דילינג מיט פּריוואַטקייט אינפֿאָרמאַציע ינסאַדאַנץ.
- זיין קעסיידער מיינדפאַל פון זייער ריספּאַנסאַבילאַטיז צו זייער קאַסטאַמערז און פונדרויסנדיק אָרגאַנאַזיישאַנז, ווען קאַמיונאַקייטינג פּריוואַטקייט אינפֿאָרמאַציע ינסאַדאַנץ און דאַטן בריטשיז.
- נאָענט ינסאַדאַנץ צו אַ שטרענג גאַנג פון האַכלאָטע קרייטיריאַ.
- דורכפירן פאָרענסיק אַנאַליסיס (זען ISO 27002 קאָנטראָל 5.28), ווי און ווען פארלאנגט.
- זוכן צו פאַרלייגן די אַנדערלייינג סיבה פון אַן אינצידענט אַמאָל עס איז ריזאַלווד (זען ISO 27002 קאָנטראָל 5.27).
- נעמען רימידיאַל קאַמף אויף קיין פֿאַרבונדן פּראַסעסאַז, קאָנטראָלס, פּאַלאַסיז און פּראָוסידזשערז, צו שטיצן אָרגאַנאַזיישאַנאַל פּריוואַטקייט שוץ אַמאָל אַן אינצידענט איז סאַלווד.
שטיצן ISO 27002 קאָנטראָלס
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
אינדעקס פון לינגקט EU GDPR אַרטיקלען, ISO 27701 קלאָזיז און ISO 27002 קאָנטראָלס
| GDPR אַרטיקל | ISO 27701 פּונקט | יסאָ 27002 קאָנטראָלס |
|---|---|---|
| GDPR אַרטיקלען 34 (1), 34 (2), 34 (3) (אַ), 34 (3) (ב), 34 (3) (c) און 34 (4) | ISO 27701 6.13.1.1 |
ISO 27002 5.25 ISO 27002 5.26 ISO 27002 5.5 ISO 27002 5.6 ISO 27002 6.8 ISO 27002 8.15 ISO 27002 8.16 |
| EU GDPR אַרטיקלען 34 (1) און 34 (2) | ISO 27701 6.13.1.5 |
ISO 27002 5.24 ISO 27002 5.27 ISO 27002 5.28 ISO 27002 5.29 ISO 27002 5.30 |
ווי ISMS.online העלפּס
א בריטש פון GDPR קען רעזולטאַט אין באַטייטיק פינעס, וואָס מאכט עס איינער פון די וועלט 'ס טאַפאַסט פּריוואַטקייט און זיכערהייט רעגיאַליישאַנז. ווי אַ רעזולטאַט, עס ימפּלייז אַז אָרגאַנאַזיישאַנז מוזן באַשיצן פערזענלעכע דאַטן אין אַ 'גלייַך' מאָס.
אבער דא איז די גוטע נייעס.
אין אַ זיכער, שטענדיק-אויף אָרט, ISMS.online מאכט עס גרינג פֿאַר איר צו שפּרינגען רעכט אין GDPR העסקעם און באַווייַזן אַ שטאַפּל פון שוץ וואָס יקסטענדז ווייַטער פון 'גלייַך'.
מיר מאַכן דאַטן מאַפּינג אַ פּשוט אַרבעט. דורך אַדינג דיין אָרגאַניזאַציע 'ס דעטאַילס צו אונדזער פּריקאַנפיגיערד דינאַמיש רעקאָרדס פון פּראַסעסינג אַקטיוויטי געצייַג, איר קענען לייכט רעקאָרדירן און אָפּשאַצן עס אַלע.
אויב די ערגסט כאַפּאַנז, איר וועט זיין גרייט.
מיט אונדזער מכשירים, איר קענען פּלאַנירן, יבערגעבן, דאָקומענט און לערנען פון יעדער בריטש.
געפֿינען זיך מער דורך בוקינג אַ קורץ 30 מינוט דעמאָ.
