Phone: 077-5509948 יצירת קשר

במאי שנת 2018 נכנסו לתוקף רגולציית תקנות הגנת הפרטיות אשר פורסמו בסמיכות אל התקנות האירופאיות GDPR – GENERAL DATA PROTECTION REGULATION

כתוצאה מכניסתן של תקנות אלו נוצרה קפיצת מדרגה ברמת אבטחת המידע האישי במדינתנו. המשמעות של תקנות הגנת הפרטיות אבטחת מידע היא הגנה על המידע מפני העתקתו, שימוש בו או חשיפתו לגורמים שאינם מוגדרים כגורמים מורשים. נכון לשנת 2020 תקנות הגנת פרטיות חלות על המשק הישראלי בכללותו כאשר המטרה העיקרית של תקנות אלו היא לספק הגנה לאנשים שמידע אודותיהם מופיע במאגר או במאגרי מידע.

תוכן עניינים

חוק תקנות הגנת הפרטיות אבטחת מידע 

רגולציית תקנות הגנת הפרטיות GDPR

GDPR (תקנות הגנת הפרטיות), הן ראשי התיבות של GENERAL DATA PROTECTION REGULATION. בדומה לישראל, גם באירופה קיימת רגולציה. GDPR היא רגולציית הגנה הפרטיות של המדינות האירופאיות. התקנות האירופאיות נכנסו לתוקפן ב- 25 למאי 2018 כאשר המטרה של אלו וזאת בדומה לישראל היא להגן על המידע האישי של כל אזרחי האיחוד האירופי וזאת באמצעות הטלת חובות מסוימות והוראות שונות לחברות וארגונים אשר אוספים מידע אישי לגבי אזרחים המשתייכים אל האיחוד האירופי, מאחסנים אותו בדאטה בייסים ומעבדים אותו. ה- GDPR מחזיר את השליטה במידע האישי החשוף ברשת הדיגיטלית לכל אחד מאזרחי אירופה.

חשוב לדעת שהרגולציה תחול גם על בעלי שליטה ומעבדי מידע שהחברה שלהם ממוקמת מחוץ לגבולות יבשת אירופה וזאת באם העסק כולל נתוני מידע אודות תושבי האיחוד או אם מדובר על עסק שעוקב אחר התנהגותו של הלקוח האירופאי וזאת באמצעות אפליקציה או אתר.

תקנות הגנת הפרטיות חלות על בעלי שליטה במידע ו/או על מעבדי מידע שמקום מושבם איננו בגבולות האיחוד האירופי אם הם מבצעים אחד מאלה:

  1. מעבדים מידע של נושאי מידע הנמצאים באיחוד באמצעות מתן הצעות למוצרים או שירותים בתשלום או בחינם.
  2. ניטור התנהגותם של נתינים הנמצאים באיחוד האירופי.

תקנות הגנת הפרטיות בנושא איסוף מידע פרטי

התקנות מגדירות מידע פרטי כמידע הנוגע לאדם פרטי (לא ארגון או תאגיד) אשר ניתן לזהותו באופן ישיר או עקיף באמצעות פרט מזהה כגון: שם, מיקום, ת.ז, מאפיינים פיזיולוגים, כלכליים, חברתיים-תרבותיים ונוספים.

בעניין זכויות נושא המידע (האדם עליו נאסף המידע), יש לשמור על האינטרס הציבורי או ההסכם החוזי,  בהתאם לזכויות הבאות:

  • הזכות למידע בסיסי הודעת הפרטיות חייבת לספק מידע רלוונטי בשפה פשוטה וברורה.
  • זכות גישה לנושא המידע הזכות לקבל את כל הפרטים לגבי המידע אודותיו ללא תשלום ובכל עת שיבקש.
  • זכות תיקוןנושאי המידע רשאים לבקש לבצע שינויים במידע בעקבות טעויות.
  • הזכות למחוק ("הזכות להישכח") –  לנושא המידע הזכות לדרוש את מחיקת המידע אודותיו בכל עת .
  • הזכות להגביל את העיבודזכותו של נושא המידע לבקש לעצור את פעולות העיבוד המתבצעות במידע שלו.
  • זכות לקבל הודעה על מחיקה, תיקון או הגבלה
  • הזכות להתנגד לעיבודזכותו של נושא המידע לא להסכים לפעולות העיבוד המתבצעות במידע שלו.
  • זכות העברת המידעלנושא המידע הזכות לקבל לידיו את כל המידע אשר סופק על ידו לבעל השליטה ולהעבירו לגורם אחר .
  • זכות להתנגד לעיבוד למטרות שיווק ישיר
  • זכות להתנגד לעיבוד למטרות מדעיות, היסטוריות או סטטיסטיות
  • הזכות לא להיות מוערך" לקבל ציון" על בסיס עיבוד אוטומטי – זכותו של נושא המידע לקבלת החלטות, שנעשות על סמך המידע אודותיו, על ידי בן אדם.
  • הזכות לקבל הודעה על הפרת המידע – יש לדווח לנושאי המידע תוך 72 שעות ממועד פריצה או פגיעה במידע, אם קיים סיכון לזכויותיהם ולחירותם.
  • הזכות לסגת מההסכמה בכל עתזכותו של נושא המידע בכל עת לחזור בהסכמתו למסירת מידע.
  • הזכות להגיש תלונה לרשות המפקחת
  • זכות לפיצויים – זכותו של נושאי המידע לקבל פיצוי כספי בגין פגיעה בזכויותיהם או בחירותם.
  • הזכות להסבר על עיבוד נתונים – לנושאי המידע יש הזכות לקבל תיאור ברור, חד משמעי ומדויק על עיבוד המידע האישי שלהם.

יישום תקנות הגנת הפרטיות עוד בשלב התכנון

רגולציית תקנות הגנת הפרטיות GDPR , קובע כי על הארגונים להגן על הפרטיות כבר משלב תכנון המוצר /  שירות  Privacy by design  ולאורך כל חייו.

ארגון השולט במידע מחויב לתכנן וליישם בקרות תהליכיות וטכנולוגיות להגנת המידע האישי, ארגון המעבד המידע נדרש להבטיח את שמירת המידע באופן נאות, על ידו וע"י מעבדי מידע אחרים המספקים לו שירות.

תקנות הגנת הפרטיות GDPR מפרט בהרחבה מהם הכלים והתהליכים הנדרשים להגנת המידע האישי בהתאם לאבטחת מידע, בהם הגנה על סודיות, שלמות וזמינות המידע, והבטחת יכולת ההתאוששות באם מתרחש אסון.

בנוסף:

  • בעלי השליטה במידע נדרשים לדווח לרשויות על כל פריצה בתוך 72 שעות מרגע שזוהתה
  • מאגרי מידע שפגיעה בהם מהווה סיכון גבוה לפגיעה בפרטיות נדרשים לבצע סקר להערכת סיכוני אבטחת מידע
  • ארגונים המטפלים בכמות רבה של מידע רגיש נדרשים למנות( "קצין הגנת מידע") DPO בעל סמכויות נרחבות.

GDPR  מגדיר מידע פרטי כמידע הנוגע לאדם "טבעי ") כלומר אדם פרטי ולא ארגון או תאגיד(  אשר ניתן לזהותו במישרין או בעקיפין, באמצעות התייחסות למזהה כדוגמת שם, מספר מזהה, מידע על מיקום, מזהה אינטרנטי, או באמצעות מאפיינים פיזיים, פיזיולוגיים, גנטיים, מנטאליים, כלכליים, או מזהים תרבותיים-חברתיים של אותו אדם .

תיעוד:  – 39 סעיפים מתוך 99 הסעיפים של GDPR דורשים באופן מפורש לשמור ראיות המוכיחות כי הארגון עומד בדרישות הרגולציה . תקנות ה GDPR חל על מכירת מוצרים ושירותים לנושאי מידע הנמצאים באיחוד.

הפרת תקנות הגנת הפרטיות GDPR

תקנות הגנת הפרטיות האירופאיות קובעות סנקציות חמורות בדמות קנסות של מיליוני יורו. כמו כן, כל גוף שאינו עומד בתנאי התקנים האירופאיים מודע לכך שהוא לא יוכל לעבוד אל מול גופים אירופאים. הכללים של ה- GDPR חלים על כל בעל שליטה במידע או עסק שמעבד מידע וממוקם בגבולות אירופה.

במקרה של הפרת תקנות ה- GDPR הרגולטור מעמיד עונש כספי כבד מאי פעם : 4% מהמחזור או 20 מיליון יורו (הגבוה ביניהם).

חוק הגנת הפרטיות אבטחת מידע GDPR

השארת פרטים לתקנות הגנת הפרטיות GDPR

למי תקנות הגנת הפרטיות מיועדות?

תקנות הגנת הפרטיות שנועדו שנועדו להגן על כל אזרח שהמידע האישי שלו נמצא במאגר זה או אחר, מיועדות לכל בעלי ומנהלי מאגרי מידע מכל סוג. תקנות ה- GDPR חלות על גופים ממשלתיים, עסקיים, חברות ציבוריות וחברות פרטיות, גם אם חברות אלו אינן ממוקמות בטריטוריה של יבשת אירופה, אך הן מעבדות נתונים הקשור אל האיחוד האירופי. חשוב לדעת שאם מדובר על מאגר שהוקם לשימוש אישי ולא עסקי חובת תקנות הגנת הפרטיות לא חלה עליו. דבר זה תקף גם לגבי מאגר מידע שמנוהל על ידי אדם יחיד ומאגר מידע בו קיימים רק כתובת או דרך התקשרות אחרת שאינם מזהים.

יישום חוק תקנות הגנת הפרטיות GDPR

תהליך העמידה בתקנות הגנת הפרטיות אבטחת מידע?

לאחר בדיקה והגעה למסקנה באשר לרמת האבטחה הרלוונטית של הארגון/חברה/גוף שברשותכם יש ליישם את כל תקנות הגנת הפרטיות הרלוונטיות לאותה רמת אבטחה. חלק מאותן תקנות הן:

תהליך העמידה בתקנות:

  1. מיפוי מקורות המידע של הארגון 
  2. הבנת התהליכים הטכנולוגיים של הארגון
  3. הכנת סקר פערים עפ"י מה שקיים בארגון אל מול מה שנדרש בתקנות.
  4. בניית תוכנית עבודה בהתאם לסקר הפערים
  5. מעקב וסיוע בתיקון הפערים
  6. מינוי DPO – data protection officer – קצין הגנת המידע – ע"י הנהלה בכירה של הארגון .
  7. אחריות הנהלה בכירה
  8. הכנת מסמכים (פירוט בהמשך)

1# – מיפוי מקורות המידע של הארגון

ביצוע מיפוי הנתונים הרלוונטיים לתקנות במערכות המידע ובסיסי הנתונים של החברה.

אתם נדרשים לרשום מסמך הגדרות אשר מתייחס לכל הקשור אל מאגר המידע שלכם, כמו למשל תיאור כללי של אותן הפעולות המתבצעות על המידע המצוי בדאטה בייס שלכם. המטרה של השימוש במידע האישי בו, תיאור בשורה אחת של אותו מידע אישי הקיים בו, חשוב לציין האם המידע מועבר במלואו או בחלקו לגופים או גורמים שונים בחו"ל, האם צד שלישי משתמש בנתונים שבמאגר שלכם ולאיזו מטרה, מהם הסיכונים אליהם חשוף המידע האישי, כיצד הארגון מתמודד עם סיכונים אלו וכל הפרטים המלאים של אותו ממונה על אבטח המידע של מאגר הנתונים, מנהלו ובעליו של המחזיק במאגר. מסמך זה יש לעדכן אחת לשנה באם נעשה שינוי כלשהו בארגון  או חל אירוע אבטחה.

2# – הבנת התהליכים הטכנולוגיים של הארגון

האם קיימות מערכות מידע בפיתוח עצמי , אילו מערכות מידע נוספות יש בארגון? מקומיות וגם בענן. באילו סביבות ענן מתבצע הפיתוח (Aws, Azure, GCP). להכיר את המוצר שיש לארגון, איך הארכיטקטורה של המוצר בנויה, באיזה הצפנות משתמשים (אם בכלל), איך המידע זורם, היכן מאוחסן PHI PII וכדומה.

3# – הכנת סקר פערים, סיכונים ואבטחת מידע

פערים מחולקים ל 3 קטגוריות (DEV,PROCEDURE, TECHNICAL) – פיתוח, נהלים, טכני– אנחנו מכינים ללקוח סקר פערים ע"י הבנת המצב הקיים בארגון אל מול מה שנדרש.

5# – מעקב וסיוע בתיקון פערים

פערים אדמיניסטרטיביים – הכנת סט נהלים בכפוף לGDPR  כמו DSAR , PERSONAL DATA SECURITY PROCEDURE   וכדומה.
 
פערים טכניים ופיתוח – הנחיית הלקוח מה עליו לעשות עפ"י התקנות כגון איסוף לוגים, הצפנות, התקנת אנטי וירוס וכדומה.

6# – מינוי DPO (ממונה אבטחת מידע)

פעולה נוספת אותה אתם נדרשים לבצע בהתאם לתקנות הגנת הפרטיות באם הארגון שלכם הוא בעליו או מחזיק בחמישה מאגרי דאטה בייס היא למנות אחראי / ממונה על אבטחת המידע בארגון שלכם. חשוב לציין שדבר זה חל רק על גופים ציבוריים, בנקים, חברות העוסקות בדירוג אשראי, הערכת אשראי וחברות ביטוח.

מינוי Data protection Officer :

במסגרת הפרוייקט יוגדר קצין הגנת מידע בארגון מינוי DPO (ממונה על הגנת המידע), לאפשר ללקוח לממש את "הזכות להישכח", ניהול מאגרי מידע מאובטחים ותיעוד הבסיס החוקי / משפטי המאפשר שימוש במידע למשל הסכמה אקטיבית של לקוח למשלוח מסרים פרסומיים.

7# – אחריות הנהלה בכירה

הנהלה מיישמת מדיניות אבטחת מידע ומקצה את המשאבים הנדרשים לניהול החברה בהתאם לדרישות הרגולציה , וזאת תוך קיום ישיבות סקרי הנהלה תקופתיים. כמו כן, ההנהלה תמנה ממונה על הגנת המידע. באחריות הנציג להבטיח שמדיניות ההנהלה מתקיימת בצורה סדורה.

הגברת מודעות העובדים לנושאי אבטחת מידע, שילוב דרישות אבטחת מידע בתהליכי קליטה של העובדים, הגברת מודעות העובדים לנושאי אבטחת מידע. בקרת רשומות יוגדרו כללים לניהול רשומות אבטחת המידע של החברה.

העבודה תתבצע ותפוקח ע"י צוות מקצועי בכיר לתקינה ורגולציה.
צוות הפרוייקט בעל ניסיון רב והסמכות בינלאומיות באבטחת מידע ויישום הרגולציה בארגונים!

8# - פירוט מסמכים ליישום לתקנות הגנת הפרטיות אבטחת מידע

DPIA – data privacy impact assessments

הערכת השפעות הגנת הנתונים – נעשה בכל תחילת עבודה ובכל פעם שיש שינוי בתהליכים.  תהליך שעוזר לזהות ולמזער את סיכוני הגנת הנתונים של הפרויקט.

DSAR – data subject access request

בקשת גישה למידע – כל אזרח אירופאי יכול להגיש בקשה בכתב על מנת לגשת למידע שנאסף עליו.

Website privacy policy

מדיניות פרטיות של אתר. הצהרה הקובעת כיצד חברה או אתר אוספים, מטפלים ומעבדים נתונים של לקוחותיה ומבקריה.

Personal data privacy policy

מדיניות פרטיות נתונים אישיים.
מדיניות הפרטיות צריכה להכיל את המידע האישי שנאסף, הקטגוריות של צדדים שלישיים איתם החברה שלך משתפת את המידע, כיצד הצרכנים יכולים לבדוק ולבקש שינויים במידע שלהם, כיצד החברה שלך מודיעה לצרכנים על שינויים מהותיים במדיניות הפרטיות ועוד.

CBDT – cross border personal data transfer procedure

נוהל העברת נתונים חוצה גבולות.

Incident management and breach notification procedure

הליך ניהול אירועים והודעות על הפרות

Personal data security procedure

נוהל אבטחת נתונים אישיים.
אבטחת נתונים מתמקדת בהגנה על נתונים אישיים מכל גישה בלתי מורשית של צד שלישי.

⭐⭐⭐⭐⭐

תקנות הגנת הפרטיות עם CyberSafe

מעוניינים לפנות אל חברה שמומחית בכל הקשור אל תקנות הגנת הפרטיות ואבטחת מידע?   צוות המומחים של חברת CyberSafe מומחה בייעוץ ומספק פתרונות אבטחת מידע לחברות וארגונים, כולל כל הקשור אל ייעוץ ויישום תקנות הגנת הפרטיות אבטחת מידע. לתיאום פגישה עם מומחי האבטחה והסייבר של חברתנו ניתן ליצור איתנו קשר 

צרו איתנו קשר בטלפון 077-5509948

השארת פרטים לתקנות הגנת הפרטיות GDPR

שאלות ותשובות בנושא תקנות הגנת הפרטיות

GDPR , הן ראשי התיבות של GENERAL DATA PROTECTION REGULATION, תקנות אירופאיות שנכנסו לתוקפן בשנת 2018 כאשר המטרה היא להגן על המידע האישי של כל אזרח.

במקרה של הפרת חוק GDPR – הגוף עלול לשאת עונש כספי כבד: 4% מהמחזור או 20 מיליון יורו (הגבוה ביניהם). כל גוף שאינו עומד בתנאי התקנים האירופאיים מודע לכך שהוא לא יוכל לעבוד אל מול גופים אירופאים.

תהליך העמידה בתקנות הגנת הפרטיות כולל:

  1. מיפוי מקורות המידע של הארגון 
  2. הבנת התהליכים הטכנולוגיים של הארגון
  3. הכנת סקר פערים עפ"י מה שקיים בארגון אל מול מה שנדרש בתקנות.
  4. בניית תוכנית עבודה בהתאם לסקר הפערים
  5. מעקב וסיוע בתיקון הפערים
  6. מינוי DPO – data protection officer – קצין הגנת המידע – ע"י הנהלה בכירה של הארגון .
  7. אחריות הנהלה בכירה
  8. הכנת מסמכים