077-5509948 יצירת קשר שאלון מבדק חדירה תחת מתקפת סייבר?

במאי שנת 2018 נכנסו לתוקף רגולציית תקנות הגנת הפרטיות אשר פורסמו בסמיכות אל התקנות האירופאיות GDPR – GENERAL DATA PROTECTION REGULATION.

חוק תקנות הגנת הפרטיות הישראלי:

חוק הגנת הפרטיות 1981 ותקנות הגנת הפרטיות 2018  הינם החוקים שנקבעו בישראל על מנת להגן על פרטיות אזרחי ישראל, וחלה על כל ארגון בישראל (פרטי או ציבורי) השומר נתונים אישיים / רגישים. מטרת החוקים הינה להפוך את אבטחת המידע בארגון לחלק בלתי נפרד משיגרת הניהול שלו.

רגולציית GDPR האירופאי:

GDPR הינו חוק הגנת הפרטיות האירופאי שהתחיל לחול ב 2018 על כל חברה המחזיקה בנתונים אישיים / רגישים של אזרחי אירופה גם אם החברה לא יושבת באירופה. מטרת ה GDPR הינה לשמור על זכויות פרטיות האזרח וליצור אבטחת מידע בכל שלבי הפיתוח של המוצר.

תוכן עניינים בנושא רגולציית תקנות הפרטיות אירופאי וישראלי

חוק תקנות הגנת הפרטיות אבטחת מידע הישראלי

תקנות הגנת הפרטיות הישראלי לעסקים

כתוצאה מכניסתן של תקנות אלו נוצרה קפיצת מדרגה ברמת אבטחת המידע האישי במדינתנו. המשמעות של תקנות הגנת הפרטיות אבטחת מידע היא הגנה על המידע מפני העתקתו, שימוש בו או חשיפתו לגורמים שאינם מוגדרים כגורמים מורשים. נכון לשנת 2022 תקנות הגנת פרטיות חלות על המשק הישראלי בכללותו כאשר המטרה העיקרית של תקנות אלו היא לספק הגנה לאנשים שמידע אודותיהם מופיע במאגר או במאגרי מידע.

התקנות נכנסו לתוקפן ב- 8 למאי 2018 כאשר המטרה של אלו וזאת בדומה לאיחוד האירופי היא להגן על המידע האישי של כל אזרחי ישראל וזאת באמצעות הטלת חובות מסוימות והוראות שונות לחברות וארגונים אשר אוספים מידע אישי לגבי אזרחים ישראלים, מאחסנים אותו בדאטה בייסים ומעבדים אותו. תקנות הגנת הפרטיות חלות על בעלי מאגר מידע ו/או על מחזיקי מאגר מידע.

תקנות הגנת הפרטיות בנושא איסוף מידע רגיש

חוק הגנת הפרטיות (אבטחת מידע) הישראלי מגדיר מהו מידע רגיש, הניסוח בחוק הוא: "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו".

בעל מאגר מידע חייב ברישום המאגר במשרד המשפטים אם במאגר נשמר מידע רגיש בהתאם לחוק הגנת הפרטיות.

יישום תקנות הגנת הפרטיות 

ארגון בעל / מחזיק מאגר מידע מחויב לתכנן וליישם בקרות תהליכיות וטכנולוגיות להגנת המידע הרגיש.

תקנות הגנת הפרטיות מפרט בהרחבה מהם הכלים והתהליכים הנדרשים להגנת המידע האישי בהתאם לאבטחת מידע, בהם הגנה על סודיות, שלמות וזמינות המידע, והבטחת יכולת ההתאוששות באם מתרחש אסון:

  • בעלי מאגר המידע נדרשים לדווח לרשם המאגרים על כל פריצה באופן מיידי
  • מאגרי מידע שפגיעה בהם מהווה סיכון גבוה לפגיעה בפרטיות ואשר מסווגים ברמת אבטחה גבוהה נדרשים לבצע סקר סיכונים וכן מבדק חדירה אחת ל18 חודשים.
  • ארגונים המטפלים בכמות רבה של מידע רגיש נדרשים למנות ממונה אבטחת מידע בעל הכשרה מתאימה.

למי תקנות הגנת הפרטיות מיועדות?

תקנות הגנת הפרטיות שנועדו להגן על כל אזרח שהמידע האישי שלו נמצא במאגר זה או אחר, מיועדות לכל בעלי ומנהלי מאגרי מידע מכל סוג. תקנות הגנת הפרטיות חלות על גופים ממשלתיים, עסקיים, חברות ציבוריות וחברות פרטיות, וכן מאגר מידע שמנוהל על ידי אדם יחיד.

תהליך העמידה בתקנות הגנת הפרטיות?

לאחר בדיקה והגעה למסקנה באשר לרמת האבטחה הרלוונטית של הארגון / חברה / גוף שברשותכם יש ליישם את כל תקנות הגנת הפרטיות הרלוונטיות לאותה רמת אבטחה. חלק מאותן תקנות הן (תהליך העמידה בתקנות):

  1. מיפוי מאגרי המידע של הארגון
  2. הכנת סקר פערים עפ"י מה שקיים בארגון אל מול מה שנדרש בתקנות.
  3. בניית תוכנית עבודה בהתאם לסקר הפערים
  4. מעקב וסיוע בתיקון הפערים
  5. הכנת מסמכים לרישום המאגר ברשם המאגרים – משרד המשפטים
  6. מינוי ממונה אבטחת מידע (לחברות שעומדות בקריטריונים) ע"י הנהלה בכירה של הארגון .
  7. אחריות הנהלה בכירה
  8. הכנת מסמכים (פירוט בהמשך)

הקשחת שרתים

1# – מיפוי מאגרי המידע של הארגון

ביצוע מיפוי הנתונים הרלוונטיים לתקנות במערכות המידע ובסיסי הנתונים של החברה.

אתם נדרשים לרשום מסמך הגדרות אשר מתייחס לכל הקשור אל מאגר המידע שלכם, כמו למשל תיאור כללי של אותן הפעולות המתבצעות על המידע המצוי בדאטה בייס שלכם. המטרה של השימוש במידע האישי בו, תיאור בשורה אחת של אותו מידע אישי הקיים בו, חשוב לציין האם המידע מועבר במלואו או בחלקו לגופים או גורמים שונים בחו"ל, האם צד שלישי משתמש בנתונים שבמאגר שלכם ולאיזו מטרה, מהם הסיכונים אליהם חשוף המידע האישי, כיצד הארגון מתמודד עם סיכונים אלו וכל הפרטים המלאים של אותו ממונה על אבטח המידע של מאגר הנתונים, מנהלו ובעליו של המחזיק במאגר. מסמך זה יש לעדכן אחת לשנה באם נעשה שינוי כלשהו בארגון  או חל אירוע אבטחה.

2# – הכנת סקר פערים, סיכונים ואבטחת מידע

אנחנו מכינים ללקוח סקר פערים ע"י הבנת המצב הקיים בארגון אל מול מה שנדרש בתקנות, ובונים תוכנית עבודה מסודרת.

3# – מעקב וסיוע בתיקון פערים

פערים אדמיניסטרטיביים – הכנת נוהל טיפול במאגרי מידע כנדרש וכתיבת מסמך הגדרות מאגר.

 פערים טכניים – הנחיית הלקוח מה עליו לעשות עפ"י התקנות כגון איסוף לוגים, הצפנות, התקנת אנטי וירוס וכדומה.

4# – הכנת מסמכים לרישום המאגר ברשם המאגרים – משרד המשפטים

הכנת סט מסמכים אותו יש להגיש למשרד המשפטים על מנת לבצע רישום של המאגר.

5# – מינוי ממונה אבטחת מידע

פעולה נוספת אותה אתם נדרשים לבצע בהתאם לתקנות הגנת הפרטיות היא למנות אחראי / ממונה על אבטחת המידע בארגון שלכם. באם:  הארגון שלכם הוא מחזיק בחמישה מאגרי דאטה בייס /  גופים ציבוריים / בנקים / חברות העוסקות בדירוג אשראי, הערכת אשראי / חברות ביטוח.

6# – אחריות הנהלה בכירה

הנהלה מיישמת מדיניות אבטחת מידע ומקצה את המשאבים הנדרשים לניהול החברה בהתאם לדרישות הרגולציה , וזאת תוך קיום ישיבות סקרי הנהלה תקופתיים. כמו כן, ההנהלה תמנה ממונה על אבטחת המידע. באחריות הנציג להבטיח שמדיניות ההנהלה מתקיימת בצורה סדורה.

הגברת מודעות העובדים לנושאי אבטחת מידע, שילוב דרישות אבטחת מידע בתהליכי קליטה של העובדים, הגברת מודעות העובדים לנושאי אבטחת מידע. בקרת רשומות יוגדרו כללים לניהול רשומות אבטחת המידע של החברה.

7# – פירוט מסמכים ליישום לתקנות הגנת הפרטיות אבטחת מידע

  • נוהל טיפול במאגרי מידע
  • מסמך הגדרות מאגר
  • מסמכים שונים עבור רישום המאגרים במשרד המשפטים
  • ספר מיפוי מאגר

השארת פרטים לתקנות הגנת הפרטיות GDPR

רגולציית תקנות הגנת הפרטיות האירופאי GDPR

חוק תקנות הגנת הפרטיות אבטחת מידע

GDPR (תקנות הגנת הפרטיותהאירופאיות), הן ראשי התיבות של GENERAL DATA PROTECTION REGULATION. בדומה לישראל, גם באירופה קיימת רגולציה. GDPR היא רגולציית הגנה הפרטיות של המדינות האירופאיות. התקנות האירופאיות נכנסו לתוקפן ב- 25 למאי 2018 כאשר המטרה של אלו וזאת בדומה לישראל היא להגן על המידע האישי של כל אזרחי האיחוד האירופי וזאת באמצעות הטלת חובות מסוימות והוראות שונות לחברות וארגונים אשר אוספים מידע אישי לגבי אזרחים המשתייכים אל האיחוד האירופי, מאחסנים אותו בדאטה בייסים ומעבדים אותו. ה- GDPR מחזיר את השליטה במידע האישי החשוף ברשת הדיגיטלית לכל אחד מאזרחי אירופה.

חשוב לדעת שהרגולציה תחול גם על בעלי שליטה ומעבדי מידע שהחברה שלהם ממוקמת מחוץ לגבולות יבשת אירופה וזאת באם העסק כולל נתוני מידע אודות תושבי האיחוד או אם מדובר על עסק שעוקב אחר התנהגותו של הלקוח האירופאי וזאת באמצעות אפליקציה או אתר.

תקנות GDPR חלות על בעלי שליטה במידע ו/או על מעבדי מידע שמקום מושבם איננו בגבולות האיחוד האירופי אם הם מבצעים אחד מאלה:

  1. מעבדים מידע של נושאי מידע הנמצאים באיחוד באמצעות מתן הצעות למוצרים או שירותים בתשלום או בחינם.
  2. ניטור התנהגותם של נתינים הנמצאים באיחוד האירופי.

תקנות GDPR בנושא איסוף מידע פרטי

התקנות מגדירות מידע פרטי כמידע הנוגע לאדם פרטי (לא ארגון או תאגיד) אשר ניתן לזהותו באופן ישיר או עקיף באמצעות פרט מזהה כגון: שם, מיקום, ת.ז, מאפיינים פיזיולוגים, כלכליים, חברתיים-תרבותיים ונוספים.

בעניין זכויות נושא המידע (האדם עליו נאסף המידע), יש לשמור על האינטרס הציבורי או ההסכם החוזי,  בהתאם לזכויות הבאות:

  • הזכות למידע בסיסי הודעת הפרטיות חייבת לספק מידע רלוונטי בשפה פשוטה וברורה.
  • זכות גישה לנושא המידע הזכות לקבל את כל הפרטים לגבי המידע אודותיו ללא תשלום ובכל עת שיבקש.
  • זכות תיקוןנושאי המידע רשאים לבקש לבצע שינויים במידע בעקבות טעויות.
  • הזכות למחוק ("הזכות להישכח") –  לנושא המידע הזכות לדרוש את מחיקת המידע אודותיו בכל עת .
  • הזכות להגביל את העיבודזכותו של נושא המידע לבקש לעצור את פעולות העיבוד המתבצעות במידע שלו.
  • זכות לקבל הודעה על מחיקה, תיקון או הגבלה
  • הזכות להתנגד לעיבודזכותו של נושא המידע לא להסכים לפעולות העיבוד המתבצעות במידע שלו.
  • זכות העברת המידעלנושא המידע הזכות לקבל לידיו את כל המידע אשר סופק על ידו לבעל השליטה ולהעבירו לגורם אחר .
  • זכות להתנגד לעיבוד למטרות שיווק ישיר
  • זכות להתנגד לעיבוד למטרות מדעיות, היסטוריות או סטטיסטיות
  • הזכות לא להיות מוערך" לקבל ציון" על בסיס עיבוד אוטומטי – זכותו של נושא המידע לקבלת החלטות, שנעשות על סמך המידע אודותיו, על ידי בן אדם.
  • הזכות לקבל הודעה על הפרת המידע – יש לדווח לנושאי המידע תוך 72 שעות ממועד פריצה או פגיעה במידע, אם קיים סיכון לזכויותיהם ולחירותם.
  • הזכות לסגת מההסכמה בכל עתזכותו של נושא המידע בכל עת לחזור בהסכמתו למסירת מידע.
  • הזכות להגיש תלונה לרשות המפקחת
  • זכות לפיצויים – זכותו של נושאי המידע לקבל פיצוי כספי בגין פגיעה בזכויותיהם או בחירותם.
  • הזכות להסבר על עיבוד נתונים – לנושאי המידע יש הזכות לקבל תיאור ברור, חד משמעי ומדויק על עיבוד המידע האישי שלהם.

חוק הגנת הפרטיות אבטחת מידע GDPR

יישום תקנות הגנת הפרטיות GDPR עוד בשלב התכנון

רגולציית תקנות הגנת הפרטיות GDPR , קובע כי על הארגונים להגן על הפרטיות כבר משלב תכנון המוצר /  שירות  Privacy by design  ולאורך כל חייו.

ארגון השולט במידע מחויב לתכנן וליישם בקרות תהליכיות וטכנולוגיות להגנת המידע האישי, ארגון המעבד המידע נדרש להבטיח את שמירת המידע באופן נאות, על ידו וע"י מעבדי מידע אחרים המספקים לו שירות.

GDPR מפרט בהרחבה מהם הכלים והתהליכים הנדרשים להגנת המידע האישי בהתאם לאבטחת מידע, בהם הגנה על סודיות, שלמות וזמינות המידע, והבטחת יכולת ההתאוששות באם מתרחש אסון:

  • בעלי השליטה במידע נדרשים לדווח לרשויות על כל פריצה בתוך 72 שעות מרגע שזוהתה
  • מאגרי מידע שפגיעה בהם מהווה סיכון גבוה לפגיעה בפרטיות נדרשים לבצע סקר להערכת סיכוני אבטחת מידע
  • ארגונים המטפלים בכמות רבה של מידע רגיש נדרשים למנות( "קצין הגנת מידע") DPO בעל סמכויות נרחבות.

GDPR  מגדיר מידע פרטי כמידע הנוגע לאדם "טבעי ") כלומר אדם פרטי ולא ארגון או תאגיד(  אשר ניתן לזהותו במישרין או בעקיפין, באמצעות התייחסות למזהה כדוגמת שם, מספר מזהה, מידע על מיקום, מזהה אינטרנטי, או באמצעות מאפיינים פיזיים, פיזיולוגיים, גנטיים, מנטאליים, כלכליים, או מזהים תרבותיים-חברתיים של אותו אדם.

תיעוד: 39 סעיפים מתוך 99 הסעיפים של GDPR דורשים באופן מפורש לשמור ראיות המוכיחות כי הארגון עומד בדרישות הרגולציה. תקנות ה GDPR חל על מכירת מוצרים ושירותים לנושאי מידע הנמצאים באיחוד.

הפרת תקנות GDPR

רגולציית הפרטיות האירופאיות קובעות סנקציות חמורות בדמות קנסות של מיליוני יורו. כמו כן, כל גוף שאינו עומד בתנאי התקנים האירופאיים מודע לכך שהוא לא יוכל לעבוד אל מול גופים אירופאים. הכללים של ה- GDPR חלים על כל בעל שליטה במידע או עסק שמעבד מידע וממוקם בגבולות אירופה.

במקרה של הפרת תקנות ה- GDPR הרגולטור מעמיד עונש כספי כבד מאי פעם : 4% מהמחזור או 20 מיליון יורו (הגבוה ביניהם).

עבור מי GDPR מיועדות?

GDPR נועד להגן על כל אזרח שהמידע האישי שלו נמצא במאגר זה או אחר, מיועד לכל בעלי ומנהלי מאגרי מידע מכל סוג. תקנות ה- GDPR חלות על גופים ממשלתיים, עסקיים, חברות ציבוריות וחברות פרטיות, גם אם חברות אלו אינן ממוקמות בטריטוריה של יבשת אירופה, אך הן מעבדות נתונים הקשור אל האיחוד האירופי.

תהליך העמידה ב GDPR אבטחת מידע?

לאחר בדיקה והגעה למסקנה באשר לרמת האבטחה הרלוונטית של הארגון / חברה / גוף שברשותכם יש ליישם את כל תקנות ה GDPR הרלוונטיות לאותה רמת אבטחה, תהליך העמידה בתקנות:

1. מיפוי מקורות המידע של הארגון
2. הבנת התהליכים הטכנולוגיים של הארגון
3. הכנת סקר פערים עפ"י מה שקיים בארגון אל מול מה שנדרש בתקנות.
4. מעקב וסיוע בתיקון הפערים
5. מינוי DPO – data protection officer – קצין הגנת המידע – ע"י הנהלה בכירה של הארגון .
6. אחריות הנהלה בכירה
7. הכנת מסמכים (פירוט בהמשך).

יישום חוק תקנות הגנת הפרטיות GDPR

1# – מיפוי מקורות המידע של הארגון

ביצוע מיפוי הנתונים הרלוונטיים לתקנות במערכות המידע ובסיסי הנתונים של החברה. אתם נדרשים לרשום מסמך הגדרות אשר מתייחס לכל הקשור אל מאגר המידע שלכם, כמו למשל תיאור כללי של אותן הפעולות המתבצעות על המידע המצוי בדאטה בייס שלכם. המטרה של השימוש במידע האישי בו, תיאור בשורה אחת של אותו מידע אישי הקיים בו, חשוב לציין האם המידע מועבר במלואו או בחלקו לגופים או גורמים שונים בחו"ל, האם צד שלישי משתמש בנתונים שבמאגר שלכם ולאיזו מטרה, מהם הסיכונים אליהם חשוף המידע האישי, כיצד הארגון מתמודד עם סיכונים אלו וכל הפרטים המלאים של אותו ממונה על אבטח המידע של מאגר הנתונים, מנהלו ובעליו של המחזיק במאגר. מסמך זה יש לעדכן אחת לשנה באם נעשה שינוי כלשהו בארגון או חל אירוע אבטחה.

2# – הבנת התהליכים הטכנולוגיים של הארגון

האם קיימות מערכות מידע בפיתוח עצמי, אילו מערכות מידע נוספות יש בארגון? מקומיות וגם בענן. באילו סביבות ענן מתבצע הפיתוח (Aws, Azure, GCP). להכיר את המוצר שיש לארגון, איך הארכיטקטורה של המוצר בנויה, באיזה הצפנות משתמשים (אם בכלל), איך המידע זורם, היכן מאוחסן PHI PII וכדומה.

3# – הכנת סקר פערים, סיכונים ואבטחת מידע

פערים מחולקים ל 3 קטגוריות (DEV ,PROCEDURE, TECHNICAL) – פיתוח, נהלים, טכני – אנחנו מכינים ללקוח סקר פערים ע"י הבנת המצב הקיים בארגון אל מול מה שנדרש.

4# – מעקב וסיוע בתיקון פערים

פערים אדמיניסטרטיביים – הכנת סט נהלים בכפוף לGDPR כמו DSAR , PERSONAL DATA SECURITY PROCEDURE וכדומה.
פערים טכניים ופיתוח – הנחיית הלקוח מה עליו לעשות עפ"י התקנות כגון איסוף לוגים, הצפנות, התקנת אנטי וירוס וכדומה.

5# – מינוי DPO (ממונה אבטחת מידע)

פעולה נוספת אותה אתם נדרשים לבצע בהתאם ל GDPR באם הארגון שלכם הוא בעליו או מחזיק בחמישה מאגרי דאטה בייס היא למנות אחראי / ממונה על אבטחת המידע בארגון שלכם. חשוב לציין שדבר זה חל רק על גופים ציבוריים, בנקים, חברות העוסקות בדירוג אשראי, הערכת אשראי וחברות ביטוח.

מינוי Data protection Officer :

במסגרת הפרוייקט יוגדר קצין הגנת מידע בארגון מינוי DPO (ממונה על הגנת המידע), לאפשר ללקוח לממש את "הזכות להישכח", ניהול מאגרי מידע מאובטחים ותיעוד הבסיס החוקי / משפטי המאפשר שימוש במידע למשל הסכמה אקטיבית של לקוח למשלוח מסרים פרסומיים.

6# – אחריות הנהלה בכירה

הנהלה מיישמת מדיניות אבטחת מידע ומקצה את המשאבים הנדרשים לניהול החברה בהתאם לדרישות הרגולציה , וזאת תוך קיום ישיבות סקרי הנהלה תקופתיים. כמו כן, ההנהלה תמנה ממונה על הגנת המידע. באחריות הנציג להבטיח שמדיניות ההנהלה מתקיימת בצורה סדורה.

הגברת מודעות העובדים לנושאי אבטחת מידע, שילוב דרישות אבטחת מידע בתהליכי קליטה של העובדים, הגברת מודעות העובדים לנושאי אבטחת מידע. בקרת רשומות יוגדרו כללים לניהול רשומות אבטחת המידע של החברה.

העבודה תתבצע ותפוקח ע"י צוות מקצועי בכיר לתקינה ורגולציה.
צוות הפרוייקט בעל ניסיון רב והסמכות בינלאומיות באבטחת מידע ויישום הרגולציה בארגונים!

השארת פרטים לתקנות הגנת הפרטיות GDPR

פירוט מסמכים ליישום לתקנות הגנת הפרטיות אבטחת מידע

DPIA – data privacy impact assessments

הערכת השפעות הגנת הנתונים – נעשה בכל תחילת עבודה ובכל פעם שיש שינוי בתהליכים.  תהליך שעוזר לזהות ולמזער את סיכוני הגנת הנתונים של הפרויקט.

DSAR – data subject access request

בקשת גישה למידע – כל אזרח אירופאי יכול להגיש בקשה בכתב על מנת לגשת למידע שנאסף עליו.

Website privacy policy

מדיניות פרטיות של אתר. הצהרה הקובעת כיצד חברה או אתר אוספים, מטפלים ומעבדים נתונים של לקוחותיה ומבקריה.

Personal data privacy policy

מדיניות פרטיות נתונים אישיים.
מדיניות הפרטיות צריכה להכיל את המידע האישי שנאסף, הקטגוריות של צדדים שלישיים איתם החברה שלך משתפת את המידע, כיצד הצרכנים יכולים לבדוק ולבקש שינויים במידע שלהם, כיצד החברה שלך מודיעה לצרכנים על שינויים מהותיים במדיניות הפרטיות ועוד.

CBDT – cross border personal data transfer procedure

נוהל העברת נתונים חוצה גבולות.

Incident management and breach notification procedure

הליך ניהול אירועים והודעות על הפרות

Personal data security procedure

נוהל אבטחת נתונים אישיים.
אבטחת נתונים מתמקדת בהגנה על נתונים אישיים מכל גישה בלתי מורשית של צד שלישי.

⭐⭐⭐⭐⭐

יצירת קשר לתקנות הגנת הפרטיות עם CyberSafe

מעוניינים לפנות אל חברה שמומחית בכל הקשור אל תקנות הגנת הפרטיות ואבטחת מידע?   צוות המומחים של חברת CyberSafe מומחה בייעוץ ומספק פתרונות אבטחת מידע לחברות וארגונים, כולל כל הקשור אל ייעוץ ויישום תקנות הגנת הפרטיות אבטחת מידע. לתיאום פגישה עם מומחי האבטחה והסייבר של חברתנו ניתן ליצור איתנו קשר 

צרו איתנו קשר בטלפון 077-5509948

השארת פרטים לתקנות הגנת הפרטיות GDPR

שאלות ותשובות בנושא תקנות הגנת הפרטיות GDPR

GDPR , הן ראשי התיבות של GENERAL DATA PROTECTION REGULATION, תקנות אירופאיות שנכנסו לתוקפן בשנת 2018 כאשר המטרה היא להגן על המידע האישי של כל אזרח.

במקרה של הפרת חוק GDPR – הגוף עלול לשאת עונש כספי כבד: 4% מהמחזור או 20 מיליון יורו (הגבוה ביניהם). כל גוף שאינו עומד בתנאי התקנים האירופאיים מודע לכך שהוא לא יוכל לעבוד אל מול גופים אירופאים.

תהליך העמידה בתקנות הגנת הפרטיות כולל:

  1. מיפוי מקורות המידע של הארגון 
  2. הבנת התהליכים הטכנולוגיים של הארגון
  3. הכנת סקר פערים עפ"י מה שקיים בארגון אל מול מה שנדרש בתקנות.
  4. בניית תוכנית עבודה בהתאם לסקר הפערים
  5. מעקב וסיוע בתיקון הפערים
  6. מינוי DPO – data protection officer – קצין הגנת המידע – ע"י הנהלה בכירה של הארגון .
  7. אחריות הנהלה בכירה
  8. הכנת מסמכים