דף הבית > בלוג > GDPR – רגולציית הגנת הפרטיות האירופאית – כל מה שצריך לדעת

GDPR – רגולציית הגנת הפרטיות האירופאית – כל מה שצריך לדעת

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

אז מה זה GDPR בעצם?

רגולציית GDPR, או בשמה המלא, General Data Protection Regulation הנה רגולציית הגנת הפרטיות האירופית שנכנסה לתוקף במאי 2018.

הרגולציה מכילה הוראות מחייבות החלות על גופים שונים האוספים ומעבדים מידע אישי (בר זיהוי) המצוי ברשת אודות אזרחי האיחוד האירופי בכל נושאי פרטיות ואבטחת המידע.

מטרת הרגולציה הינה להגן על האזרחים בכל הקשור לעיבוד וחשיפת המידע האישי שלהם, תוך החזרת השליטה ואפשרות הבחירה בכל הנוגע למידע האישי שחשוף ברשת הדיגיטלית.

למאמרים אודות רגולציית הגנת הפרטיות GDPR – לחצו כאן

חברת Nextep הינה החברה הגדולה והמנוסה ביותר להטמעת תקנים ורגולציה לאבטחת מידע והגנת פרטיות במדינת ישראל.

עם מעל ל-500 פרויקטים בשנה האחרונה, יועצי החברה נחשבים לבעלי מוניטין רב ביישום והטמעת רגולציה בתחום.

בסיס הידע בחברה מבוסס על שילוב של מומחים משפטיים לתחום הגנת הפרטיות לצד יועצי ארגון ושיטות המתמחים באבטחת מידע. זאת, לצורך מתן מענה המותאם לצורכי הארגון ומקיף אל צרכיו בשלושת האספקטים הרלבנטיים "משפט-ארגון-טכנולוגיה". בין לקוחותינו .

כל מה שצריך לדעת על תקנות הגנת הפרטיות הישראליות – לחצו כאן

למאמר המפרט האם קיימות הסמכות בתחום והאם ניתן לקבל הסמכה לרגולציית GDPR – לחצו כאן

 

מהו "מידע אישי"?

מידע אישי מידע הנוגע לאדם פרטי (שאינו תאגיד) ומאפשר זיהוי שלו, כגון: שם, מספר מזהה, מידע על מיקום, או למאפיין פיזי, כגון: מידע גנטי, כלכלי ואף מזהה תרבותי – חברתי.

בהתאם ל-GDPR, "מידע אישי" מוגדר כמידע המאפשר זיהוי של אדם מסוים. עם זאת, במסגרת הרגולציה ובמסמכים הנלווים לה המחוקק האירופי הבהיר כי ההגדרה רחבה ביותר ומתייחסת גם לכתובת מייל ומספר טלפון גם אם אין שום פרט נוסף עליהם. בדומה לכך הרגולציה אף חלה בנסיבות מסוימות על שורה של מזהים דיגיטאליים, כגון: כתובת IP, Cookie ID וכו'.

הרגולציה מטילה שורה של כללים מחמירים על בעלי מאגר מידע (Controllers)  וצדדים שלישיים המעבדים עבורם מידע (Processors) של תושבי האיחוד האירופי.

למאמר המפרט את ההבדלים בין בעלי מאגר מידע למחזיקי מאגר מידע לחצו כאן

במידה ויש עסקים שמקום מושבם מחוץ לאיחוד האירופי האוספים ומעבדים מידע אישי על תושבי האיחוד, יידרשו העסקים למנות נציג רשמי (DPR) מטעמם באחת ממדינות האיחוד האירופי שיהיה מיופה כוח וייצג אותם מול הרגולטורים להגנת פרטיות באירופה.

כל מה שצריך לדעת אודות DPR – Data Protection Representative – לחצו כאן

 

 על מי חלות תקנות GDPR?

תקנות GDPR חלות על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו נמצא בגבולות האיחוד האירופי:

  • בעל השליטה במידע (Data controller) – הגורם אשר קובע את מטרות עיבוד המידע ומעמיד את האמצעים לשם האיסוף והעיבוד, או במילים פשוטות יותר – מי שיוזם ומבקש את איסוף ועיבוד המידע. בדרך כלל במסגרת ולצורכי הפעילות העסקית שלו.
  • מעבד המידע (Processor) –  גורם משני המספק שירותים לבקר המידע – אוסף עבורו מידע, מעבד אותו או אפילו רק מאחסן אותו עבור בעל השליטה במידע.

בנוסף, התקנות יחולו גם על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו אינו נמצא בגבולות האיחוד האירופי במידה ו:

  1. העסק נושא מידע על תושבי האיחוד האירופי, זאת בעקבות שיווק ומכירת שירותים/מוצרים לתושבי האיחוד.
  2. העסק עוקב אחר התנהגות המשתמש האירופאי באתר/באפליקציה.

 

תקנות GDPR לא חלות במידה ו:

  1. השימוש במידע אישי הינו לצרכים אישיים בלבד.
  2. השימוש במידע אישי הינו לצורכי חקירה ומניעת עבירות פליליות.
  3. השימוש במידע אישי הינו לצורכי ביטחון לאומי.

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

מהן הזכויות של מי שפרטיו שמורים במאגר המידע?

רגולציית GDPR מבקשת להעניק לכל אזרח מהאיחוד האירופי שהמידע האישי שלו שמור במאגר, את הזכויות הבאות:

  • על העסק לידע את האזרח במידה ואסף מידע אישי אודותיו. במידה ואסף, על העסק לספק מידע שלם וברור על המידע האישי שנאסף/נחשף על ידו.
  • על העסק לספק עותק מהמידע המיוחס לאזרח בצורה נגישה ומהירה.
  • על העסק לאפשר את העברת המידע האישי של האזרח לספק שירות אחר. המידע האישי יועבר בצורה נגישה ומהירה.
  • על העסק לתקן את המידע האישי של האזרח במידה ואינו עדכני או שגוי ולוודא שעודכן גם אצל צד שלישי.
  • במידה והמידע אינו רלוונטי, או כאשר ההסכמה על ידי הפרט השתנתה, יש למחוק את המידע על הפרט.

 

אז למה רגולציה אירופאית משנה לי כאן בישראל?

ראשית, מבחינה משפטית ה-GDPR חלה בצורה ישירה על כל גורם שמעבד, מאחסן ומשתמש במידע של אזרחים אירופאים, גם אם אינו פועל מתוך שטחי האיחוד. ולכן, כל גורם ישראלי המשווק את המוצרים שלו באיחוד האירופי או מספק שירותים הקשורים במידע אישי של אזרחי האיחוד האירופי (ואפילו כמעבד מידע), כפוף למעשה לרגולציה.

בנוסף, הרגולציה קובעת את חובתו של כל בקר מידע לוודא כי כל העברה של מידע אישי מצדו, מבוצעת בכפוף לכך שהגורם אליו הוא מעביר את המידע (בדרך כלל מעבד המידע) פועל בהתאם לרגולציה ומציית לדרישות השונות החלות עליו. מצב זה יוצר בעצם "שרשרת" של התחייבויות בין גורמים עסקיים אירופים ובין גורמים עסקיים שונים בישראל, הנדרשים לעמוד גם הם בהוראות ה-GDPR.

נקודה נוספת המובילה ל"תחולה" של ה-GDPR בפועל גם על גופים ישראלים לחלוטין, היא למעשה מערכת ההסכמים החוזית שבין בעלי מאגר המידע (Controller) ובין הצדדים השלישיים העוסקים בעיבוד מידע עבורם (Processors). אחת התקנות המרכזיות ב- GDPR קובעת כי בכל פעם שקונטרולר בוחר בשירותיו של צד ג' לעיבוד מידע, הוא חייב להחתים אותו על שורה של התחייבויות חוזיות. המסמך המוכר והמקובל בשוק לעניין זה הינו אותו Data Processing Agreement, או בשמו המוכר DPA. בהתאם, ייתכן מצב בו חברה עליה ה- GDPR לא חל באופן ישיר, תתחייב כלפי לקוחותיה במסגרת DPA לקיים חלק או כל מהוראות ה- GDPR.

 

מעוניין לגלות מדוע כדאי לארגונכם לעמוד בהוראות ה-GDPR? – לחצו כאן

 

למאמרים על תקנות הגנת הפרטיות – לחצו כאן

 

למאמרים על תקן ISO 27001 – לחצו כאן

 

אז מה בעצם עושים?

בין אם אתה בקר של מידע (Controller) ובין אם אתה מעבד מידע עבור אחרים (Processor), יש לבצע הליך פנים ארגוני במסגרתו יועצים מקצועיים, הן בפן המשפטי והן בפן של אבטחת מידע. בוחנים את הארגון: בחינת מצב קיים, צרכים ומגבלות ומתאימים את הפתרון המיטבי והאידאלי לסיטואציה. פתרון שכזה מורכב בדרך כלל משילוב בין אמצעים משפטיים וחוזיים, אמצעים ארגוניים (לדוגמה נהלים ומדיניות חברה) ואמצעים טכנולוגיים, שתכליתם להבטיח עבודה נכונה בהתאם לרגולציה. לאחר אפיון הפתרון, יש להטמיע את הנדרש: הכנת ניירת משפטית מותאמת, קביעת בקרות פנים ארגוניות, בחינת כלל העבודה מול ספקים וצדדים שלישיים והסדרת הסכמי עיבוד מידע (DPA) מתאימים מולם, הכנת DPA אחיד ומסודר עבור לקוחות החברה, כתיבה והטמעה של נהלים, בחינת תשתיות המחשוב של החברה ומערכות המידע בהן מעובד המידע האישי במטרה להבטיח כי הן מוגנות ומאובטחות כנדרש, ביצוע הדרכות לפי הצורך.

הקמת פרויקט מקיף, אשר נותן מענה לכל הדרישות הקבועות ב-GDPR. הפרויקט חייב להתחיל במיפוי ארגוני וטכנולוגי לצורך איתור נקודות החשיפה והחולשות של הארגון אל מול התקנות והקמת תכנית עבודה הכוללת היבטים של ארגון ושיטות, אבטחת מידע וייעוץ משפטי. יש לבצע הליך ארגוני מקיף המשלב בין צדדים משפטיים, ארגוניים וטכנולוגיים בהתאם לצרכיו הספציפיים של הארגון והחשיפות הנובעות מפעילותו.

 

להחליט כיצד לבצע פרויקט GDPR זה לא פשוט כלל, אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!

 

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה ברגולציית GDPR

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00