דף הבית > מידע מקצועי > GDPR – רגולציית הגנת הפרטיות האירופאית – כל מה שצריך לדעת

GDPR – רגולציית הגנת הפרטיות האירופאית – כל מה שצריך לדעת

השאירו פרטים כאן לקבלת מידע טלפוני אודות GDPR או התקשרו ל- 03-9550222

אז מה זה GDPR בעצם?

רגולציית GDPR, או בשמה המלא, General Data Protection Regulation הנה רגולציית הגנת הפרטיות האירופית שנכנסה לתוקף במאי 2018.

הרגולציה מכילה הוראות מחייבות החלות על גופים שונים האוספים ומעבדים מידע אישי (בר זיהוי) המצוי ברשת אודות אזרחי האיחוד האירופי בכל נושאי פרטיות ואבטחת המידע.

מטרת הרגולציה הינה להגן על האזרחים בכל הקשור לעיבוד וחשיפת המידע האישי שלהם, תוך החזרת השליטה ואפשרות הבחירה בכל הנוגע למידע האישי שחשוף ברשת הדיגיטלית.

מחוייבים במינוי DPO אצלכם בארגון? לחצו כאן

חטיבת אבטחת המידע בחברת Nextep הוקמה בשנת 2011 ומאז אנו מספקים ללקוחותינו שירותים מתחום אבטחת המידע בשלושה אספקטים:

  1. משפטי – בדיקת חשיפת הארגון לרגולציות מתחום הגנת הפרטיות: GDPR, HIPAA, CCPA, תקנות הגנת הפרטיות ועוד.
  2. ארגון ושיטות עבודה – סקירת נהלי הארגון בתחום אבטחת המידע ושיטות העבודה הנהוגות בחברה, כגון: מדיניות החלפת סיסמאות, נהלי IT, כניסה וגריעת עובדים מהמערכות.
  3. טכנולוגי – סקירת מערכות הארגון, מוצרי התוכנה בארגון, החולשות הקיימות במוצרי ומערכות החברה, מיפוי זרימת המידע בכל תחנה ותחנה ונכסי המידע הקיימים במערכות.

אנו ב-Nextep יצרנו מתודולוגיה המשלבת את כלל ההיבטים: משפטי, טכנולוגי וארגון ושיטות, לצורך מתן מענה מקיף 360° לעמידה בדרישות החוק וחיזוק מודעות העובדים בנושא אבטחת המידע והגנת הפרטיות.

בין לקוחותינו נמנים חברות טכנולוגיות מהבכירות במשק מתחום הפינטק, אדטק, מדיקל, SMB, תאגידים, רשויות, לקוחות מוסדיים ועוד.

לכל המאמרים אודות רגולציית הגנת הפרטיות GDPR

כל מה שצריך לדעת על פרויקט GDPR עם המומחים של Nextep

כל מה שצריך לדעת על תקנות הגנת הפרטיות הישראליות

האם ניתן לקבל הסמכה לרגולציית GDPR?

לקריאה אודות HIPAA – רגולציה אירופאית להגנה על מידע רפואי 

לקריאה אודות CCPA – חוק הגנת פרטיות הצרכן בקליפורניה

GDPR

מידע אישי מידע הנוגע לאדם פרטי (שאינו תאגיד) ומאפשר זיהוי שלו, כגון: שם, מספר מזהה, מידע על מיקום, או למאפיין פיזי, כגון: מידע גנטי, כלכלי ואף מזהה תרבותי – חברתי.

בהתאם ל-GDPR, "מידע אישי" מוגדר כמידע המאפשר זיהוי של אדם מסוים. עם זאת, במסגרת הרגולציה ובמסמכים הנלווים לה המחוקק האירופי הבהיר כי ההגדרה רחבה ביותר ומתייחסת גם לכתובת מייל ומספר טלפון גם אם אין שום פרט נוסף עליהם. בדומה לכך הרגולציה אף חלה בנסיבות מסוימות על שורה של מזהים דיגיטאליים, כגון: כתובת IP, Cookie ID וכו'.

רגולציית GDPR מטילה שורה של כללים מחמירים על בעלי מאגר מידע (Controllers)  וצדדים שלישיים המעבדים עבורם מידע (Processors) של תושבי האיחוד האירופי.

מהם ההבדלים בין בעלי מאגר מידע למחזיקי מאגר מידע

במידה ויש עסקים שמקום מושבם מחוץ לאיחוד האירופי האוספים ומעבדים מידע אישי על תושבי האיחוד, יידרשו העסקים למנות נציג רשמי (DPR) מטעמם באחת ממדינות האיחוד האירופי שיהיה מיופה כוח וייצג אותם מול הרגולטורים להגנת פרטיות באירופה.

כל מה שצריך לדעת אודות DPR – Data Protection Representative

 

 על מי חלות תקנות GDPR?

תקנות GDPR חלות על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו נמצא בגבולות האיחוד האירופי:

  • בעל השליטה במידע (Data controller) – הגורם אשר קובע את מטרות עיבוד המידע ומעמיד את האמצעים לשם האיסוף והעיבוד, או במילים פשוטות יותר – מי שיוזם ומבקש את איסוף ועיבוד המידע. בדרך כלל במסגרת ולצורכי הפעילות העסקית שלו.
  • מעבד המידע (Processor) –  גורם משני המספק שירותים לבקר המידע – אוסף עבורו מידע, מעבד אותו או אפילו רק מאחסן אותו עבור בעל השליטה במידע.

בנוסף, התקנות יחולו גם על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו אינו נמצא בגבולות האיחוד האירופי במידה ו:

  1. העסק נושא מידע על תושבי האיחוד האירופי, זאת בעקבות שיווק ומכירת שירותים/מוצרים לתושבי האיחוד.
  2. העסק עוקב אחר התנהגות המשתמש האירופאי באתר/באפליקציה.

 

תקנות GDPR לא חלות במידה ו:

  1. השימוש במידע אישי הינו לצרכים אישיים בלבד.
  2. השימוש במידע אישי הינו לצורכי חקירה ומניעת עבירות פליליות.
  3. השימוש במידע אישי הינו לצורכי ביטחון לאומי.
השארת פרטים - ISO 27001
מעוניינים בשיחת ייעוץ עם מומחה בתחום?

 

מהן הזכויות של מי שפרטיו שמורים במאגר המידע?

רגולציית GDPR מבקשת להעניק לכל אזרח מהאיחוד האירופי שהמידע האישי שלו שמור במאגר, את הזכויות הבאות:

  • על העסק לידע את האזרח במידה ואסף מידע אישי אודותיו. במידה ואסף, על העסק לספק מידע שלם וברור על המידע האישי שנאסף/נחשף על ידו.
  • על העסק לספק עותק מהמידע המיוחס לאזרח בצורה נגישה ומהירה.
  • על העסק לאפשר את העברת המידע האישי של האזרח לספק שירות אחר. המידע האישי יועבר בצורה נגישה ומהירה.
  • על העסק לתקן את המידע האישי של האזרח במידה ואינו עדכני או שגוי ולוודא שעודכן גם אצל צד שלישי.
  • במידה והמידע אינו רלוונטי, או כאשר ההסכמה על ידי הפרט השתנתה, יש למחוק את המידע על הפרט.

 

אז למה רגולציה אירופאית משנה לי כאן בישראל?

ראשית, מבחינה משפטית ה-GDPR חלה בצורה ישירה על כל גורם שמעבד, מאחסן ומשתמש במידע של אזרחים אירופאים, גם אם אינו פועל מתוך שטחי האיחוד.

ולכן, כל גורם ישראלי המשווק את המוצרים שלו באיחוד האירופי או מספק שירותים הקשורים במידע אישי של אזרחי האיחוד האירופי (ואפילו כמעבד מידע), כפוף למעשה לרגולציה.

בנוסף, הרגולציה קובעת את חובתו של כל בקר מידע לוודא כי כל העברה של מידע אישי מצדו, מבוצעת בכפוף לכך שהגורם אליו הוא מעביר את המידע (בדרך כלל מעבד המידע) פועל בהתאם לרגולציה ומציית לדרישות השונות החלות עליו. מצב זה יוצר בעצם "שרשרת" של התחייבויות בין גורמים עסקיים אירופים ובין גורמים עסקיים שונים בישראל, הנדרשים לעמוד גם הם בהוראות ה-GDPR.

נקודה נוספת המובילה ל"תחולה" של ה-GDPR בפועל גם על גופים ישראלים לחלוטין, היא למעשה מערכת ההסכמים החוזית שבין בעלי מאגר המידע (Controller) ובין הצדדים השלישיים העוסקים בעיבוד מידע עבורם (Processors).

אחת התקנות המרכזיות ב- GDPR קובעת כי בכל פעם ש-Controller בוחר בשירותיו של צד ג' לעיבוד מידע, הוא חייב להחתים אותו על שורה של התחייבויות חוזיות.

המסמך המוכר והמקובל בשוק לעניין זה הינו אותו Data Processing Agreement, או בשמו המוכר DPA. בהתאם, ייתכן מצב בו חברה עליה ה- GDPR לא חל באופן ישיר, תתחייב כלפי לקוחותיה במסגרת DPA לקיים חלק או כל מהוראות ה- GDPR.

מעוניינים לגלות מדוע כדאי לארגונכם לעמוד בהוראות רגולציית GDPR?

לכל המאמרים על תקנות הגנת הפרטיות

לכל המאמרים על תקן ISO 27001

 

אז מה בעצם עושים?

בין אם אתה בקר של מידע (Controller) ובין אם אתה מעבד מידע עבור אחרים (Processor), יש לבצע הליך פנים ארגוני במסגרתו יועצים מקצועיים, הן בפן המשפטי והן בפן של אבטחת מידע.

בוחנים את הארגון: בחינת מצב קיים, צרכים ומגבלות ומתאימים את הפתרון המיטבי והאידאלי לסיטואציה. פתרון שכזה מורכב בדרך כלל משילוב בין אמצעים משפטיים וחוזיים, אמצעים ארגוניים (לדוגמה נהלים ומדיניות חברה) ואמצעים טכנולוגיים, שתכליתם להבטיח עבודה נכונה בהתאם לרגולציה.

לאחר אפיון הפתרון, יש להטמיע את הנדרש:

  • הכנת ניירת משפטית מותאמת.
  • קביעת בקרות פנים ארגוניות.
  • בחינת כלל העבודה מול ספקים וצדדים שלישיים והסדרת הסכמי עיבוד מידע (DPA) מתאימים מולם.
  • הכנת DPA אחיד ומסודר עבור לקוחות החברה.
  • כתיבה והטמעה של נהלים.
  • בחינת תשתיות המחשוב של החברה ומערכות המידע בהן מעובד המידע האישי במטרה להבטיח כי הן מוגנות ומאובטחות כנדרש.
  • ביצוע הדרכות לפי הצורך ועוד.

הקמת פרויקט מקיף, אשר נותן מענה לכל הדרישות הקבועות ב-GDPR. הפרויקט חייב להתחיל במיפוי ארגוני וטכנולוגי לצורך איתור נקודות החשיפה והחולשות של הארגון אל מול התקנות והקמת תכנית עבודה הכוללת היבטים של ארגון ושיטות, אבטחת מידע וייעוץ משפטי. יש לבצע הליך ארגוני מקיף המשלב בין צדדים משפטיים, ארגוניים וטכנולוגיים בהתאם לצרכיו הספציפיים של הארגון והחשיפות הנובעות מפעילותו.

 

מבנה הפרויקט:

תהליך לעמידה ברגולציה עם חברת Nextep

להחליט כיצד לבצע פרויקט GDPR זה לא פשוט כלל, אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!

טופס תחתון

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה ברגולציית GDPR

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00