GDPR | רגולציית הגנת הפרטיות האירופאית
יישום והטמעת רגולציית GDPR
GDPR בישראל - הצעד הראשון שלך להגנת הפרטיות
השאירו פרטים כאן לקבלת מידע טלפוני אודות רגולציית הגנת הפרטיות GDPR או התקשרו ל- 03-7176020
חטיבת אבטחת המידע בחברת Nextep הוקמה בשנת 2011 ומאז אנו מספקים ללקוחותינו שירותים מתחום אבטחת המידע בשלושה אספקטים:
- משפטי – בדיקת חשיפת הארגון לרגולציות מתחום הגנת הפרטיות: GDPR, HIPAA, CCPA, תקנות הגנת הפרטיות ועוד.
- ארגון ושיטות עבודה – סקירת נהלי הארגון בתחום אבטחת המידע ושיטות העבודה הנהוגות בחברה, כגון: מדיניות החלפת סיסמאות, נהלי IT, כניסה וגריעת עובדים מהמערכות.
- טכנולוגי – סקירת מערכות הארגון, מוצרי התוכנה בארגון, החולשות הקיימות במוצרי ומערכות החברה, מיפוי זרימת המידע בכל תחנה ותחנה ונכסי המידע הקיימים במערכות.
אנו ב-Nextep יצרנו מתודולוגיה המשלבת את כלל ההיבטים: משפטי, טכנולוגי וארגון ושיטות, לצורך מתן מענה מקיף 360° לעמידה בדרישות החוק וחיזוק מודעות העובדים בנושא אבטחת המידה והגנת הפרטיות.
בין לקוחותינו נמנים חברות טכנולוגיות מהבכירות במשק מתחום הפינטק, אדטק, מדיקל, SMB, תאגידים, רשויות, לקוחות מוסדיים ועוד.
GDPR – GENERAL DATA PROTECTION REGULATION
GDPR הינה רגולציית הגנת הפרטיות האירופאית שנכנסה לתוקף ב-25 במאי 2018 ומטילה חובות והוראות על חברות וארגונים אשר אוספים ומעבדים מידע אישי אודות אזרחי האיחוד האירופי בכל נושאי אבטחת מידע ופרטיות.
המטרה המרכזית של הרגולציה הינה להגן על אזרחי האיחוד האירופי ולהחזיר את השליטה ואפשרות הבחירה בנוגע למידע האישי החשוף ברשת הדיגיטלית.
רגולציית GDPR קובעת שורה של סנקציות חמורות הכוללות קנסות בגובה של 20 מיליון יורו או 4% מהמחזור העסקי של הגורם המפר לפי הגבוה מבניהם. בנוסף, ארגונים אשר לא יעמדו בהוראות GDPR יתקשו לעבוד מול גופים אירופאים, מכיוון שעמידה בתקנות GDPR הינו תנאי סף לעבודה מול גופים אלו.
כל מה שצריך לדעת אודות רגולציית GDPR
לכל המאמרים על GDPR
הזכות לפרטיות – מהו מידע אישי?
מידע אישי מוגדר ב-GDPR כמידע המאפשר לזהות אדם מסוים, לדוגמא: שם, מספר מזהה, כתובת, מספר תעודת זהות, נתונים ביומטריים, היסטוריית גלישה, COOKIES, מידע גנטי, מזהה תרבותי-חברתי, כתובת מייל, כתובת IP ועוד.
על מי חלה הרגולציה?
GDPR מטילה שורה של כללים מחמירים על כל בעל שליטה במידע (בעל מאגר מידע – Controller) ומעבד מידע (Processor) אשר העסק שלו נמצא בגבולות האיחוד האירופי
- בעל השליטה במידע (Data controller) – בעל השליטה קובע את מטרות איסוף ועיבוד המידע האישי ומעמיד את האמצעים לשם כך, או במילים פשוטות יותר – מי שיוזם ומבקש את איסוף ועיבוד המידע. בדרך כלל במסגרת ולצורכי הפעילות העסקית שלו.
- מעבד המידע (Processor) – גורם המספק שירותים לבקר המידע – אוסף את המידע האישי, מעבד אותו או מאחסן אותו עבור בעל השליטה במידע.
הרגולציה תחול גם על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו אינו נמצא בגבולות האיחוד האירופי במידה ו:
- העסק נושא מידע על תושבי האיחוד האירופי, זאת בעקבות שיווק ומכירת שירותים/מוצרים לתושבי האיחוד.
- העסק עוקב אחר התנהגות המשתמש האירופאי באתר/באפליקציה.
עסקים הנמצאים מחוץ לאיחוד האירופי האוספים ומעבדים מידע אישי על אזרחי האיחוד מחויבים למנות נציג רשמי DPR מטעמם באחת ממדינות האיחוד האירופי שיהיה מיופה כוח וייצג אותם למול הרגולטורים להגנת פרטיות באירופה.
תקנות GDPR לא יחולו במידה ו:
- השימוש במידע אישי הינו לצרכים אישיים בלבד.
- השימוש במידע אישי הינו לצורכי חקירה ומניעת עבירות פליליות.
- השימוש במידע אישי הינו לצורכי ביטחון לאומי.
מבנה הפרויקט:
כל מה שרציתם לדעת על GDPR ולא היה לכם את מי לשאול:
מספר העובדים בחברה מתחת ל-250 עובדים, האם אנחנו מחויבים לעמוד ברגולציית GDPR?
כן, במידה והארגון אוסף ומעבד מידע אישי אודות אזרחי האיחוד האירופי עליכם לעמוד ברגולציית GDPR ללא כל קשר לגודל הארגון.
האם אנחנו מחויבים למנות DPO בארגון?
במידה והינכם מחויבים לעמוד ברגולציית GDPR, עליכם להשיב על שלוש השאלות הבאות:
- האם ארגונכם היא רשות ציבורית?
- האם ליבת העיסוק של ארגונכם קשורה לעיבוד מידע אישי/עיבוד מידע בהיקף גדול ומשמעותי?
- האם ליבת העיסוק של ארגונכם קשורה לעיבוד מידע בהיקף גדול ומשמעותי?
במידה ועניתם כן על שלוש השאלות, אתם מחויבים למנות בארגון.
במידה וארגוני נחשף לפרצת אבטחה, מה עלינו לעשות?
ראשית יש לחקור ולתעד את כל פרצות האבטחה, כיצד השפיעו ואילו פעולות מתקנות ננקטו.
בנוסף, יש לבחון האם פרצת האבטחה נגרמה כתוצאה מטעות אנוש, במידה וכן יש להטמיע נהלים חדשים בכדי למנוע אירועים נוספים.
כחלק מניהול התהליך, יש לבצע ניהול סיכונים מקיף בארגון, סקרי סיכון וביקורות אבטחת מידע והגנת הפרטיות בכדי לבקר, לפקח ולנטר סיכונים עתידיים בארגון.
מהו DPA?
DPA הוא הסכם שנחתם בין בקר הנתונים למעבד הנתונים, אשר מראה כי מעבד הנתונים עומד בדרישות הרלוונטיות במסגרת ה- GDPR.
מהו התהליך לעמידה ברגולציית GDPR?
פרויקט GDPR חייב להתחיל במיפוי ארגוני וטכנולוגי לצורך איתור נקודות החשיפה והחולשות של הארגון אל מול הרגולציה. לאחר מכן יבוצע סקר חשיפה משפטי וסקר פערים טכנולוגי ותהליכי לצורך אפיון והקמת תכנית עבודה לטיפול בפערים ויישומם בארגון באמצעות מערך בקרה ארגוני. יש לבצע הליך ארגוני מקיף המשלב בין צדדים משפטיים, ארגוניים וטכנולוגיים בהתאם לצרכיו הספציפיים של הארגון והחשיפות הנובעות מפעילותו.
האם אנחנו מחויבים למנות DPR בארגון?
במסגרת כלל החובות הקבועות ברגולציה, קיימת חובה מיוחדת החלה על גופים הכפופים לרגולציה האירופאית ומקום מושבם אינו בתוך השטח הגיאוגרפי של האיחוד האירופאי למנות נציג אירופאי (DPR) שמקום מושבו בתוך תחומי האיחוד אשר ישמש כאיש קשר לאירופאים הרוצים לפנות לחברה.
למה לעשות פרויקט GDPR עם המומחים של Nextep?
בכדי להקים פרויקט מקיף, אשר נותן מענה לכל הדרישות של רגולציית GDPR יש להתחיל במיפוי ארגוני וטכנולוגי בארגון לאיתור נקודות התורפה של הארגון אל מול הרגולציה. המיפוי יאפשר להקים תכנית עבודה מסודרת אשר תכלול היבטים של ארגון ושיטות, אבטחת מידע וייעוץ משפטי. הפרויקט יתמקד בצדדים משפטיים, ארגוניים וטכנולוגיים שיותאמו לצרכיו הספציפיים של הארגון. מומחים משפטיים לתחום הגנת הפרטיות לצד יועצי ארגון ושיטות המתמחים באבטחת מידע ילוו את ארגונכם עד לעמידה ברגולציית GDPR.
הצעדים הראשונים לעמידה ברגולציית GDPR
- קבעו עכשיו מבדק חשיפה לתקנות
- נבצע אצלכם בארגון מבדק חשיפה ביחד - ללא התחייבות!
- תקבלו מאיתנו הצעה תכנית עבודה ולעמידה בפערי הרגולציה
היתרונות שלנו
ליווי מקצועי של יועץ רגולציה ויועץ משפטי ומנהל פרויקט
אצלנו תקבלו רק מה שאתם צריכים! ולא תישארו עם הסמכות מיותרות
אחוזי הצלחה גבוהים בעקבות בניית תכנית עבודה מסודרת
מעל 10 שנות ניסיון בתקני אבטחת מידע והגנת הפרטיות
להחליט כיצד לבצע פרויקט GDPR זה לא פשוט כלל, אבל להתקשר אלינו לקבלת מידע זה פשוט וקל
תהליך הטמעת רגולציית GDPR
-
1
מיפוי זרימת המידע בארגון
פגישת היכרות בו נמפה את הסיכונים ואת המידם הקיים בארגון. נבצע אצלכם מבדק חשיפה קצר ונבין האם התקנות חלות עליכם ובאיזה רמה. -
2
ביצוע סקר חשיפה משפטי
יועץ משפטי יעבור על סעיפי הרגולציה בהתאם לתהליכי העבודה שלכם וימפה את החשיפות המשפטיות בכל שלב ושלב. -
3
ביצוע סקר פערים טכנולוגי ותהליכי
יועצי הרגולציה הטכנולוגים ימפו את מערכות המידע ואת תהליכי העבודה בארגון. -
4
איפיון תכנית עבודה לטיפול בפערים
נאפיין תכנית מותאמת עבורכם עם אבני דרך לטיפול בפערים. -
5
יישום תכנית העבודה
נכתוב נהלים, נדריך, נבצע סקרים, נעבור על הסכמי לקוח, נטפל בנושאים טכנולוגיים ונעלה על השולחן את כל הנושאים העומדים בפניכם כדי לעמוד בתקנות. -
6
מיסוד מערך בקרה ארגוני
על מנת שתוכלו להמשיך ולעמוד ברגולציה, נבנה עבורכם מערך בקרה. -
7
הארגון שלכם עומד בדרישות ה-GDPR!
מזל טוב! אתם עובדים לפי תקנות ה-GDPR!
נושאים נוספים שיעניינו אותך
GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת
החובות שנקבעו במסגרת ה - GDPR
החובות החלות על בעל מאגר מידע
הרשות להגנת הפרטיות | מחלקת אכיפה
האם ניתן לקבל הסמכת GDPR?
אבטחת מידע והגנת הפרטיות
המתודולוגיה של ISO 27001
ההבדל בין Data Processor ו-Data Controller
CCPA חוק הגנת פרטיות הצרכן בקליפורניה
