חברת Nextep הינה החברה הגדולה והמובילה בישראל להטמעת תקנים ורגולציה לאבטחת מידע והגנת פרטיות בישראל. עם מעל ל-500 פרויקטים בשנה האחרונה, יועצי החברה נחשבים לבעלי מוניטין רב ביישום והטמעת רגולציה בחברות וארגונים.
בסיס הידע בחברה מבוסס על שילוב של מומחים משפטיים לתחום הגנת הפרטיות לצד יועצי ארגון ושיטות המתמחים באבטחת מידע. זאת, לצורך מתן מענה המותאם לצורכי הארגון ומקיף אל צרכיו בשלושת האספקטים הרלבנטיים "משפט-ארגון-טכנולוגיה". בין לקוחותינו .
GDPR הינה רגולציית הגנת הפרטיות האירופאית שנכנסה לתוקף ב-25 במאי 2018 ומטילה חובות והוראות על חברות וארגונים אשר אוספים ומעבדים מידע אישי אודות אזרחי האיחוד האירופי בכל נושאי אבטחת מידע ופרטיות.
המטרה המרכזית של הרגולציה הינה להגן על אזרחי האיחוד האירופי ולהחזיר את השליטה ואפשרות הבחירה בנוגע למידע האישי החשוף ברשת הדיגיטלית.
רגולציית GDPR קובעת שורה של סנקציות חמורות הכוללות קנסות בגובה של 20 מיליון יורו או 4% מהמחזור העסקי של הגורם המפר לפי הגבוה מבניהם. בנוסף, ארגונים אשר לא יעמדו בהוראות GDPR יתקשו לעבוד מול גופים אירופאים, מכיוון שעמידה בתקנות GDPR הינו תנאי סף לעבודה מול גופים אלו.
כל מה שצריך לדעת אודות רגולציית GDPR
לכל המאמרים על GDPR
מידע אישי מוגדר ב-GDPR כמידע המאפשר לזהות אדם מסוים, לדוגמא: שם, מספר מזהה, כתובת, מספר תעודת זהות, נתונים ביומטריים, היסטוריית גלישה, COOKIES, מידע גנטי, מזהה תרבותי-חברתי, כתובת מייל, כתובת IP ועוד.
GDPR מטילה שורה של כללים מחמירים על כל בעל שליטה במידע (בעל מאגר מידע – Controller) ומעבד מידע (Processor) אשר העסק שלו נמצא בגבולות האיחוד האירופי
הרגולציה תחול גם על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו אינו נמצא בגבולות האיחוד האירופי במידה ו:
עסקים הנמצאים מחוץ לאיחוד האירופי האוספים ומעבדים מידע אישי על אזרחי האיחוד מחויבים למנות נציג רשמי DPR מטעמם באחת ממדינות האיחוד האירופי שיהיה מיופה כוח וייצג אותם למול הרגולטורים להגנת פרטיות באירופה.
כן, במידה והארגון אוסף ומעבד מידע אישי אודות אזרחי האיחוד האירופי עליכם לעמוד ברגולציית GDPR ללא כל קשר לגודל הארגון.
במידה והינכם מחויבים לעמוד ברגולציית GDPR, עליכם להשיב על שלוש השאלות הבאות:
במידה ועניתם כן על שלוש השאלות, אתם מחויבים למנות בארגון.
ראשית יש לחקור ולתעד את כל פרצות האבטחה, כיצד השפיעו ואילו פעולות מתקנות ננקטו.
בנוסף, יש לבחון האם פרצת האבטחה נגרמה כתוצאה מטעות אנוש, במידה וכן יש להטמיע נהלים חדשים בכדי למנוע אירועים נוספים.
כחלק מניהול התהליך, יש לבצע ניהול סיכונים מקיף בארגון, סקרי סיכון וביקורות אבטחת מידע והגנת הפרטיות בכדי לבקר, לפקח ולנטר סיכונים עתידיים בארגון.
DPA הוא הסכם שנחתם בין בקר הנתונים למעבד הנתונים, אשר מראה כי מעבד הנתונים עומד בדרישות הרלוונטיות במסגרת ה- GDPR.
פרויקט GDPR חייב להתחיל במיפוי ארגוני וטכנולוגי לצורך איתור נקודות החשיפה והחולשות של הארגון אל מול הרגולציה. לאחר מכן יבוצע סקר חשיפה משפטי וסקר פערים טכנולוגי ותהליכי לצורך אפיון והקמת תכנית עבודה לטיפול בפערים ויישומם בארגון באמצעות מערך בקרה ארגוני. יש לבצע הליך ארגוני מקיף המשלב בין צדדים משפטיים, ארגוניים וטכנולוגיים בהתאם לצרכיו הספציפיים של הארגון והחשיפות הנובעות מפעילותו.
במסגרת כלל החובות הקבועות ברגולציה, קיימת חובה מיוחדת החלה על גופים הכפופים לרגולציה האירופאית ומקום מושבם אינו בתוך השטח הגיאוגרפי של האיחוד האירופאי למנות נציג אירופאי (DPR) שמקום מושבו בתוך תחומי האיחוד אשר ישמש כאיש קשר לאירופאים הרוצים לפנות לחברה.
בכדי להקים פרויקט מקיף, אשר נותן מענה לכל הדרישות של רגולציית GDPR יש להתחיל במיפוי ארגוני וטכנולוגי בארגון לאיתור נקודות התורפה של הארגון אל מול הרגולציה. המיפוי יאפשר להקים תכנית עבודה מסודרת אשר תכלול היבטים של ארגון ושיטות, אבטחת מידע וייעוץ משפטי. הפרויקט יתמקד בצדדים משפטיים, ארגוניים וטכנולוגיים שיותאמו לצרכיו הספציפיים של הארגון. מומחים משפטיים לתחום הגנת הפרטיות לצד יועצי ארגון ושיטות המתמחים באבטחת מידע ילוו את ארגונכם עד לעמידה ברגולציית GDPR.
יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00
מרדכי רוז'נסקי 18 כניסה ב',
א.ת חדש ראשון לציון
א' - ה'
08:00-17:00