חיפוש

GDPR Compliance in Israel


תקנות להגנת נתוני מידע (GDPR) ייכנסו לתוקף ב- 28 מאי 2018 כאשר מטרתם להגן מפני "עיבוד" של "מידע אישי" של אזרחים אירופאיים ללא הסכמתם ובניגוד לתקנות לעיל.


מה המשמעות של הדבר לגבינו הישראליים?

כל חברה שתרצה לספק שירותים הכרוכים ב"עיבוד מידע" עבור חברה אירופאית (המחוייבת לעמוד בדרישות התקנות), תידרש גם היא לעמוד בדרישות התקנות ולא משנה אם היא חברה ישראלית או חברה ממקום אחר בעולם. כמו כן, כל חברה שתרצה לאגור מידע אישי על אזרחי מדינות האיחוד האירופי יידרשו לעמוד בתקנות הללו.

בפוסט הקודם, סקרתי את העקרונות הקבועים בתקנות, הפעם נצלול לעומק ונבין כיצד עומדים בתקינה זו.


שלב אלפא- PRIVACY BY DESIGN


במידה ואתם עדיין בשלב יצירת מוצר, זה הזמן להכניס יועץ לדיני פרטיות שיעזור לכם לאפיין את בניית המוצר בהתאם לתקנות האירופאיות, דבר שיחסוך מכם תהליך ארוך ויקר כמפורט להלן.


שלב ראשון – תסקיר השפעת פרטיות (Privacy impact assessments (PIAs


במידה ואתם כבר עם מוצר קיים עליכם לבצע בחינה של כל המידע הנאסף, למה הוא משמש, איפה ואיך אתם אוגרים אותו ולכמה זמן, עם מי אתם משתפים אותו (לאיזו מדינה מעבירים), אילו הודעה אתם נותנים לנשוא המידע (בגינה לכאורה קיבלתם הסכמה לאסוף את המידע). בדיקה האם נשוא המידע יכול לעיין, לתקן או למחוק את המידע אודותיו אצלכם, לאסוף את כל הסכמי המשתמש, תנאי השימוש ומדיניות הפרטיות שפורסמו, ולהעלות על הכתב מה אמצעי אבטחת המידע (פיסי) של מאגדי המידע שלכם ואיזה טכנולוגיות משמשות אתכם לאגור ולשמור על המידע.


שלב שני – בדיקת משפטית והוצאת דוח מפורט


הבדיקה המשפטית תסווג את כל פרטי המידע (מידע שאינו אישי, מידע אישי, מידע רגיש, מידע רפואי וכיוצ"ב) ותייצר סכמה של זרימת המידע שתבהיר מאיפה נאסף ותחת אלו הסכמות ולאן המידע מוזרם (על בסיס אלו חוזי ספקים) תחת בדיקת הדינים הרלבנטיים החלים לעניין קבלת ההסכמה לעשות זאת.

הבדיקה תנתח את הסיכונים והחשיפה המשפטית של עיבוד המידע לאור ההסכמות שיש כיום, ותמליץ על תוכנית הטמעה מסוימת תוך מתן קדימויות לנושאים מסוימים.


שלב שלישי – יישום תוכנית הטמעה


התוכנית תכלול עידכון המסמכים המשפטיים (הסכמים עם לקוחות, ספקים וכתיבת נוהלי מדיניות פרטיות). הטמעת נהלים פנימיים והכנסת טכנולוגיות מסוימות המאפשרות:

1. לתעד ב- LOG את מועד ההסכמה של נשוא המידע לאסוף את המידע מול ההסכם \ למדיניות הפרטיות שהייתה נהוגה באותה עת

2. לנשוא המידע לקבל הודעה במקרים מסוימים

3. לנשוא המידע להיכנס למערכות המידע, לערוך פרטים, למחוק, ואף להישכח

4. לנשוא המידע להתנגד לעיבוד המידע ו/א ולפרופייליניג שלו

5. לנשוא המידע לנייד את המידע שנצבר עליו(העברת מידע למתחרים לפי בחירתו).


שלב רביעי - מינוי קצין אבטחת מידע

יש להטמיע נוהל מסוים אשר יגדיר :

1. מינוי קצין המידע (במסגרת התוכנית יש לפרסם את פרטי הקשר עימו לציבור המשתמשים במוצר).

2. כיצד אוגרים את המידע ולכמה זמן, שיטת סימון

3. כיצד מבערים את המידע

4. נוהלי מתן הרשאות לחלק מהעובדים לחלק מהמידע

5. כיצד נוהגים במקרה של פרצת אבטחה ובזליגת מידע


התוכנית גם תגדיר את הטכנולוגיות והפרוטוקולים הדרושים לאבטחת המידע

בנוסף, התוכנית תפרט את מערך ההטמעה בחברה ותתעד הדרכות לעובדים להגברת המודעות לזכות לפרטיות כפי שזו עולה מן התקנות.


לסיכום

בסופו של יום, צפוי כי כל חברה שתרצה לעבוד עם חברות אירופאיות תיאלץ להתחיל במסע המפרך הזה ועדיף מוקדם ממאוחר.


גילוי נאות: במשרדי ניתנים שירותי GDPR Compliance

#GDPR #תקנותלהגנתנתונימידע #GeneralDataProtectionRegulation #תוכניתהטמעה #GDPRCompliance #דיניפרטיות

340 צפיות0 תגובות

פוסטים אחרונים

הצג הכול