סייבר ואבטחת מידע

בימינו, כל ארגון נדרש לטפל בנתונים בצורה מאובטחת על ידי יישום ” אמצעים טכניים וארגוניים מתאימים .”
אמצעים טכניים משמעותם כל דבר, המחייב את העובדים בארגון להשתמש באימות דו-גורמי בחשבונות שבהם נתונים אישיים מאוחסנים ועד התקשרות עם ספקי ענן המשתמשים בהצפנה מקצה לקצה .
אמצעים ארגוניים הינם הדרכות של הצוות , הוספת מדיניות פרטיות נתונים לספר העובדים או הגבלת הגישה לנתונים אישיים רק לעובדים בארגון אשר זקוקים לכך.
במקרה של זליגת נתונים, יש לדווח לרשות המפקחת תוך 72 שעות מרגע שנודע על אירוע זליגה. באירוע עם סיכון גבוה לפגיעה בנשואי המידע, נדרש ליידע גם אותם ללא כל דיחוי (ניתן לוותר על דרישת הודעה זו אם משתמשים באמצעי הגנה טכנולוגיים וארגוניים, כגון הצפנה, נוהל איתור, בדיקה דיווחים פנימיים וכיו”ב. יחד עם זאת, יש לנהל רישום אירועי זליגות נתונים אישיים, ללא קשר לשאלה האם נדרש להודיע או לאו)

תכנון מערך הגנת הנתונים

יש להתבסס על עקרונות הגנת המידע קודם תהליך עיצוב כל מוצר או פעילות חדשה כלשהי. 

נניח, למשל, שחברה משיקה אפליקציה חדשה. על החברה לשקול אילו נתונים אישיים יש לאסוף מהמשתמשים, האם ישנן דרכים למזעור כמות נתונים וכיצד יש לאבטח באמצעות הטכנולוגיה העדכנית ביותר.

בהינתן אפשרות לעבד נתונים, לא מומלץ להשתמש, לאסוף, לאחסן או למכור נתונים אישיים – אלא אם כן ניתן להצדיק אותם באחת מהפעולות הבאות:

  1. נשוא המידע נתן הסכמה ספציפית וחד משמעית לעיבוד הנתונים (למשל הצטרפות לרשימת הדוא”ל השיווקית)
  2. עיבוד מידע הכרחי נשוא המידע הוא צד להסכם. (למשל, לצורך בדיקת נכס טרם מכירתו/רכישתו).
  3. יש לעבד מידע לצורך עמידה בהתחייבות משפטית (למשל, צו בית המשפט)
  4. יש לעבד את המידע לצורך הצלת חיים.
  5. עיבוד הכרחי לביצוע משימה לטובת הציבור או לביצוע תפקיד רשמי כלשהו (למשל, חברה לאיסוף אשפה פרטית).
  6. אינטרס לגיטימי לעיבוד מידי אישי. זהו הבסיס החוקי הגמיש ביותר, אם כי “זכויות וחירויות היסוד של נשוא המידע” עוקפות תמיד את האינטרסים של הארגון, במיוחד כשמדובר בנתוני ילדים.

לאחר שנקבע הבסיס החוקי לעיבוד הנתונים, יש לתעד ולהודיע ​​לנשוא המידע (שקיפות!). 

כל שינוי במידע הנאסף, מצריך הצדקה ודיווח לנשוא המידע (צריכה להיות סיבה טובה לצורך שינוי כזה).

 

מאמרים אחרונים בתחום

חוק פרטיות הצרכן בקליפורניה (CCPA)

חוק פרטיות הצרכן בקליפורניה (CCPA) נכנס לתוקפו ב-1.1.20. על פי החוק, לצרכן יש את הזכות לקבל מידע אודות אופן הטיפול במידע השייך לו, כלומר כיצד המידע האישי נאסף, אופן השימוש בו והאם ואיך המידע משותף או נמכר.

קרא עוד »

GDPR

חוק הגנת הפרטיות ואבטחת המידע של האיחוד האירופי, נכנס לתוקף ב- 25 במאי 2018. החוק, נועד להגן על אזרחי האיחוד האירופי מפני פגיעה אפשרית בפרטיותם, באמצעות נתוניהם האישיים.

קרא עוד »