074-7702266
074-7702266
Whatsapp Twitter Linkedin Facebook

מאמרים

GDPR

cyber-security-2765707_1920

חוק הגנת הפרטיות ואבטחת המידע של האיחוד האירופי, נכנס לתוקף ב- 25 במאי 2018. החוק, נועד להגן על אזרחי האיחוד האירופי מפני פגיעה אפשרית בפרטיותם, באמצעות נתוניהם האישיים.

בתקופה בה יותר ויותר מידע אישי נמסר ונשמר על גבי מגוון מקורות אחסון כדוגמת שרתי הענן, הפרות של תקנות הפרטיות הפכו להיות שכיחות והן מהוות אירוע על בסיס יומיומי. 

אירופה שמה כמטרה את נושא הגנת הפרטיות ואבטחת המידע ומקשיחה את עמדתה האיתנה ולא מקלה ראש עם העוברים על התקנות.

דרך האכיפה מתבצעת באמצעות הטלת קנסות כבדים כנגד המפרים את תקנות הפרטיות כאמור.

היקף, עונשים

  1. תקנות ה GDPR חלות על כל ארגון (גם מחוץ לאיחוד האירופי) המעבד מידע אישי של אזרחי/תושבי האיחוד האירופי. 
  2. הקנסות בגין הפרה במסגרת תקנות ה- GDPR הם גבוהים מאוד. עד 20 מיליון אירו או 4% מההכנסות העולמיות (הגבוה מביניהם), ובנוסף יש לנשוא המידע, הזכות לבקש פיצויים בגין נזקים שנגרמו לו כתוצאה מהפרה כגון זו.

הגדרות מפתח

ה- GDPR מגדיר מגוון רחב של תנאים משפטיים, להלן החשובים שבהם:

  • נתונים אישיים– נתונים אישיים הם כל מידע הקשור לאדם שניתן לזהותו באופן ישיר או עקיף. לדוגמה: שמות וכתובות דוא”ל. 
    מידע על מיקום, אתניות, מגדר, נתונים ביומטריים, אמונות דתיות, עוגיות אינטרנט ודעות פוליטיות עשויים להוות מידע אישי. נתונים בדויים יכולים גם הם להיות תחת ההגדרה אם ניתן בקלות יחסית להגיע לזיהוי אדם (לוחית רישוי רכב).
  • עיבוד המידע – כל פעולה המתבצעת על נתונים, בין אוטומטיים ובין אם ידניים.  כגון: איסוף, הקלטה, ארגון, מבנה, אחסון, שימוש, מחיקה וכיו”ב.
  • נשוא המידע – האדם שנתוניו מעובדים. למשל הלקוח או מבקר באתר וכדומה.
  • מנהל המידע – האדם שמחליט מדוע ואיך יעובדו הנתונים האישיים.  למשל מנהל או עובד אשר מטפל בנתונים.
  • מעבד נתונים – צד שלישי המעבד נתונים אישיים מטעם בקר נתונים. לדוגמא שרתי ענן כמו  או ספקי שירותי דואר אלקטרוני וכדומה.

 

עקרונות הגנת המידע

מעבד הנתונים נדרש לבצע את פעילותו תוך שמירה על שבעה עקרונות הגנה ואחריות.

  1. חוקיות, הוגנות ושקיפות – על העיבוד להיות חוקי, הוגן ושקוף לנושא.
  2. הגבלת מטרה – עיבוד נתונים למטרות לגיטימיות שצוינו במפורש לנשוא נתונים  טרם העברתם.
  3. מזעור נתונים – יש לאסוף ולעבד רק את הנתונים הדרושים לחלוטין למטרות שצוינו.
  4. דיוק – יש לשמור על נתונים אישיים מדויקים ומעודכנים.
  5. מגבלת אחסון – ניתן לאחסן נתונים המאפשרים זיהוי אישי כל עוד הדבר נחוץ למטרה שצוינה.
  6. יושר וסודיות – יש לבצע את העיבוד באופן שיבטיח אבטחה, יושר וסודיות מתאימים (למשל באמצעות הצפנה).
  7. אחריות – מנהל המידע אחראי על היכולת להפגין עמידה בדרישות ה- GDPR הכוללות את העקרונות הללו.

 

דין וחשבון

על פי ה- GDPR, מנהלי המידע צריכים להיות מסוגלים להציג כי הם עומדים בתנאי התקנות טרם אירוע אבטחה. לאחר  מכן לא ניתן יהיה להמנע מקנס

דבר שתוכלו לעשות לאחר מעשה: אם אתה חושב שאתה תואם את ה- GDPR אך אינך יכול להראות כיצד, אז אתה לא תואם את ה- GDPR. בין הדרכים האפשריות לעשות זאת:

  • יש לייעד לצוות את האחריות להגנת המידע.
  • שמירת תיעוד מפורט של הנתונים הנאספים, אופן השימוש בהם, היכן הם מאוחסנים, איזה עובד אחראי עליהם וכו ‘.
  • הכשרת הצוות ויישום אמצעי אבטחה טכניים וארגוניים.
  • יש הסכמי עיבוד נתונים להתקיים עם צדדים שלישיים שאתה חוזה בהם כדי לעבד נתונים עבורך.
  • מינוי קצין הגנה על נתונים (אם כי לא כל הארגונים זקוקים לארגון)

 

אבטחת מידע

נדרש לטפל בנתונים בצורה מאובטחת על ידי יישום ” אמצעים טכניים וארגוניים מתאימים .”

אמצעים טכניים משמעותם כל דבר, המחייב את העובדים בארגון להשתמש באימות דו-גורמי בחשבונות שבהם נתונים אישיים מאוחסנים ועד התקשרות עם ספקי ענן המשתמשים בהצפנה מקצה לקצה .

אמצעים ארגוניים הינם הדרכות של הצוות , הוספת מדיניות פרטיות נתונים לספר העובדים או הגבלת הגישה לנתונים אישיים רק לעובדים בארגון אשר זקוקים לכך.

במקרה של זליגת נתונים, יש לדווח לרשות המפקחת תוך 72 שעות מרגע שנודע על אירוע זליגה. באירוע עם סיכון גבוה לפגיעה בנשואי המידע, נדרש ליידע גם אותם ללא כל דיחוי (ניתן לוותר על דרישת הודעה זו אם משתמשים באמצעי הגנה טכנולוגיים וארגוניים, כגון הצפנה, נוהל איתור, בדיקה דיווחים פנימיים וכיו”ב. יחד עם זאת, יש לנהל רישום אירועי זליגות נתונים אישיים, ללא קשר לשאלה האם  נדרש להודיע או לאו)​

תכנון מערך הגנת הנתונים 

יש להתבסס על עקרונות הגנת המידע קודם תהליך עיצוב כל מוצר או פעילות חדשה כלשהי. 

נניח, למשל, שחברה משיקה אפליקציה חדשה. על החברה לשקול אילו נתונים אישיים יש לאסוף מהמשתמשים, האם ישנן דרכים למזעור כמות נתונים וכיצד יש לאבטחם באמצעות הטכנולוגיה העדכנית ביותר.

 

בהינתן אפשרות לעבד נתונים, לא מומלץ להשתמש, לאסוף, לאחסן או למכור נתונים אישיים – אלא אם כן ניתן להצדיק אותם באחת מהפעולות הבאות:

  1. נשוא המידע נתן הסכמה ספציפית וחד משמעית לעיבוד הנתונים (למשל הצטרפות לרשימת הדוא”ל השיווקית(
  2. עיבוד מידע הכרחי נשוא המידע הוא צד להסכם. (למשל, לצורך בדיקת נכס טרם מכירתו/רכישתו).
  3. יש לעבד מידע לצורך עמידה בהתחייבות משפטית (למשל, צו בית המשפט)
  4. יש לעבד את המידע לצורך הצלת חיים.
  5. עיבוד הכרחי לביצוע משימה לטובת הציבור או לביצוע תפקיד רשמי כלשהו(למשל, חברה לאיסוף אשפה פרטית).
  6. אינטרס לגיטימי לעיבוד מידי אישי. זהו הבסיס החוקי הגמיש ביותר, אם כי “זכויות וחירויות היסוד של נשוא המידע” עוקפות תמיד את האינטרסים של הארגון, במיוחד כשמדובר בנתוני ילדים.

לאחר שנקבע הבסיס החוקי לעיבוד הנתונים, יש לתעד ולהודיע ​​לנשוא המידע (שקיפות!). 

כל שינוי במידע הנאסף, מצריך הצדקה ודיווח לנשוא המידע (צריכה להיות סיבה טובה לצורך שינוי כזה).

 

הסכמה

הכללים המחמירים להסכמת נשוא המידע לעיבוד המידע.

  • הסכמה חייבת להיות “ניתנת בחופשיות, ספציפית, מושכלת וחד משמעית.”
  • בקשות להסכמה חייבות להיות “ניתנות להבחנה ברורה מהעניינים האחרים” ולהציגה ב”שפה ברורה ופשוטה. “
  • נשואי מידע יכולים למשוך הסכמה שניתנה בעבר בקלות ובכל עת, ויש לכבד את החלטתם. ואין אפשרות לשנות את הבסיס המשפטי של העיבוד לאחת ההצדקות האחרות.
  • ילדים מתחת לגיל 13 יכולים לתת הסכמה רק עם ההורה.
  • יש לשמור עדויות תיעודיות להסכמה.

 

קציני הגנת נתונים

בניגוד לאמונה הרווחת, לא כל מנהל מידע או מעבד נתונים צריכים למנות קצין הגנה על נתונים (DPO) . ישנם שלושה תנאים שבהם נדרש למנות :

  1. רשות ציבורית שאינה בית משפט הפועל בתפקיד שיפוטי.
  2. פעילויות הליבה מחייבות לפקח על אנשים באופן שיטתי וסדיר בקנה מידה גדול.  (למשל גוגל)
  3. פעילויות הליבה הן עיבוד בקנה מידה נרחב של קטגוריות מיוחדות של נתונים המפורטות בסעיף 9של ה- GDPR או נתונים הנוגעים להרשעות ועבירות פליליות המוזכרות בסעיף 10 . (למשל משרד רפואי.)

אפשרי גם לבחור לייעד DPO גם אם לא נדרש. ישנם יתרונות בכך שיש מישהו בתפקיד זה. המשימות הבסיסיות שלהם כוללות הבנת ה- GDPR וכיצד היא חלה על הארגון, ייעוץ לאנשים בארגון לגבי אחריותם, ביצוע הדרכות להגנה על נתונים, עריכת ביקורת ופיקוח על תאימות ה- GDPR, ומשמשות כקשר עם הרגולטורים.

זכויות הפרטיות של האנשים

מנהל המידע ו / או מעבד הנתונים. אבל כאדם שמשתמש באינטרנט אתה גם נושא מידע. ה- GDPR מכיר בחיבור של זכויות פרטיות חדשות לנשואי מידע , שמטרתן לתת לאנשים שליטה רבה יותר על הנתונים שהם מעבירים לארגונים. כארגון, חשוב להבין את הזכויות הללו כדי להבטיח שהארגון תואם את ה- GDPR.

 

להלן פירוט זכויות הפרטיות של נשוא המידע:

  1. הזכות לקבל הודעה
  2. זכות הגישה
  3. הזכות לתיקון
  4. זכות המחיקה
  5. הזכות להגביל את העיבוד
  6. הזכות לניידות נתונים
  7. הזכות להתנגד
  8. זכויות ביחס לקבלת החלטות ופרופיל אוטומטיים.

לתיאום פגישת ייעוץ

תחומי התמחות

פרטי יצירת קשר

© 2024 כל הזכויות שמורות לעו”ד מודי דויטש.  ליעוץ ניתן ליצור קשר.

Whatsapp Twitter Linkedin Facebook
דילוג לתוכן