עמידה בתקנות הגנת הפרטיות- GDPR
עם יותר אנשים שמפקידים את הנתונים האישיים שלהם בשירותי ענן, תקנות הגנת הפרטיות (GDPR) מבהירה את העמדה הנוקשה שהאיחוד האירופי החליט לקחת בנושא.
ה-GDPR נחשב לחוקי הגנת הפרטיות הנוקשים בעולם, תקנות המטילות חובות על ארגונים המציעים סחורות או שירותים לאזרחי האיחוד האירופי או לתושבי האיחוד האירופי, ו/או אוספים נתונים הקשורים לאנשים באיחוד האירופי, ללא קשר למיקום הפיזי של הארגון.
הרגולציה נכנסה לתוקף ב-25 במאי 2018, וקבעה קנסות קשים נגד מי שמפר אתתקנות ה-GDPR, עם עונשים המגיעים למקסימום של 20 מיליון אירו או 4% מההכנסות העולמיות, הגבוה מביניהם, ומעמידה את הארגון פתוחה לתביעות של אזרחים פרטיים בגין נזקים.
הרגולציה עצמה אינה מוגדרת היטב ואמורפית למדי, מה שהופך את תאימות ה-GDPR למרתיעה, במיוחד עבור ארגונים קטנים ובינוניים (SMEs) שלא בטוחים כיצד יש לגשת אליה.
אנחנו ננסה לפרק את הרגולציה בצורה ברורה שתאפשר לכם בתור בעלי עסקים להבין כיצד אפשר לעמוד בתקינה המחמירה והחשובה בעולם הסייבר.
מטרת GDPR
תקנות הגנת הפרטיות החדשות נוסחו בעקבות שינויים מרחיקי לכת שעברו על עולם העסקים והשימוש באינטרנט- חוקי הגנת המידע האחרונים נקבעו בשנות ה-90, ומאז חלה פריחה בטכנולוגיה ואופן השימוש והאחסון של הנתונים איבד שליטה.
הרגולציה מעניקה לאנשים, המכונים data subjects, שליטה על התהליכים ועל האופן שבו ארגונים מעבדים את הנתונים האישיים ( personal data) שלהם.
נתונים אישיים ב- GDPR
נתונים אישיים הם כל מידע שיכול לשמש לזיהוי של אדם כגון:
- שמות
- מספרי תעודת זהות
- מקום
- כתובות דוא"ל
- רישומי בריאות
- אמונות דתיות
- תמונות
- מצב פיזי ופסיכולוגי
- זהות תרבותית/חברתית
עיבוד- כל פעולה או מערך פעולות על נתונים אישיים המתבצעים באמצעים אוטומטיים/ידניים.
עקרונות לעיבוד נתונים על פי ה-GDPR
כפי שנאמר תקנות הגנת הפרטיות הם כלליות ולא מפורטות. ה-GDPR מגדיר עקרונות בסיסיים לעיבוד המידע האישי של ה- data subjects:
עיבוד נתונים אישיים?
על ארגונים לעבד מידע אישי רק כאשר יש לכך הצדקה. ה-GDPR מגדיר 6 סיבות שבזכותן רשאיות חברות לעבד נתונים אישיים.
רוב הארגונים מכוונים לקריטריון ההסכמה של ה-data subjects, אולם מדובר בקריטריון הכי פרוץ, שכן ניתן לבטל הסכמה בכל רגע. יתרה מזאת, ביטול ההסכמה חייב להיות נגיש באותה מידה של נתינת ההסכמה, והחוק קובע שהביטול יכול להיעשות על ידי כל אמצעי מדיה. כאשר האדם מבטל את הסכמתו על הארגון למחוק את כל נתונים האישיים.
זכויות של Data Subjects
כאשר ארגון מבצע את הצעדים המתאימים לעמוד בתקינת ה-GDPR הוא חייב לשאוף לשמור על זכויות מרכזיות של ה- data subjects שה-GDPR מדגיש.
יתרונות ה-GDPR
בירוקרטיה זה כאב ראש, אך יתרונות רבים ל-GDPR שנוגעים לא רק לזכויות האדם הפרטי, אלא גם לארגונים ועסקים. החוק החדש מקדם שקיפות ואחריות רבה יותר, ומטרתו להגביר את אמון הציבור על ידי מתן שליטה רבה יותר ליחידים על הנתונים.
בנוסף, ארגונים ועסקים המיישמים את תקן ה-GDPR מוגנים יותר מפני איומי הסייבר הנוכחיים, ובכך סביבת העבודה שלהם נשמרת פרטית ומתקפדת כראוי.
תהליך העמידה ב- GDPR
גישה ומיפוי- הצעד הראשון לקראת תאימות ל-GDPR הוא לחקור ולמפות אילו נתונים אישיים מאוחסנים ומשתמשים בפלטפורמה של הארגון. גישה ישירה לכל מקורות הנתונים היא תנאי מוקדם לבניית מלאי של נתונים אישיים, כדי שיהיה ניתן להעריך את החשיפה לסיכוני הסייבר הנוגעים לפרטיות. הרגולציה מחייבת ארגונים להוכיח שהם יודעים היכן נתונים אישיים נמצאים – והיכן אינם.
זיהוי- בחינת הגישה למקורות המידע וזיהוי הנתונים האישיים. חשוב לשים לב, לעתים נתונים אישיים קבורים בשדות מובנים למחצה, ועל ארגונים להיות מסוגלים לנתח שדות אלו כדי לחלץ, לסווג ולקטלג רכיבי נתונים אישיים כגון שמות, כתובות דוא"ל ומספרי תעודת זהות.
תהליך זה חייב להיעשות על ידי כלים אוטומטיים משום שכמות הנתונים האישיים שיש לעבור עליהם היא עצומה. מעבר לניתוח וסיווג, הארגון מחויב לבצע התאמת איכות נתונים על פי רמות- זיהוי דפוסים, איכות נתונים וסטנדרטיזציה. שימוש בכלים הנכונים יעשה הבדל גדול ביכולת שלך לשמור על תאימות ל-GDPR.
התנהלות ארגונית- מינוי DPO- לאחר מיפוי וניתוח מקיף, על ההנהלה הבכירה ליישם את ההמלצות שקמו בעעקבות המידע. התנהלות עובדי החברה ומינוי בעלי תפקידים לשמירה על התנהלות של הגנת פרטיות המידע הוא מרכיב חיוני בעמידה של ה-GDPR.
אם הארגון שלך הוא בעל מאגרי דאטה בייס, או מחזיק במאגרים אלו, ואם הוא שייך לאחד מהמגזרים הבאים:
- גוף ציבורי
- בנק
- דירוגי אשראי והערכת אשראי
- חברת ביטוח
אזי עליו למנות אחראי על אבטחת מידע, או DPO- Data Protection Officer. אדם זה יהיה אחראי על תיעוד תהליך עיבוד המידע, החל מהבסיס המשפטי המאפשר שימוש, ועד לווידוא אפשרות ביטול ההסכמה ומימוש הזכות להישכח של data subjects.
בשל התהליך המסובך של עמידה בתקינת המחמירה אך החיונית ביותר בעולם הסייבר, מומלץ מאוד להתייעץ עם חברת אבטחת מוסמכת. המומחים של רד-אנטרי מלווים אתכם לאורך כל הדרך, ובעלי ניסיון של למעלה מעשור בעמידה בתקינה.
להמשך קריאה על תקני אבטחת מידע
