• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

Please reload

מה חדש באורנסק

Microsoft ו-Adobe הטליאו עשרות באגים

18/02/2020

1/10
Please reload

חדשות אבטחת מידע

מאת: יורם ליכטנשטיין, עו"ד ומוסמך הגנת הפרטיות באירופה .CIPP/E
(מלווה ארגונים בתחומי GDPR בשת"פ עם 'אורנסק אבטחת מידע והגנה בסייבר)

 

 

 

ה- GDPR היא רגולציית הגנת מידע ופרטיות האירופית שנכנסה לתוקף ב25- למאי ,2018 ועיקרה הרמוניזציה של החקיקה האירופית המחייבת את העסקים השונים הפעילים בצורה כלשהי באירופה או אוספים ועושים פעולות במידע המתייחס לאנשים מאירופה.

 

האם הGDPR- חלה על העסק שלי?

 

הבחינה הראשונה שעל כל עסק ישראלי שעושה שימוש במידע אודות אנשים לבצע (לאחר שבדק את התאמתו לתקנות הגנת הפרטיות (אבטחת מידע) הישראליות,) היא האם הוא נכנס בגידרה של הרגולציה האירופית המרחיבה.

 

ה GDPR קובעת, שכל עסק שאחד מהבאים מתאים אליו, הרי שהיא חלה עליו –

 

1. יש לעסק משרד או פעילות שיווקית כלשהי המכוונת או נמצאת באחת ממדינות האיחוד האירופי (ה.)EU- יש לשים לב שפעילות שיווקית מפורשת בהרחבה והיא עשוייה לכלול גם אתר אינטרנט בשפה אירופית, שיווק מוצרים במחירים הנקובים באירו, מכירה ואספקה של מוצרים במדינה אירופית, קיומו של איש מכירות בתחומי מדינה ספציפית או שפונה למדינה ספציפית וכדומה.

 

2. העסק מציע מוצרים או שירותים לאנשים הנמצאים באירופה. שימו לב: לא אזרחות האנשים משנה, לא מקום תושבותם, אלא רק המצאותם הפיזית באירופה. כלל זה עשוי להחיל את  הרגולציה  האירופית  על  עסקים  ישראלים  רבים  שאינם  מודעים  לכך  (למשל בתחומי המלונאות, התיירות, הביטוח, רפואת המרפא, הנסיעות וכדומה.)

 

3. העסק מנטר את התנהגותם של אנשים המתרחשת באירופה. כלל זה מחיל את הGDPR- על מרביתם של העסקים בעלי הנגיעה הדיגיטלית בישראל (במקרי קיצון די בקיומם של משתמשים עם כתובת IP אירופית כדי להחיל את הרגולציה.)

 

תהליך התאמת העסק ל:GDPR

 

על מנת להשיג התאמה לרגולציה )compliance( כדאי לבצע מספר פעולות בסיסיות (שאמנם אינן

ממצות, אך יש בהן חשיבות רבה.) למשל:

 

1.  לסקור את המידע הנאסף על ידי העסק ולזהות את רכיביו המהווים מידע אישי ומידע אישי רגיש.

 

2.  לאחר שזוהה המידע הרלוונטי, יש לבדוק את אופן איסופו, הטיפול בו, עיבודו, חשיפת והעברתו

לצדדים שלישיים, אבטחתו ומחיקתו.

 

3. יש להעריך ולחזק את אמצעי אבטחת המידע, ולבחון בעניין זה מספר רמות של אבטחת מידע:

ואבטחה פיזית. אבטחה ארגונית-מתודולוגית, אבטחה משפטית-הסכמית, אבטחה טכנולוגית

לכל אחד מרכיבים אלו יש להתייחס על מנת שהמידע יחשב כמאובטח.

 

4. יש להשקיע מחשבה בפרטיות ואבטחת מידע ארגונית מלאה, לרבות הנחיות מתאימות והדרכות מתאימות לעובדים וקביעת והנחלת נהלים מלאים ונכונים. הנהלים ראוי שיתייחסו למכלול רכיבי אבטחת המידע, לדוגמא: אבטחת הגישה למידע, אבטחת העברות המידע לצדדים שלישיים, ניהול ומעקב אחרי פרצות מידע וקביעת נוהל טיפול ודיווח וכדומה.

 

5. יש  להפוך את הפרטיות ואבטחת המידע לחלק בלתי נפרד מהתנהלותו של העסק ושל מוצריו, החל בשלב התכנון ועד להתנהלות היומיומית השוטפת. כך למשל, ברירת המחדל בכל שירות או אלא אם כן ניתנה הודעה מספקת מוצר, ראוי שיהיו מוטים לכיוון הפרטיות ולא יאספו מידע ובוצעה בחירה אקטיבית באפשרות השנייה.

 

 

6. יש לוודא שקיפות וחשיפה ברורה ומלאה של כל פעולות האיסוף, עיבוד, העברה ושימוש במידע. ההודעה  בעת  האיסוף  חייבת  להיות  נכונה,  מלאה  וברורה;  מדיניות הפרטיות שלכם אל מול משתמשיכם צריכה להיות ברורה ומפורטת יחד עם קיומה של גרסת מדיניות תמציתית וקלה להבנה.

 

7. יש לוודא שכל ההסכמים עם צדדים שלישיים הותאמו לרגולציה האירופית ומאפשרים התנהלות ראוייה ביחס למידע הנאסף, העברתו, עיבודו, מחיקתו, וכדומה.

 

8. יש להכיר את מגוון זכויות השליטה של הפרטים במידע המתייחס אליהם, ולקבוע נהלי עמידה בכל פניה של האזרחים בעניין זכויותיהם.

 

9. יש לבצע באופן בסיסי, ולאחר מכן באופן שוטף ובכל מקרה בו נדרש הצורך בכך, הערכות סיכוני פגיעה בפרטיות Assessment( Impact Protection Data – )DPIA הן לעסק עצמו והן לטכנולוגיות השונות בהן נעשה שימוש.

 

10. יש למנות קצין אבטחת פרטיות ומידע .)DPO( אמנם, הרגולציה אינה מקימה חובה למינוי כזה בכל המקרים, אך מינוי שלו יקל עליכם לעמוד ברגולציה באופן שוטף שימנע סיכונים, קנסות ותביעות.

 

 

האמור מעלה אינו ממצה ואין די בו על מנת להוכיח עמידה מושלמת בדרישות הרגולציה, אולם ככל שתבצעו את האמור מעלה בצורה מקצועית ומלאה – מצבכם ישתפר מונים רבים והסיכון הניצב בפניכם יופחת משמעותית.

 

 

לקידום התאמה מקצועית ומלאה של העסק שלכם, היעזרו בעורכי דין המתמחים בתחום הגנה על פרטיות ותקנות ה-GDPR ,כגון עורכי הדין טל פרנקל ויורם ליכטנשטיין, אשר מוסמך הגנת פרטיות .CIPP/E באירופה.

 

 

Please reload

עקוב אחרי אורנסק
Please reload

חיפוש לפי נושא
  • Facebook Basic Square
  • LinkedIn Social Icon