• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

מה זה ה-GDPR?

מאת: אלון הומינר, יועץ אבטחת מידע (28 למרץ 2018)

 

מאז  נכנס לתוקפו באירופה חוק הGDPR- בחודשים האחרונים, דובר רבות על חוק זה אשר מטריד ארגונים במשק העולמי בכלל ובאירופה בפרט. כתבה זו תסקור את החוק החדש, מטרותיו ולמי הוא נוגע.

 

ראשית, מהו ה-GDPR?

ה-GDPR –  ,General Data Protection Regulationהינו אוסף הוראות הגנת פרטיות שהתקבל באפריל 2016 ע"י האיחוד האירופי ונכנס לתוקף במאי 2018. בראש ובראשונה, מטרת ההוראות היא לעזור לכל אחד ואחד מאזרחי ותושבי מדינות האיחוד האירופי, 'מהאזרח הפשוט' ועד לאחרון המנכ"לים במשק, לשמור ולהגן על המידע האישי שלו שנאגר במערכות המידע בארגונים השונים, באמצעות הגדרת השימוש שנעשה בו.

 

האם ה-GDPR חל על הארגון שלי?

תקנות ה-GDPR חלות על כל ארגון המעבד מידע אישי הנוגע לתושבי ואזרחי האיחוד האירופי בלא קשר ותלות למיקומו הפיזי של הארגון. הגדרת הארגונים החייבים בעמידה בחוק לא מחייבות נוכחותו או פעילותו של הארגון בתחומי מדינות האיחוד. חלות החוק מסתעפת רבות, אך ניתן לפשט אותה: אם ארגונך חשוף למידע פרטי של אזרח אירופאי, לרבות במסגרת אחסון, עיבוד או ניטור – אזי החוק חל על ארגונך. כמו כן, חשוב לשים לב שגם אם אינכם עומדים בהגדרה זו כרגע, אך קיימת היתכנות בעתיד לשת"פ עם גוף אירופאי או אף מכירת מוצרים או שירותים לשוק האירופאי, סביר שתידרשו להציג עמידה בחוק ה-GDPR כבר במסגרת תהליך ההתקשרות.

ה-GDPR מתבסס על זכויות המוקנות לכל נשוא מידע (הישות אודותיה נאסף המידע) באשר הוא. החוק דורש מהארגונים השונים ליישם את הזכויות הללו בכל התהליכים העסקיים שלהם, באמצעות הנחיות ברורות. להלן 8 זכויות הפרט המוגדרות ב-GDPR:

  1. חובת העדכון אודות איסוף מידע מהלקוח

  2. הזכות לקבלת מידע

  3. הזכות לתקן או למחוק מידע השמור בארגון ("הזכות להישכח")

  4. הזכות להתנגד לעיבוד המידע של המשתמשים

  5. הזכות לניוד מידע מהארגון לגורם אחר

  6. הזכות לקבלת עדכון על העברת מידע לגורם שלישי

  7. הזכות להתנגד לעיבוד המידע ויצירת פרופיל התנהגותי

  8. הזכות להתנגד ליישום החלטות אוטומטיות

 

עקרונות העבודה המלווים את ה-GDPR:

  • ברירת המחדל של הארגון תהיינה הגנה על המידע הפרטי של בעלי המידע וילווה את כל התהליך העסקי של הארגון.

  • אישור והסכמה חד משמעית ומתועדת של בעל המידע לביצוע עיבוד מידע ע"י הארגון (וכן מתן אפשרותלבטל אישור זה).

  • פרטיות המידע של קטין מודגשת בצורה משמעותית בחוק, ונדרש אישור הורה או אפוטרופוס לכל תהליך של עיבוד מידע של קטין (מגיל 16 ומטה).

  • ככלל, החוק לא נותן אפשרות לעבד מידע בתצורה ולמטרה שונה מהמטרה המקורית שלשמה קיבל הארגון את ההסכמה מבעל המידע, אך יחד עם זאת, קיימת האפשרות במקרים חריגים בלבד להפר הסכמה זו מצד הארגון. זאת ע"י שיקולים כדוגמת מהות המידע לרבות אם המידע הוא רגיש או ההשלכות האפשריות הנובעות מעיבוד המידע לצורך המטרה החדשה.

 

עקרונות אלו מהווים את הבסיס של החוק ועל גביהם נבנות ההנחיות לארגונים. נופך נוסף שמביא עימו ה-GDPR לעומת חוקים ותקנים אחרים, הוא סנקציות כלכליות משמעותיות שמומלץ לבעלי הארגון להפנות אליהן את תשומת הלב: קנסות העלולים להגיע עד ל-20,000,000€ או עד 4% מהמחזור השנתי של הארגון, הגבוה בין השניים. קנסות אלו עלולים לגרור ארגונים לקריסה פיננסית.

לסיכום, ה-GDPR הינו חוק שבא להגן על פרטיות המידע ולאפשר לנשואי המידע לנהל את אופן חשיפתו בצורה בטוחה. החוק חל על אירגונים רבים, אשר על כן, מומלץ לארגונים העלולים להיות מושפעים מתכולת החוק לבצע הערכת מצב אבטחתית ומשפטית תוך ניהול סיכונים, על-מנת לקבוע את רלוונטיות והיקף החוק לגביהם ובמידת הצורך, להתחיל ליישמו בהקדם. 

 

אורנסק, בשיתוף משרד עורכי דין מוביל, מלווה אירגונים בתהליך מיפוי הפערים והתאימות לחוק ה-GDPR.