תקנות GDPR כבר כמעט פה - אתם מוכנים?

תקנות GDPR החדשות הנכנסות לתוקפן בסוף חודש מאי 2018, מצליחות לבלבל אירגונים וחברות רבות במשק. רבים לא יודעים מה זה GDPR וכיצד מתמודדים עם הגזרות החדשות.

כדאי לדעת כי רגולציית ההגנה על הפרטיות (GDPR) מחליפה את ההוראות להגנה על הפרטיות (דירקטיבה 95/46/EC) של האיחוד האירופי מ-1995 ובכך קובעת סטנדרט חוקתי אחיד המחייב את כל המדינות החברות באיחוד האירופי ומטרתו - הגנה על מידע אישי עבור אזרחי האיחוד האירופי. סוג של יישור קו עבור כל האיחוד האירופאי ומי שעובד עם תושבי האיחוד האירופאי. הבשורה: gdpr רלוונטי גם עבור עסקים ואירגונים רבים במדינת ישראל.

במה שונה תקנות GDPR) gdpr רגולציה) מההוראות להגנה על הפרטיות אשר היו נהוגות עד עתה?

  • הזכות להישכח - גופים המחזיקים במידע אודות משתמשים יחויבו למחוק את המידע עם שינוי הסכמת המשתמש או הפסקת השירות.

  • אכיפה חזקה יותר של התקנות = קנסות גבוהים יותר - הרשויות להגנה על המידע יאפשרו לקנוס את החברות שלא עומדות בקו אחד עם תקן gdpr בסכום של עד 4% מהמחזור הגלובלי השנתי שלהן או עד 20 מיליון יורו.

  • זכות המשתמשים לדעת - חברות וארגונים יהיו חייבים ליידע את הרשות המקומית המפקחת על פרצות אבטחת מידע וליידע משתמשים אשר המידע עליהם נחשף מוקדם ככל הניתן כך שיוכלו לנקוט באמצעים המתאימים.

  • סטנדרטיזציה – חוק אחד ליבשת אחת – תקנות ה gdpr יהוו חוק יחיד שיהיה כלל-אירופי להגנה על מידע. תקנות אלו יחליפו את עבודת הטלאים הנוכחית של החוקים המקומיים בכל מדינה וחברות יתנהלו מול חוק אחד לעומת 28 חוקים שונים. הדבר ישפיע בצורה ניכרת על המשק - החיסכון המשוער יגיע ל-2.3 מיליארד אירו בשנה.

  • גישה קלה יותר לנתונים - ברשות המשתמשים יהיה כל המידע על האופן שבו הנתונים האישיים שלהם מעובדים ונאספים, והמידע צריך להיות נגיש וזמין באופן ברור ומובנה.

  • חובת הדיווח לרשות הלאומית המקומית - ארגונים וחברות שונות חייבים ליידע את הרשות הלאומית המקומית על פירצות חמורות של אבטחת מידע מוקדם ככל הניתן (המצב הרצוי הוא תוך 24 שעות).

  • כל מחזיקי המידע של תושבי האיחוד האירופי מחויבים ליישום והטמעה של תקנות אבטחת המידע האירופאיות – גם אם מדובר במידע אישי המנוהל מחוץ לאיחוד על ידי חברות הפעילות בשוק של האיחוד האירופי והמוצרים והשירותים שלהן (לרבות מוצרים ושירותים ללא תשלום) מיועדים לאזרחי האיחוד האירופי.

  • הגנה על מידע על פי תכנון ובתור ברירת מחדל – שני מושגים חשובים בהקשר זה הם 'Data protection by default' ו'Data protection by design'. שני אלמנטים אלו הם חיוניים כעת כאשר מדובר על תקנות ההגנה על פרטיות המידע באיחוד האירופי. אמצעי ההגנה של הגנת הפרטיות יהיו מובנים וייבנו בתוך מוצרים ושירותים מהשלב המוקדם ביותר של הפיתוח, והגדרות ברירת מחדל ידידותיות-לפרטיות יהוו נורמה.

צ'ק ליסט GDPR

במקרה של תקנות הגנת הפרטיות GDPR אין ספק כי ידע הוא כוח. כדאי ומומלץ לבדוק את הנקודות הבאות:

שאלו את עצמכם


  1. האם באירגון שלכם מאחסנים, מעבדים או מעבירים מידע אישי על תושבי האיחוד האירופי?

  2. האם המידע שהאירגון שלכם אוסף רלוונטי למטרה לשמה הוא נאסף? (למשל כרטיס אשראי רלוונטי לביצוע רכישה)

  3. האם קיים באירגון שלכם תיעוד של המידע האישי אותו אתם אוספים, מקור המידע ומי בעל הגישה אליו?

  4. באילו אמצעים טכניים וטכנולוגיים אתם נוקטים על מנת להגן על מידע אישי מפני גורמים לא מורשים? באילו מהאמצעים הבאים אתם משתמשים?

  • תוכנת אבטחה וחומת אש

  • הגבלת הגישה מרחוק לסביבת המחשוב הארגונית באמצעות VPN DLP)Data Leakage Prevention)- פתרון למניעת זליגת מידע עסקי רגיש – בו משתמשים לסיווג ואבטחת נתונים רגישים מפני דלף, בזדון או בתום לב וחסימתו בזמן אמת

  • הגבלת הגישה לנתונים רגישים/אישיים רק לבעלי תפקידים ולאנשים ספציפיים בארגון שצריכים לגשת אליהם

  • הקשחת תהליכי הלוגאין באמצעות אימות דו שלבי 5. האם יש באירגון שלכם תהליכים ונהלים שנקבעו במקרה של פריצה וסיכון של הנתונים? (כולל יידוע של הרשות הלאומית להגנת הסייבר) 6. האם יש לך תכנית היערכות לGDPR (חוק הגנת המידע האירופי החדש)?

אז מה אפשר לעשות? יישום והטמעה של GDPR

הנה שלושה צעדים שתוכלו לעשות כבר היום כדי להתכונן לתקנות הרגולציה החדשות:

  1. יש לעבור על לשון החוק ולהיעזר בגורם משפטי/רגולטורי מוסמך שיסייע לארגון להיערך לדרישות. ניתן למצוא מידע רב על gdpr בעברית, אך שוב, כל אירגון וחברה פועלים בצורה שונה ולכן יש להיוועץ ספציפית בהקשר ליישום והטמעת התקנות אצלכם באירגון.

  2. אפשר למנות ממונה על הגנת המידע, לאפשר מבחינה טכנית לכל משתמש את "הזכות להישכח" ולאבטח את מאגרי המידע באירגון.

  3. הטמעת אמצעי אבטחה טכניים המבטיחים הגנה על המידע האישי המוחזק בארגון כגון: תוכנת אבטחה, חומת אש, אימות דו שלבי בכניסה למערכת ועוד.


*מאמר זה מהווה סקירה כללית, הוא אינו מלא ואינו מחליף יעוץ משפטי ואין להסתמך עליו בכל מקרה של שאלה ספציפית ביחס למאגר שלכם.

משרדנו מתמחה בהכנת ארגונים ויישום תקן ניהול מערכת אבטחת מידע ועמידה בדרישות תקנות הגנת הפרטיות (אבטחת מידע). כמו כן, ביישום והטמעה של רגולציית תקנות GDPR (החוק להגנת המידע האירופאי החדש). היועצים שלנו הם מומחי אבטחת מידע בעלי ידע וניסיון במגוון תעשיות ואנו ערוכים תמיד לשמור על רמת אבטחת המידע הגבוהה ביותר בכל אירגון.

אצלנו תוכלו לקבל, בין השאר, את השירותים הבאים:

  • ליווי מקיף לעמידה ב-GDPR

  • עמידה בלוחות זמנים של הרגולציות החדשות

  • ליווי מקיף לתקן ISO 27001

  • צוות מומחי אבטחת מידע העומד לרשותך

  • מיפוי נתונים קיימים - ביצוע של מיפוי מאגרי המידע הקיימים, רלוונטיות והתאמתם לתקנות.

  • ביצוע סקר פערים - ביצוע תהליך סדור לאיתור פערים קיימים מול דרישות התקנות.

  • ביצוע סקר סיכוני הגנת מידע - ביצוע סקר הגנת מידע בהתאם לדרישות התקנות וע"פ מתודולוגיית הערכה מאושרת.

  • הכנת תכנית עבודה להטמעת פערים מהתקנות וליווי אישי של יועצינו ביישומה.

  • ליווי התהליך עד להשלמת היישום וקבלת אישור סיום התהליך בהצלחה מחברתנו.

  • יישום | הטמעת GDPR

  • ליווי ארגונים לעמידה בדרישות ה-GDPR

  • ליווי מקצועי להטמעת התקנות בארגון

  • ניסוח נהלים לגישה למידע

  • אפיון ומימוש טכנולוגיות

מוזמנים לתאם איתנו פגישת ייעוץ ללא התחייבות


מדריכים מומלצים

שירותי החברה

אודות

אודיט,  בית אשרא, דרך מנחם בגין 65 ת"א | טלפון: 03-5616303 | פקס: 03-5616304 | מייל: info@audit-fa.co.il
ליצירת קשר מהירה שילחו הודעה בוואטסאפ