קצת סדר: תקנות הגנת הפרטיות 2018 מול GDPR

עודכן ב: מרץ 15


הגדרת תקנות הגנת הפרטיות

מה זה תקנות הגנת הפרטיות? (תקנות אבטחת מידע) - תקנות הגנת הפרטיות מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות על כל גורם המנהל או מעבד מאגר של מידע אישי, קובעות מנגנונים ארגוניים ודרישות מהותיות שמטרתם הפיכת אבטחת המידע לחלק משגרת ניהול הארגון.

מה זה GDPR- General Data Protection Regulation (תקנות אבטחת מידע GDPRׂ) - רגולציית ההגנה על הפרטיות היא אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית על מנת להגן על נושאי המידע בטריטוריית האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות.

על מי חלות התקנות

תקנות הגנת הפרטיות - תקנות אלו חלות על כל המשק הישראלי ללא יוצא דופן - כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע מכל סוג, כולל ארגונים, גופים, חברות, עסקים ואנשים פרטיים. התקנות חלות על כלל מאגרי המידע העונים על הגדרת "מאגר מידע" בסעיף 7 לחוק הגנת הפרטיות, בכללם מאגרים שהמידע שבהם נאסף ממקורות פומביים.

GDPR – תקנות אלו חלות על חברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים. כאשר נתייחס gdpr ישראל ניקח בחשבון כי רגולציה זו חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, כל עוד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי.

עסקים בתחומים של מלונאות, הייטק, שיווק דיגיטלי, חברות דאטה-ביייס, חברות פיננסיות בתחום הפיננסים ועוד – כולם חלק מהרשימה של סוג העסקים שצריכים להתאים עצמם לתקנות החדשות.


זמן כניסה לתוקף ויישום


תקנות הגנת הפרטיות - רבים קוראים להן גם תקנות הגנת הפרטיות מאי 2018 8.5.2018 GDPR 25.5.2018


פירוט על התקנות

תקנות הגנת הפרטיות - תקנות הגנת הפרטיות מאגר מידע מבחינות בין סוגי מאגרי המידע ומחלקת ארבעה סוגי מאגרי מידע שלהם נדרשת רמת אבטחה ההולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון, בהתחשב בגודל המאגר, ברגישות המידע ובמספר המורשים לגשת אליו. ככל שמאגר המידע יותר גדול כך גוברת רמת אבטחת המידע שאליה הוא נדרש. הנה פירוט קצר על סוגי מאגרי המידע הקיימים תחת תקנות הגנת הפרטיות 2018. 1. מאגר מידע המנוהל על ידי יחיד על מאגר זה חלה החובה הנמוכה ביותר. הגישה למאגר כזה נמצאת בידי עד שלושה מורשים, הוא אינו מכיל מידע על יותר מ – 10,000 אנשים, הוא אינו נועד לאיסוף מידע לצורך מסירתו לאחר (כגון דיוור ישיר) והוא אינו כולל מידע הכפוף לחובת סודיות. 2. מאגר בעל רמת אבטחה בסיסית מדובר על מאגרים שאינם מנוהלים בידי יחיד ואינם מוגדרים כמאגרי מידע שחלה עליהם רמת האבטחה הבינונית או הגבוהה. 3. מאגרים בעל רמת אבטחה בינונית זהו מאגר מידע שמספר מורשי הגישה אליהם עולה על 10 ומטרתם לאסוף מידע לצורך מסירתו לאחר, מאגרי מידע בבעלות גוף ציבורי או מאגרי מידע המכילים מידע רגיש (מידע רגיש כולל חלק מסוגי המידע הבאים: מידע רפואי, מידע גנטי, מידע על אמונותיו ודתו של אדם, הרשעות בפלילים ומידע רגיש נוסף) 4. מאגר בעל רמת אבטחה גבוהה מדובר על מאגרי מידע של גוף ציבורי שמטרתם איסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש כמתואר לעיל אודות 100,000 אנשים ומעלה או שמספר מורשי הגישה אליהם עולה על 100 איש.

:GDPR רגולציה - הרגולציה האירופית החדשה מחייבת, בין היתר, ליישם את ההוראות הבאות

  • מינוי של קצין הגנת מידע (תפקיד שונה ונפרד מקצין אבטחת המידע)

  • מינוי נציג של החברה בשטחי האיחוד האירופי במקרים מסויימים

  • שילוב שיקולים של הגנת מידע לתוך תכנון מערכות ושירותים חדשים

  • דיווח לרשויות האיחוד האירופי על פריצות למידע

  • סיפוק ומתן אפשרות שימוש מנגנון פשוט לביטול ההסכמה לשימוש במידע. (למשל כאשר מדובר בהס מרשימת תפוצה מסויימת)

  • קיום תיעוד מפורט של אופני עיבוד המידע

  • מתן האפשרות לנושאי המידע (בני האדם שהמידע מתייחס אליהם) למחוק מידע לא רלוונטי, לנייד מידע מספק שירותים אחד לשני ולהתנגד לקבלת החלטות לגביהם המבוססות על עיבוד אוטומטי

החובות

תקנות הגנת הפרטיות - חובות החלות על בעל מאגר יחיד הן המצומצמות ביותר וכוללות חובה בסיסית להכנת מסמך הגדרות המאגר, אבטחתו הפיזית, ניהול הרשאות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת. כאשר נתייחס לחובות החלות על שאר בעלי המאגרים נראה כי הן כוללות דרישה להכנת מסמך הגדרות המאגר תוך התייחסות לאיסוף המידע, מטרות השימוש בו, סוגי המידע השונים ומתן דיווח האם לא נאסף מידע מעבר לדרוש. כמו כן, כוללות חובות אלו עריכת נוהל אבטחת מידע, מיפוי המערכות (למאגר מידע המחייב את רמת האבטחה הגבוהה נדרש גם ביצוע סקר סיכונים), אבטחה פיזית, חובות בנוגע לגיוס עובדים, ניהול הרשאות גישה, זיהוי, אימות ובקרה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות, אבטחת תקשורת וחובות נוספות המפורטות במסמך התקנות עצמו.


חובות תקנות הGDPR

• חלה חובת דיווח לנושא המידע בכל פעם שנאסף מידע אישי אודותיו, שהמידע אודותיו נשמר ומתועד, מה מטרות שמירת המידע ומהו הבסיס החוקי לכך. כמו כן, יש ליידע את נושא המידע ולמסור לו פרטים ליצירת קשר, לעדכן אותו בדבר פרטי קצין אבטחת המידע (DPO) אם מונה, ולידע אותו במידה שהמידע האישי מועבר לגורם שלישי. • חובת ניהול היערכות סיכונים למידע ולדליפות מידע ושימוש מתמשך באמצעי הגנה טכנולוגיים וארגוניים לשם צמצומם. • חובת דיווח לרשויות המפקחות (ולעיתים גם לפרטים השונים) על דליפות מידע בנושאים מסוימים, בדרך כלל במסגרת זמן של עד 72 שעות. • חובת מינוי קצין אבטחת מידע (DPO) כאשר מתקיימים תנאים מסוימים של גודל חברה או סוגי מידע מעובדים. קיימות עוד חובות (gdpr compliance) אותן תוכלו למצוא בצורה מפורטת במסמך הgdpr המלא.

מה נחשבת הפרה של התקנות?


GDPR - חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות

שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי.

תקנות הגנת הפרטיות - לתקנות הגנת הפרטיות אבטחת מידע סעיפים רבים. אי ביצוע של התקנות המתאימות לסוג מאגר המידע נחשבת כהפרה של התקנות.

באיזה מצבים התקנות לא חלות?


ככלל, GDPR לא חל כאשר קיים שימוש במידע אישי לצרכים אישיים בלבד, שימוש במידע אישי לצורכי חקירה (בכללם מניעת עבירות פליליות) ושימוש במידע אישי לצורכי ביטחון שונים.

תקנות הגנת הפרטיות - חלק מהחובות של תקנות הגנת הפרטיות לא חלות על מאגר מידע המנוהל ע"י יחיד, מי שמחזיק מאגר מידע לשימוש אישי שאינו למטרות עסק, מי שברשותו מאגר מידע הכולל רק מען ודרכי התקשרות שאינם יכולים להיות מזהים ואין לו מאגר מידע נוסף.

סנקציות ועונשים


תקנות הגנת הפרטיות - לא מזמן הוגשה הצעת חוק המבקשת לתת לגיטימציה לממונה הכללי על מאגרי המידע ממשרד המשפטים להטיל קנסות של עד 3 מילון שקל בגין הפרת תקנות הגנת הפרטיות.

תקנות החוק האירופאי להגנת המידע מטיל קנס של עד 4% מהתוצר השנתי הגלובלי שלה, או עד 20,000,000 אירו - לפי הגבוה מבין השניים. זהו גובה הקנס המנהלי (שאיננו צורך אישור של בית משפט) שרשויות הגנת מידע אירופיות תוכלנה להטיל.

יישום GDPR או יישום תקנות הגנת הפרטיות - כיצד נערכים לתקנות הgdpr ולתקנות הגנת הפרטיות?

כדאי לדעת שתקנות הרגולציה של הgdpr כוללים 88 עמודים בסה"כ ומפרטים את הדרכים ליישום והטמעתם. לפניכם נקודות משמעותיות הדורשות התייחסות ביישום תקנות GDPR: • עברו על נוהלי החברה הרלוונטיים, על קוד ההתנהגות של החברה, על מסמכי מדיניות הפרטיות הארגוניים ואלה המכוונים כלפי לקוחות החברה. עדכנו את מסמכים אלה כך שיכללו התייחסות הולמת לעקרונות הגנת המידע. מדי פעם ובעיקר בתחילת יישום התקנות בארגון שלכם, יש לערוך הדרכה מתאימה לעובדי החברה הרלוונטיים ולספקיה, ביחס לעקרונות הגנת המידע.

• בידקו אם תהליך קבלת ההסכמה שאתם מציעים, הולם את דרישות תקנות ה – GDPR שימו לב כי ניהול מידע רגיש מחייב התייחסות מיוחדת. בידקו אם הינכם עומדים בדרישות הנוגעות לעיבוד מידע מסוג זה .בידקו אם עליכם למלא אחר הוראות הנוגעות לנושא פרטיות ילדים. הסיבה לאיסוף המידע מתבססת על 'אינטרס לגיטימי', עליכם להיות מוכנים להראות את תהליך קבלת ההחלטות המתועד שהוביל אתכם להחלטה בעניין זה.


• עיברו ובידקו את כלל תהליכי קבלת ההסכמה ווודאו כי הם עומדים בדרישות ה –GDPR . אם יש צורך, הוסיפו להודעות ומסמכי מדיניות הפרטיות הוראות בעניין האפשרות לבטל את ההסכמה. הגדרת ההסכמה: כל סוג של עיבוד מידע דורש את אישורו של המשתמש (או מקור חוקי אחר לעיבוד המידע). ההסכמה תיכנס לתוקפה רק במקרה בו המשתמש הסכים מתוך בחירה חופשית לתנאי העיבוד, כאשר אי הסכמה לא תפגע בו. אם אתם מנהלים או ברשותכם שירות אינטרנטי המוצע במישרין לילדים, קיימת חובה למסד מנגנון לקבלת הסכמת ההורים ולוודא שהודעות הפרטיות מנוסחות בהתאם לתקנות הGDPR. כמו כן, חברות השייכות לתעשיית הפרסום האינטרנטי המבוססת על מידע התנהגותי צריכות לבצע מדי פעם בפעם הערכת מצב בנוגע לקיום ההוראות בנושא ילדים.


• האם הנכם מעבדים מידע באחת או יותר מהקטגוריות המיוחדות המצוינות ב – GDPR? לדוגמה, על חברה בעלת משרד באירופה המחייב זיהוי ביומטרי לצורך כניסה למשרד (טביעת אצבע, סריקת כף יד וכיו"ב) קיימת החובה לוודא שמתקבלת הסכמה מתאימה מכלל העובדים במשרד.


• קיים הצורך להסביר מדוע האינטרס שלכם הוא לגיטימי כאשר אתם אוספים מידע על המשתמשים, לכן יש להיערך מראש ולהוסיף לכל ההודעות לנושאי המידע ומסמכי מדיניות הפרטיות תוכן מפורש הכולל הסבר על השימושים במידע שייחשבו כשימושים כאשר מדובר באינטרסים לגיטימיים.


• מינוי קצין אבטחת מידע - תפקידו של קצין ציות אבטחת מידע/ קצין הגנת נתונים (DPO - Data Protection Office) הוא פיקוח על ציות לדרישות הרגולציה הרלוונטית לארגון בתחום הגנת הפרטיות. מינוי זה יתבצע בהינתן תנאים מסוימים ויהיה בגדר חובה לחברות ולעסקים שיאספו או יעבדו מידע ושפעילותם השגרתית תצריך מעקב ובקרה רציפה של יחידים בסדר גודל גדול (חברות או עסקים שאוספים מידע רב על הרבה יחידים) או יחידים בעלי מידע אישי מקטגוריות מסוימות כמו הרשעות ומידע פוגעני.

לקצין אבטחת המידע / הגנת הפרטיות יש מספר תנאים בהם הוא חייב לעמוד, ביניהם מקצועיות בתחומו, מומחיות בחוקי אבטחת מידע ובעל ידע מעשי בתחום. הוא יכול להיות עובד קיים או מועסק חיצוני, פרטי ההתקשרות שלו חייבים להיות מסופקים לרשות המקומית הרלוונטית, אסור להטיל עליו משימות שיכולות לגרום לו לניגוד עניינים והוא חייב להיות נקי מכל שיקול זר.


תקנות הגנת הפרטיות -הצעדים שיש לעשות כדי להיערך כראוי לחידוש התקנות במאי משתנים בהתאם לרמת האבטחה של מאגר המידע. נתייחס לתקנה שחוזרת על עצמה ברמת האבטחה הבסיסית, הבינונית והגבוהה: תקנה מספר 3 – ממונה על אבטחת המידע על פי חוק הגנת הפרטיות, גופים מסוימים חייבים למנות ממונה בנושא אבטחת המידע. מיהם הגופים החייבים בכך? • גופים המחזיקים בחמישה מאגרי מידע • גופים ציבוריים • בנקים • חברות ביטוח • חברות העוסקות בדירוג או הערכה של אשראי

הממונה על אבטחת המידע: 1. יהיה כפוף ישירות למנהל או מחזיק מאגר המידע, למנהל בכיר או למנכ"ל האירגון 2. יכין נוהל אבטחת מידע וייאשרו מול ההנהלה הבכירה של האירגון 3. ממונה אבטחת המידע יכין ויתווה תוכנית בקרה שוטפת שתפקידה לבדוק עמידה בדרישות התקנות, יבצע אותה וייפרסם את ממצאיה להנהלת האירגון ולמנהל המאגר. 4. הממונה על האבטחה לא ייקבל תפקיד נוסף העלול לגרום לניגוד עניינים במילוי תפקידו. 5. אם בעל מאגר המידע הטיל על ממונה האבטחה משימות נוספות שאינן עוסקות בנוהל אבטחת המידע עליו להגדיר משימות אלה בצורה ברורה. 6. על בעל מאגר המידע להקצות לממונה את כל המשאבים הדרושים לו לשם מילוי תפקידו.

שאלות נפוצות ותשובות בנושאי GDPR ותקנות הגנת הפרטיות (מאי 2018)


על מי חלה החובה למנות ממונה אבטחת מידע מכוח חוק הגנת הפרטיות? החובה בסעיף 17ב(א)(1) למנות ממונה אבטחת מידע חלה על מי שמחזיק בחמישה מאגרים של אחר. ואולם הפרת חובה זו בידי "המחזיק" כהגדרתו בסעיף 3 לחוק משליכה גם על חוקיות ניהול המאגר בידי בעל המאגר המסתייע בשירותיו של אותו מחזיק.

אל מי פונים אם יש חשש להפרה של תקנות הגנת הפרטיות? הרשות להגנת הפרטיות מפקחת על מילוי הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, לרבות תקנות אבטחת מידע. מתוקף כך היא הגוף אליו יש לפנות במקרה של הפרת התקנות.

האם קבצי אקסל עם פרטי עובדים נחשבים למאגר מידע? כן, קבצי אקסל עם פרטי מידע אישי אודות עובדים הינם בגדר מאגר מידע.

האם כמות בעלי הרשאה שמשפיעה על היות המאגר ברמה גבוהה, מתייחסת למשתמשים פנימיים של הארגון או גם למשתמשים חיצוניים שבדרך כלל יש להם גישה רק לנתונים של עצמם ולא של כלל המאגר? בעל הרשאה הוא מי שיש לו גישה למידע במסגרת פעילותו בארגון, ללא תלות במתכונת המשפטית של העסקתו. נושא מידע שניתנה לו גישה מוגבלת לצפייה במידע האישי על אודותיו בלבד לא ייחשב לבעל הרשאה במובן התקנות, משום שככלל, יכולתו של אותו נושא מידע לצפות במידע על אודותיו בלבד, לא תפגע בפרטיות במובן השליטה של אדם במידע על אודותיו, ואף תתרום לה. לצורך העניין, התקנות מבחינות לעניין רמת אבטחה גבוהה בין בעל הרשאה לבין מידע על אנשים, אם למשל מספר בעלי ההרשאה עולה על 100 או המידע במאגר הוא על יותר מ-100,000 אנשים וקיים מידע מהסוג המנוי בסעיף 1(3) אזי תחול רמת אבטחה גבוהה. כאשר בוחנים את מספר נושאי המידע במאגר, כמובן כל אדם שיש עליו מידע גם אם אין לו כלל הרשאה לצפות בו יחשב למניין מידע על אנשים.

האם קיימת מניעה כי מנהל המאגר יהיה גם ממונה אבטחת מידע? מנהל המאגר לא יכול לשמש גם כממונה על אבטחת המידע שבמאגר. תקנה 3(1) לתקנות קובעת, כי ממונה על אבטחת מידע יהיה כפוף ישירות למנהל מאגר המידע או לנושא משרה בכיר אחר הכפוף ישירות למנהל המאגר. בהקשר זה נפנה לדברי ההסבר לתקנות, לפיהם הדבר נועד כדי להבטיח את בכירותו בארגון של הממונה ואת עצמאות שיקול הדעת שלו.

מיהו גורם בעל הכשרה מתאימה לעריכת ביקורת פנימית או חיצונית? רמת המומחיות הנדרשת חייבת להיות תואמת את הרגישות, המורכבות והיקף הנתונים שבידי הארגון, בהתאם למקובל מקצועית. לדוגמה, כאשר פעילות הארגון מורכבת במיוחד ונגזרות ממנה מערכות מידע מורכבות, הכשרה מתאימה ראוי שתממש רמה גבוהה יותר של מומחיות וניסיון מקצועי. היקף המיומנות נגזר מגודל המשימה. לגופו של עניין, הכשרה מתאימה ראוי שתכלול גם שליטה בדרישות החוק והתקנות בישראל לעניין הגנת הפרטיות ואבטחת המידע, היכרות עם האופי העסקי של המגזר בו הלקוח פועל, ובהשלכה של זה על מערכות המידע, ניסיון והכשרה במערכות מידע, ובפרט ביישום אבטחת מידע. ההכשרה והניסיון בנושאים אלו יהיו בהתאמה לרגישות המידע ומורכבות המערכות באופן שיאפשר לאדם לבצע את תפקידו לבחון נוהלים, להעריך סיכונים, לזהות ליקויים, ולהציע אמצעים לתיקונם.

האם ה-GDPR חל על גופים ממשלתיים? כן, הgdrp חל על כל מי שנוגע לאזרח אירופאי.

אם אני פונה רק לקהל בישראל אין צורך לעשות משהו מבחינת תקנות GDPR? זה עניין של ניהול סיכונים ואיזה מידע אתה שומר על לקוחותיך אם בכלל. הנחת העבודה שכל ישראלי (או לשם ההיגיון- כל ישראלי שלישי) יש לו גם אזרחות אירופאית לכן זה חל גם על מי שפונה לישראלים בלבד.

האם בטוח לאחסן מידע ארגוני ב-Google Drive או בשירותים דומים? אם החברה עושה עסקים עם משתמשים באזור האיחוד האירופי, צריך להתאים את מערכות האחסון וניהול הנתונים עפ"י GDPR, שיהפוך חובה מה-25.5.18.

האם יישום תקנות הגנת הפרטיות מבטיח בהכרח עמידה בתקנות חוקי הgdpr? עמידה בתקנות אבטחת מידע אינה מהווה בהכרח עמידה בדרישות ה GDPR. לעניין התקנות האירופאיות – יש להתייעץ עם גורם משפטי מוסמך.

לסיכום,

מאי 2018 הוא חודש עם המון שינויים בתחום הגנת הפרטיות – לתושבי ישראל ולתושבי אירופה: מצד אחד תקנות הגנת הפרטיות המתעדכנות ומצד שני תקנות הgdpr האירופאיות. בשביל להתכונן כראוי ליישום יש להבין מהם השינויים הנדרשים. במקרה זה, אין ספק כי המשפט המוכר "ידע הוא כוח" נכון פי כמה וכמה. תוכלו למצוא מידע רב ברשת על gdpr בעברית ואפילו תוכלו למצוא כנס gdpr, אך יש לקחת בחשבון כי כל אירגון פועל בצורה שונה וחוקים החלים על אירגון אחד לאו דווקא יחולו גם על אירגון אחר. כדאי להיוועץ עם גורם משפטי כגון עורך דין מוסמך שיכול לתת מידע ספציפי בנוגע לאירגון שלכם.

***מאמר זה מהווה סקירה כללית, הוא אינו מלא ואינו מחליף יעוץ משפטי ואין להסתמך עליו בכל מקרה של שאלה ספציפית ביחס למאגר שלכם.

משרדנו מתמחה בהכנת ארגונים ויישום תקן ניהול מערכת אבטחת מידע ועמידה בדרישות תקנות הגנת הפרטיות (אבטחת מידע).


אצלנו תוכלו לקבל שירותים נרחבים בתחום ביקורת מערכות מידע ואת השירותים הבאים:


  • מיפוי נתונים קיימים - ביצוע של מיפוי מאגרי המידע הקיימים, רלוונטיות והתאמתם לתקנות.

  • ביצוע סקר פערים (Gap Analyze) - ביצוע תהליך סדור לאיתור פערים קיימים מול דרישות התקנות.

  • ביצוע סקר סיכוני הגנת מידע - ביצוע סקר הגנת מידע בהתאם לדרישות התקנות וע"פ מתודולוגיית הערכה מאושרת.

  • הכנת תכנית עבודה להטמעת פערים מהתקנות וליווי אישי של יועצינו ביישומה.

  • ליווי התהליך עד להשלמת היישום וקבלת אישור סיום התהליך בהצלחה מחברתנו.

מוזמנים לתאם איתנו פגישת ייעוץ ללא התחייבות טלפון: 03-5616303 | מייל: info@audit-fa.co.il