תקנות הגנת המידע הכללית (GDPR) נחשבות לעיתים לתקנות המחמירות ביותר בעולם בהגנה על נתוני אישיות של משתמשים, עם קנסות על אי-ציות שיכולים להגיע ליותר מ-20 מיליון יורו. ה-GDPR חל על כל הארגונים המעבדים את נתוני האישיות של תושבי האיחוד האירופי (EU).
האם אתם מוצאים את הקריאה דרך המאמרים המורכבים של תקנות אלו מאתגרת? המשיכו לקרוא כדי להבין את מהותן ואת העקרונות המרכזיים של ה-GDPR וללמוד כיצד להיות תואמים ל-GDPR בעשרה צעדים פשוטים. מאמר זה יהיה מועיל לחברות שכבר פועלות לפי ה-GDPR ולחברות שמתכננות להיכנס לשוק האירופי.
מהו ה-GDPR?
ה- תקנות הגנת המידע הכללית הן תקנות פרטיות נתונים ואבטחת מידע שאומצו על ידי האיחוד האירופי והועלו לתוקף ב-25 במאי 2018. ה-GDPR מטיל חובות על כל הארגונים שמאספים ומעבדים נתוני אישיות של תושבי האיחוד האירופי, גם אם הארגונים הללו פועלים מחוץ לאיחוד האירופי.
ה-GDPR מעניק לתושבי האיחוד האירופי שליטה על נתוני האישיות שלהם ומטיל על הארגונים את החובה:
- לאסוף, לאגור ולנהל נתוני אישיות בצורה חוקית ובהתאם לכללים מחמירים
- להגין על נתוני אישיות מפני שימוש לרעה, ניצול ופשרה
- לכבד את זכויות הפרטים לשלוט בנתוניהם
שני תחומי המיקוד העיקריים של ה-GDPR הם נתוני אישיות ועיבוד נתונים:
חשוב גם להכיר את ה- מונחים ספציפיים של ה-GDPR לצורך הגדרת תפקידים הקשורים לטיפול בנתונים: בקרי נתונים, נושאי נתונים, ו-מעבדי נתונים.
הבטחת ציות ל-GDPR ולרגולציות וחוקי אחרים היא אחת מ- האתגרים הגדולים ביותר עבור CIOים, CSOים ו-CCOים. קראו את המאמר הקשור שלנו כדי ללמוד כיצד להתמודד עם אתגרים אלו ודומיהם.
מי חייב לציית ל-GDPR?
כל ארגון ששומר או מעבד מידע אישי של תושבי האיחוד האירופי חייב לציית ל-GDPR, גם אם הארגון ממוקם מחוץ לאיחוד האירופי.
ה-GDPR מגן כיום על נתוני אישיות של תושבים במדינות הבאות:
| רשימת המדינות שמכוסות על ידי ה-GDPR | |||
|---|---|---|---|
|
Austria
 |
Estonia
 |
Italy
 |
Portugal
 |
|
Belgium
 |
Finland
 |
Latvia
 |
Romania
 |
|
Bulgaria
 |
France
 |
Lithuania
 |
Slovakia
 |
|
Croatia
 |
Germany
 |
Luxembourg
 |
Slovenia
 |
|
Cyprus
 |
Greece
 |
Malta
 |
Spain
 |
|
Czech Republic
 |
Hungary
 |
Netherlands
 |
Sweden
 |
|
Denmark
 |
Ireland
 |
Poland
 |
United Kingdom
 |
הערה: ה-GDPR עדיין חל על תושבי הממלכה המאוחדת לאחר הברקזיט, מכיוון שממלכה המאוחדת שמרה על דרישות זהות בחוק הגנת המידע שלה UK-GDPR.
עם זאת, ישנם כמה חריגים. ארגונים עם פחות מ-250 עובדים פטורים מרוב חובות רישום (ראו את סעיף 30.5) אלא אם עיבוד הנתונים האישיים שלהם:
- עלול להוביל לסיכון לזכויות ולחירויות של נושאי הנתונים
- אינו מקרי
- כולל קטגוריות מיוחדות של נתונים המתוארות ב-סעיף 9
- כולל נתוני אישיות הנוגעים להרשעות פליליות והפרות המתוארות ב-סעיף 10
עמידה בדרישות ה-GDPR יכולה לעזור לארגון שלך ל:
להגין על נתוני לקוחות ועובדים
ה-GDPR קובע סטנדרטים גבוהים לאבטחת נתוני אישיות, ומטיל חובות על בקרי נתונים ומעבדי נתונים להגן על נתונים אישיים רגישים. הבטחת עיבוד נתונים מאובטח היא דרך מהימנה למזער את הסיכון לאירועי אבטחה.
לשמור על המוניטין שלך
התעלמות מתקנות פרטיות המידע עשויה להזיק למוניטין שלך. לדוגמה, חוויית פרצת מידע תוביל לחקירות, קנסות ותביעות פוטנציאליות. עמידה בדרישות ה-GDPR יכולה לעזור לך להימנע מפרצות מידע ולשמר את מעמדך כארגון אמין ומקצועי בעיני הציבור.
להבטיח נאמנות לקוחות
אנשים רוצים לדעת שהנתונים שלהם בטוחים ושהם שולטים בהם. לקוחות ועסקים נוטים יותר לבחור ספק שירותים או קבלן משנה שעומד בדרישות ה-GDPR מאשר כזה שאינו עומד בהן.
להימנע מקנסות ותביעות
אי עמידה בדרישות ה-GDPR עשויה להוביל לחקירות, קנסות ואף פרצות מידע. עד כ-110,000 פרצות מידע אישי דווחו לרשויות ה-GDPR בין השנים 2022 ו-2023, מה שהוביל לסך של כמעט 1.64 מיליארד אירו (≈ 1.74 מיליארד דולר) בקנסות.
קנסות על אי-עמידה בדרישות עשויים להגיע עד ל-4% מהמחזור השנתי הגלובלי או 20 מיליון אירו (הגבוה מביניהם). הקנס הגדול ביותר ששולם עד כה על ידי חברה אחת עמד על 746 מיליון אירו (≈ 790 מיליון דולר). גובה הקנס תלוי במספר גורמים, כולל:
- משך וחומרת ההפרה
- מידת שיתוף הפעולה עם הרשות המפקחת
- הקטגוריות של הנתונים האישיים שנפגעו
תהליך העמידה בדרישות ה-GDPR מצריך הבנה מעמיקה של התקנות. לכן, לפני שנעבור לרשימת הבדיקה להגנת מידע בהתאם ל-GDPR, בואו נסקור בקצרה את העקרונות הבסיסיים שמאחורי ה-GDPR.
למידע נוסף על
עקרונות מפתח של ה-GDPR
דרישות ה-GDPR מבוססות על שבעת העקרונות המפורטים ב- פרק 2. הם מגלמים את הרעיונות המרכזיים של התקנות ומסבירים את הסיבות העיקריות ליישום דרישותיהן.
עמידה בעקרונות אלו היא חיונית לאבטחת נתונים מהימנה באופן כללי ולציות להוראות המפורטות של ה-GDPR בפרט.
החלק הבא מציע עשרה שלבים בסיסיים לעמידה בדרישות ה-GDPR.
למידע נוסף על
כיצד לעמוד בדרישות ה-GDPR
גם אם אין אודיטים חובה לאישור עמידה בדרישות ה-GDPR, ארגונים לא יכולים פשוט להימנע מהעמידה בדרישות. אם מתרחשת פרצת מידע או הפרת זכויות של נושאי המידע, רשויות מפקחות ומסדירות יחקרו את האירוע ויבדקו את העמידה של הארגון בדרישות.
כדי לצמצם את סיכון פרצות המידע ולהימנע מקנסות, החברה שלכם יכולה להשתמש ברשימת הבדיקה של ה-GDPR שלנו כדי להבטיח שהיא עומדת בדרישות המרכזיות של ה-GDPR.
1. להבטיח חוקיות ושקיפות בעיבוד נתונים
ה-GDPR דורש להקים בסיס חוקי ושיטה שקופה לעיבוד נתונים. כדי לעשות זאת, יש לבצע את ששת הנהלים הבאים:
בקשו את הסכמת המשתמשים ישנם כמה דקויות. חשוב שהמשתמש יסכים לעיבוד הנתונים שלו, לכן חשוב לקבל את ההסכמה באמצעות פעולה כלשהי של opt-in, כמו לחיצה על תיבת סימון.
כמו כן, זוהי החלטה טובה לספק מידע ברור ותמציתי על אוסף, אחסון ועיבוד הנתונים. כל המידע הזה צריך להיות נגיש בקלות.
2. סקור את מדיניות הגנת הנתונים שלך
דבר נוסף שיכול לעזור לך לעמוד בדרישות ה-GDPR הוא פיתוח והטמעה של מדיניות הגנת נתונים העומדת בדרישות ה-GDPR. אם כבר יש לך אחת, חשוב לוודא שהיא נבדקת באופן קבוע.
ודא שמדיניות הגנת הנתונים שלך מאחדת את כל מדיניות האבטחה האחרות ומיישמת את עקרון ה- פרטיות כברירת מחדל, המשמעותו הפיכת פרטיות לחלק בלתי נפרד מהמארג הטכנולוגי שלך כברירת מחדל.
שקול לבצע ביקורות עצמיות רגילות בנוגע לעמידה בדרישות ה-GDPR. המטרה כאן היא לוודא שנתונים אישיים נאספים, מאוחסנים ומעובדים בצורה מאובטחת ואין גישה אליהם לעוד אנשים מעבר לנחוץ. בנוסף, בדוק שהמערכות שלך מעבדות רק את הקטגוריות של נתונים אישיים הנדרשים למטרותיך הספציפיות.
למידע נוסף על
דאגות עיקריות בתחום אבטחת הסייבר בשרשרת אספקה ו-7 שיטות עבודה מומלצות להתמודד איתן
3. ערוך הערכת השפעה על הגנת נתונים
הערכת השפעת פרטיות נתונים (DPIA) היא תהליך שמיועד לזהות ולהפחית את הסיכונים המוטלים על ידי איסוף ועיבוד נתונים אישיים. הבנת הסיכונים בנוגע לפרטיות הנתונים יכולה לעזור לך לבחור את אמצעי האבטחה המתאימים ולפתח מדיניות סייבר רלוונטית. לדוגמה, לאחר הערכה כזו, תוכל להגדיר בבירור אילו נתונים דורשים פסודונימיזציה.
כדי לבצע הערכת השפעת פרטיות נתונים (DPIA) כראוי, תוכל להתייחס לדוגמת תבנית DPIA המוצעת על ידי ה-GDPR. סעיף 35 של ה-GDPR קובע גם כי הארגון שלך חייב לבקש את ייעוץ קצין הגנת הנתונים בעת ביצוע DPIA.
4. יש ליישם אמצעי אבטחת נתונים מתאימים
אין נתונים מאובטחים ללא אמצעי בקרת והגנה רלוונטיים. אמצעי האבטחה שלך, כמו תוכנות הסייבר, ראויים לתשומת לב מיוחדת, כי הם הבסיס להגנה על הנתונים שלך.
כדי להבטיח ציות ל-GDPR ולשפר את אבטחת הנתונים, שקול להטמיע את פתרונות הסייבר הבאים:
5. להבטיח את זכויות הפרטיות של המשתמשים
פרק 3 מגדיר את הזכויות של נושאי המידע שעליכם להבטיח על מנת להבטיח תאימות ל-GDPR.
ודאו שאתם בודקים את הזכויות הפרטיות של הלקוחות והמשתמשים באתר שלכם על מנת לוודא שהם יכולים בקלות לבצע את הפעולות הבאות:
שקול לכלול את זכויות בעלי הנתונים במדיניות הפרטיות שלך. אתה יכול לבקר ב-אתר ה-GDPR על מנת לקחת את מדיניות הפרטיות שלו כהפניה. כל שינוי במדיניות הפרטיות שלך חייב להתקשר לבעלי הנתונים שלך דרך דוא"ל.
למידע נוסף על
6. תעד את הציות שלך ל-GDPR
דרישה חיונית נוספת של ה-GDPR היא היכולת להראות את הציות לרשויות הפיקוח ולספק הוכחה שכל המידע מעובד בצורה חוקית עם כל אמצעי הביטחון הנדרשים.
שקול לשמור תיעוד כיצד אתה מבטיח ציות ופרטיות המידע האישי. ניתן לעשות זאת בצורה של יומן GDPR שממפה את זרימת המידע בארגון שלך, אשר נשמר לצורך הוכחת ציות בפני בודקים. במקרה של פריצת נתונים, תוכל גם להשתמש ביומן ה-GDPR שלך כהפניה לשיפור אמצעי הביטחון.
כדי לעזור לארגון שלך להבטיח ציות ל-GDPR ואחריות, שקול לשמור את הרשומות הבאות:
מינה קצין הגנה על נתונים
קצין הגנה על נתונים (DPO) הוא מומחה פנימי או חיצוני שמפקח על ההיענות לדרישות ומבין איך להיות תואם ל-GDPR. ה-DPO גם מדווח להנהלה על כל סיכון לפריצת נתונים.
ה-GDPR דורש מכם להעסיק קצין הגנה על נתונים (DPO) אם אתם עומדים באחד מתוך שלושה קריטריונים:
- הארגון שלכם הוא גוף ציבורי או רשות ציבורית, עם פטורים שמוענקים לבתי משפט ורשויות שיפוטיות עצמאיות אחרות
- אתם מבצעים עיבוד נרחב, קבוע של נתונים אישיים
- אתם מעבדים נתונים בקטגוריות מיוחדות
התקנה לא מחייבת אתכם לשכור דפו במשרה מלאה. בהתאם לארגון, הדפו יכול לעבוד במשרה חלקית או מלאה.
ה-GDPR מטעין שישה תפקידים עיקריים לדפו:
8. קבע את הרשות המפקחת שלך
על פי פרק 6, כל מדינה חברה באיחוד האירופי חייבת להקים רשות ציבורית עצמאית אחת או יותר האחראית למעקב אחר ציות ל-GDPR.
נקראת גם רשות להגנת נתונים (DPA), הרשות המפקחת הרלוונטית תשמש כצור קשר ראשי לכל השאלות הקשורות ל-GDPR בארגון שלך.
נכון, רשות להגנת נתונים (DPA) תשמש כצור קשר ראשי לכל השאלות והפניות הקשורות ל-GDPR בארגון שלך.
הסמכויות להגנה על פרטיות (DPA) מצופות ל:
- לפקח על יישום ה-GDPR
- לספק ייעוץ מומחה בנושאי הגנת נתונים
- לטפל בתלונות הקשורות להפרות GDPR
- להטיל קנסות על מעבדים ומבקרים בגין אי-ציות
תוכלו למצוא רשימה של דפ"א רלוונטיים ב-האתר של מועצת הגנת הנתונים האירופאית. ארגונים שנמצאים מחוץ לאיחוד האירופי יכולים לפנות ל-המפקח על הגנת הנתונים האירופי (EDPS) כגוף הפיקוח שלהם.
למידע נוסף על
9. דיווח מיידי על הפרות נתונים
סעיף 33 של ה-GDPR מחייב כל שולט בנתונים להודיע על הפרת נתונים אישיים תוך 72 שעות מגילויה, אלא אם כן האירוע אינו צפוי לפגוע בזכויות ובחופשיות של הנושאים בנתונים.
הרגולציה קובעת גם כי מעבדי נתונים חייבים להודיע לשולטי הנתונים על הפרות נתונים אישיים אם כאלה קורות. אם יש לכם צדדים שלישיים עם גישה לנתונים רגישים, דאגו שהם יהיו מודעים לדרישה זו של ה-GDPR.
ההודעה שלכם לרשויות המפקחות צריכה לכלול:
- תיאור של טיב ההפרה של נתוני אישי
- קטגוריות והמספר המשוער של נושאי הנתונים ורשומות אישיות שהושפעו
- ההשלכות האפשריות של הפרת הנתונים
- אמצעים שננקטו על ידי השולט או אמצעים שהוא מציע לנקוט בהם כדי לטפל בהפרת הנתונים האישיים ולהפחית את ההשלכות האפשריות
- פרטי קשר של קצין הגנת המידע או אדם אחר שיכול לספק מידע נוסף
ודא שאתה מתעד את פרטי כל ההפרות של אבטחת נתונים אישיים ואמצעים שננקטו בהן, שכן זה עשוי לעזור לך להוכיח את הציות שלך ל-GDPR.
10. חנך את הצוות שלך על עיבוד נתונים מאובטח
כדי למזער את הסיכונים של שימוש לרעה בנתונים, דליפות נתונים והפרות GDPR, יש לוודא שכל העובדים שלך מודעים לדרישות ה-GDPR, איומים פוטנציאליים בתחום הסייבר, פרטיות נתונים אישיים והשלכות אפשריות של חוסר תאימות.
תוכל להבטיח מודעות נכונה לעיבוד נתונים על ידי ארגון סדנאות הכשרה סדירות עבור העובדים שלך. כדאי לעדכן את חומרי ההכשרה באופן שוטף ככל שמופיעים איומי סייבר חדשים. כמו כן, חשוב להציג דוגמאות רלוונטיות של הפרות אבטחת מידע לעובדים ולדון בתרחישי תגובה אפשריים לאירועים.
חשוב לתקשר עם הצוות שלך לא רק לגבי אמצעי אבטחת הסייבר הנכונים, אלא גם לגבי הסיבות ליישום שלהם. ייתכן שהעובדים לא יבינו חלק מהבקרות או ההליכים בתחום אבטחת המידע וימנעו מהם לטובת נוחות אישית.
למידע נוסף על
הצייתות ל-GDPR מחייבת ארגונים להשקיע הרבה זמן ומאמץ בחיזוק אמצעי הגנת המידע שלהם – לא לדבר על סקירת כל תהליך העבודה שלהם כדי לוודא שנתונים אישיים נאספים, מאוחסנים ומעובדים בצורה מאובטחת ושכל העובדים פועלים בהתאם למדיניות האבטחה.
למרבה המזל, כמה משימות להבטחת ציות ל-GDPR יכולות להתבצע אוטומטית או להיות מוּפשטות בזכות תוכנות ייעודיות ל-ציות ל-GDPR.
שימוש ב-Syteca להבטחת ציות ל-GDPR
Syteca היא פלטפורמת ניהול סיכון פנימי בכל מחזור החיים, שמונעת, מזהה ומפריעה לאיומים פנימיים. הפונקציונליות הנרחבת של Syteca יכולה לעזור לך לעמוד בדרישות ה-GDPR המפורטות במאמרים 5, 24, 32, 33, 35, ו-39.
Syteca יכולה לעזור לך להשיג עמידה בדרישות ה-GDPR ולשפר את אבטחת הארגון שלך על ידי מתן היכולות הבאות:
ניטור פעילות משתמשים כדי להבטיח שנתוני אישי של נושאי נתונים בארגון שלך מעובדים בצורה הוגנת, חוקית ובטוחה על ידי הענקת יכולות לך:
- ניטור פעילות של עובדים, משתמשים בעלי הרשאות, וקבלני צד שלישי
- הקלטת פעילויות עיבוד נתונים בפורמט וידאו וצפייה בהם בנגן נוח דמוי יוטיוב
- חיפוש במושבים שננוטרו באמצעות מטה-נתונים עשירים כמו אתרים שנבקרו, אפליקציות ששימשו, מקשות שהוקלדנו ועוד
- ניטור, שליטה, וחסימת התקני USB מחוברים
ניהול גישה עם הרשאות מיוחדות מסייע לשלוט ולבצע אבטחה על הגישה לנתונים אישיים רגישים ומשאבים על ידי כך שתוכל:
- אמת את זהות המשתמשים בעזרת אימות דו-שלבי
- הבחן בין משתמשים בחשבונות משותפים בעזרת אימות משני
- אוטומט ואל תנהל את ניהול הסיסמאות בצורה מאובטחת
- צפה וניהול בצורה מפורטת את זכויות הגישה של כל המשתמשים בתשתית שלך
- הענק למשתמשים גישה זמנית לנתונים רגישים
התראות ותגובה לאירועים מאפשרת לך לזהות ולמנוע אירועי אבטחה פוטנציאליים בזמן, על ידי מתן אפשרות לך:
- הגדר התראות מוגדרות מראש או בהתאמה אישית על סמך אירועים חשודים כמו אתרי אינטרנט שנבדקו, מילות מפתח שהוקלדו, יישומים שנפתחו, ומכשירים USB מחוברים
- קבל התראות מייל מיידיות כאשר התראה מופעלת
- סקור סשן של משתמש חשוד בזמן אמת כדי לאשר הפרת אבטחה
- הפסק באופן אוטומטי או ידני את ההתנהגות של משתמש חשוד על ידי סיום תהליך או חסימת הסשן של המשתמש
- גלה התנהגות לא רגילה בעזרת מודול אנליזת התנהגות משתמשים וגופים (UEBA) המבוסס על בינה מלאכותית
ביקורת ודיווח משודרגים ב-Syteca יכולים לעזור לך להראות שהנתונים מעובדים בהתאם לדרישות ה-GDPR על ידי מתן אפשרות לך:
- לחלץ מידע על פעילות המשתמש באמצעות סדרת דוחות מותאמים אישית
- ליצור נתיב ביקורת מלא ובלתי ניתן לשיבוש של כל פעולות המשתמש בתוך כל מושב מפוקח
- לייצא נתונים בפורמט קובץ עצמאי מוגן לצורך חקירה ופעילויות פורנזיות
עם כל סט התכונות הנרחב הזה, Syteca יכולה לעזור לך לעמוד בדרישות של תקני הגנה על נתונים אחרים, חוקים ורגולציות, כגון NIST 800-53, SWIFT CSP, HIPAA, PCI DSS, ו-FISMA.
מסקנה
רשימת הבדיקות שלנו לעמידה בדרישות הגנת המידע יכולה לעזור לך לעמוד בדרישות העיקריות של ה-GDPR, לבחור כלים סייבר נכונים, ולשפר את אמצעי הגנת המידע הכוללים שלך.
על ידי בחירה ב-Syteca, תוכל/י לאוטומט תהליכי ניטור ודיווח בחברה שלך ולפשט את ההתקדמות לעמידה ב-GDPR. בנוסף, פונקציות ניהול הסיכון הפנימי של Syteca יכולות לעזור לך לאבטח גישה לנתונים רגישים, לזהות מיד פעילות חשודה, ולטפל באיומים פוטנציאליים לפני שהם הופכים לבעיה.
