תקנת הגנת המידע הכללית (GDPR) היא החוק השולט להגנה על מידע ופרטיות ברחבי האיחוד האירופי (EU). בפוסט זה תגלו מדוע ה-GDPR יושם, על אילו סוגי מידע הוא מגן ומהם העקרונות המרכזיים שלו.
המשך לקרוא לקבלת הבנה מלאה של ה-GDPR, כיצד אי ציות יכול להשפיע על הארגון שלך, ואילו צעדים עליך לנקוט כדי להבטיח ציות.
מהו ה-GDPR?
ה-GDPR הוא תקנת פרטיות נתונים אשר יושמה ברחבי האיחוד האירופי ב-25 במאי 2018. היא קובעת סטנדרטים מקיפים המסדירים כיצד ארגונים חייבים לטפל במידע האישי של אנשים באיחוד האירופי, מאיסוף נתונים ועד אחסון ועיבוד.
| מַטָרָה |
|---|
| מטרת ה-GDPR היא לחזק את זכויותיהם של יחידים באיחוד האירופי על המידע האישי שלהם וליצור עקביות בתקני הגנת מידע בכל מדינות האיחוד האירופי. |
| תְחוּם |
|---|
| ה-GDPR חל על ארגונים המעבדים את הנתונים האישיים של אנשים הנמצאים באיחוד האירופי, ללא קשר למקום שבו נמצא הארגון. זה חל על ארגונים מחוץ לאיחוד האירופי אם הם מציעים סחורות או שירותים לאנשים פרטיים באיחוד האירופי או עוקבים אחר התנהגותם. |
ההיסטוריה מאחורי ה-GDPR
לפני ה-GDPR, הנתונים האישיים של אנשים שנמצאים באיחוד האירופי היו מוגנים על ידי ההנחיה להגנה על נתונים . חקיקה זו נחקקה באוקטובר 1995, כאשר המסחר האלקטרוני רק החל להתפתח. בשנת 2012, מועצת האיחוד האירופי החלה בדיונים בנוגע לחיזוק חוקי פרטיות המידע. המהלך הזה בא בתגובה למספר ההולך וגדל של פרצות מידע ברחבי העולם ולביקורת של תאגידים על הניהול הלקוי שלהם בנתוני המשתמשים.
מנהיגי האיחוד האירופי שאפו להציג תקנה שתביא לעקביות לחוקי הפרטיות בין המדינות החברות, תוך התייחסות לדרכים שבהן עסקים מודרניים מאחסנים, אוספים ומעבירים נתונים אישיים. לאחר כמעט ארבע שנים של פיתוח, האיחוד האירופי סיים את ה-GDPR וחייב את הגופים הנוגעים בדבר לעמוד בדרישותיו עד מאי 2018.
על אילו נתונים ה-GDPR מגן?
סוגי הנתונים GDPR מגן:
- נתונים אישיים – כל מידע הקשור לאדם טבעי מזוהה או ניתן לזיהוי. זה כולל מזהים ישירים, כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון, או אחד או יותר גורמים ספציפיים לזהותו הפיזית, הפיזיולוגית, הגנטית, הנפשית, הכלכלית, התרבותית או החברתית של אותו אדם.
- קטגוריות מיוחדות של נתונים אישיים – נתונים הדורשים הגנה נוספת במסגרת GDPR בשל רגישותם. זה כולל מידע על מוצאו הגזעי או האתני של אדם, דעות פוליטיות, אמונות דתיות או פילוסופיות, חברות באיגוד מקצועי, נתונים גנטיים, נתונים ביומטריים המשמשים לזיהוי, מידע בריאותי, חיי מין או נטייה מינית.
עקרונות הליבה של ה-GDPR
ה-GDPR בנוי על קבוצה של עקרונות מפתח שנועדו להגן על הנתונים האישיים של הפרט ולהבטיח שימוש אחראי בהם. העקרונות הם כדלקמן:
- חוקיות, הוגנות ושקיפות – ארגונים חייבים לעבד נתונים אישיים באופן חוקי והוגן, תוך מתן שקיפות מלאה ליחידים לגבי האופן שבו הנתונים שלהם נאספים, משתמשים בהם ומשתפים אותם.
- הגבלת מטרה – ארגונים יכולים לאסוף רק נתונים המשרתים מטרות ספציפיות, חוקיות, וכל עיבוד נוסף חייב להישאר בקנה אחד עם המטרות הראשוניות הללו.
- מזעור נתונים – ארגונים חייבים להבטיח שרק נתונים חיוניים הנדרשים למטרות ספציפיות יתקבלו, תוך הימנעות מאיסוף מידע מיותר או לא רלוונטי.
- דיוק – ארגונים אחראים לשמירה על דיוק הנתונים האישיים ועליהם לתקן במהירות כל שגיאה או מידע מיושן.
- הגבלת אחסון – ארגונים חייבים לשמור את הנתונים רק למשך הזמן הנדרש למימוש מטרתם, ולאחר מכן עליהם למחוק אותם.
- יושרה וסודיות – ארגונים אחראים לשמירה על מידע אישי על ידי שימוש באמצעים יעילים למניעת גישה בלתי מורשית, שיבוש, אובדן או נזק.
- אחריות – ארגונים אחראים לעמידה בעקרונות ה-GDPR והפגנת תאימות באמצעות תיעוד וביקורות מתאימים.
עקרונות אלה משמשים כבסיס לפעילויות עיבוד נתונים תואמות בתוך האיחוד האירופי ומחוצה לה.
מה אם אתה לא מציית?
קודם כל, אתה צריך להבין אם ה-GDPR משפיע על הארגון שלך. בעיקרון, הארגון שלך מחויב לציית ל-GDPR אם הוא:
- פועל בכל מדינה חברה באיחוד האירופי.
- מעבד את הנתונים האישיים של אנשים הנמצאים באיחוד האירופי, ללא קשר למיקומו של הארגון.
לרשימה המלאה של המדינות המכוסות על ידי GPDR, עיין במאמר ייעודי זה .
אם הארגון שלך נופל בגדר ה-GDPR אך אינך עומד בדרישותיו, אתה עלול לעמוד בפני עונשים משמעותיים. הקנסות על הפרת ה-GDPR מתחלקים לשתי קטגוריות:
| רמות העונש על הפרות GDPR | |
|---|---|
| רמה 1 |
עבור הפרות המפורטות בסעיף 83(4) , הרשויות יכולות להטיל קנסות של עד 10 מיליון אירו או 2% מסך המחזור השנתי העולמי של שנת הכספים הקודמת, לפי הגבוה מביניהם. |
| רמה 2 |
בגין הפרות חמורות במיוחד כפי שמופיעות בסעיף 83(5) , ארגונים עלולים לעמוד בפני קנסות של עד 20 מיליון אירו או 4% מסך המחזור השנתי העולמי של שנת הכספים הקודמת, הגבוה מביניהם. |
בנוסף לקנסות, הארגון שלך עלול להיתקל בנזק משמעותי במוניטין, שעלול לגרום לאיבוד אמון והכנסות לקוחות. אי ציות ל-GDPR עשויה גם להשאיר את הדלת פתוחה לפרצות מידע, מה שיוביל לתביעות משפטיות נגד הארגון שלך מאנשים או ישויות שנפגעו.
כיצד לציית ל-GDPR?
עמידה ב-GDPR דורשת גישה מקיפה. השלבים הבאים יכולים לעזור לך להתחיל את המסע שלך לקראת תאימות ל-GDPR:
9 שלבים להשגת תאימות ל-GDPR
1. דעו אילו נתונים אתם אוספים
התחל בזיהוי הנתונים האישיים שהארגון שלך אוסף. מלאי מכל הסוגים, מנתוני לקוחות ועד מידע עובדים, ומפה היכן הוא מאוחסן וכיצד הוא מעובד. סווגו נתונים לפי עד כמה הם רגישים וכמה קל לזהות אדם עם המידע הזה. מיפוי וסיווג יקלו על ההגדרה באילו אמצעים עליך להשתמש כדי להגן על סוגי נתונים ספציפיים.
2. לערב את כל בעלי העניין
צור מעורבות של כל המחלקות ברחבי הארגון שלך, מ-IT ומשפטים ועד שיווק ומשאבי אנוש, במאמצי הציות ל-GDPR שלך. על ידי טיפוח תרבות של מודעות להגנה על מידע, אתה מבטיח שכולם מבינים את תפקיד הצוות שלהם בשמירה על תאימות ל-GDPR, כך ששום מידע אישי רגיש לא יתעלם.
3. למנות DPO
מנה עובד קיים או שכור מישהו מחוץ לארגון להיות קצין הגנת המידע שלך (DPO). תפקידו של ה-DPO הוא להבטיח שהארגון שלך יעבד את הנתונים האישיים של צוות, לקוחות, ספקי שירותים ואנשים אחרים בהתאם לכללי הגנת הנתונים הרלוונטיים. גם אם מינוי DPO אינו חובה עבור הארגון שלך, שקול לעשות זאת כדי לחזק את אסטרטגיית הגנת הנתונים שלך .
4. הערכת סיכונים באופן קבוע
הערכות סיכונים קבועות יכולות לעזור לך לזהות נקודות תורפה פוטנציאליות שעלולות לסכן את אבטחת המידע. הערך את פעילויות עיבוד הנתונים, המערכות ושרשרת האספקה שלך כדי לזהות נקודות תורפה כלשהן במסגרת הגנת הנתונים שלך. זה יעזור לך לזהות ולטפל בפערים באבטחת מידע.
5. צור תוכנית להגנה על נתונים
פתח מסמך מקיף המתאר כיצד הארגון שלך מטפל בנתונים אישיים, כולל נוהלי איסוף, עיבוד, אחסון ומחיקה. ציין את האמצעים שהארגון שלך נוקט או ינקוט כדי לאבטח נתונים. עדכן באופן קבוע תוכנית זו כדי לשקף שינויים בשיטות עיבוד הנתונים שלך ועדכונים לדרישות הרגולטוריות .
6. אמצו אמצעי אבטחת מידע נאותים
ודא שלארגון שלך יש גם אמצעי הגנה טכניים וגם ארגוניים כדי ליישם את תוכנית הגנת הנתונים שלך. החל אמצעי אבטחה חזקים כמו אימות רב-גורמי , ניהול גישה , ניטור פעילות משתמשים , הצפנת נתונים, חומות אש וגיבויים של נתונים.
7. תיעוד פעולות תאימות
שמור תיעוד קפדני של הפעולות שהארגון שלך נוקט כדי להבטיח תאימות ל-GDPR. עקוב אחר זרימות הנתונים ברחבי הארגון שלך, התוצאות של הערכות סיכונים, אמצעי האבטחה שאתה מיישם והדרכת הצוות שאתה מספק. תיעוד מתוחזק היטב עוזר לך להוכיח את אסטרטגיות התאימות שלך במהלך ביקורת.
8. תוכנית תגובה לאירוע
תוכנית תגובה מוכנה היטב לאירועים מאפשרת לך לטפל במהירות וביעילות בכל פריצת מידע . תוכנית זו צריכה לתאר את הצעדים הנדרשים לאיתור, להכיל ולצמצם אירועי אבטחת סייבר תוך הבטחת תקשורת עם בעלי עניין רלוונטיים. תוכנית תגובה ברורה יכולה לסייע במניעת הסלמה של אירועים קטנים ולהבטיח שהארגון שלך מנהל הפרות בהתאם לדרישות ה-GDPR.
9. דווח על פרצות נתונים בזמן
על פי ה-GDPR, הארגון שלך נדרש לדווח על כל הפרת נתונים לרשות הפיקוח הרלוונטית בתוך 72 שעות לאחר זיהויה. בדוח שלך, פרט את הפרטים של הפרת הנתונים, כולל המספר המשוער של רשומות אישיות שהושפעו, ההשפעה הפוטנציאלית והצעדים שאתה נוקט כדי לצמצם את ההשלכות. בנוסף, ספק מידע ליצירת קשר עבור ה-DPO שלך או נציג מוסמך שיכול לספק פרטים נוספים.
Syteca היא פלטפורמת אבטחת סייבר שיכולה לעזור לך לייעל את תאימות GDPR על ידי כך שתאפשר לך:
- הגן על נתונים רגישים על ידי ניהול גישה לנקודות קצה קריטיות
- עקוב אחר האופן שבו עובדים וצדדים שלישיים מעבדים נתונים אישיים רגישים
- זהה במהירות והגיב לאיומי אבטחה
- עשה שם בדוי לנתונים האישיים של העובדים שלך
רוצה לנסות את Syteca? בקש גישה להדגמה המקוונת!
ראה מדוע לקוחות מ-70+ מדינות השתמש כבר במערכת Ekran.
