תקנות הגנת הפרטיות ו – GDPR

מהו תקנות הגנת הפרטיות

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות בתחום אבטחת המידע.

התקנות חלות על כל המשק הישראלי ובפרט על ארגונים שבהגדרתם בעלי מאגר מידע ברמת אבטחה מסוימת, והם מבקשים להגן על המידע הרגיש המצוי במאגר.

הגנה על כלל נכסי המידע של הארגון הקשורים במידע פרטי/רפואי/עסקי/פיננסי/רגיש ואופן הציות לרגולציה והמוניטין שבנתה, ברמה הגבוהה ביותר אינה ראלית ואינה אפשרית אלא אם כן נדאג להתאימה למידת הרגישות והסיכון הנובעים בעבודה מול כל אחד ואחד מאותם גורמים. אובדן חלק מנכסי המידע על ידי ספק, שותף ו/או עובד מוטרד ופגיעה בנכסי מידע אחרים יכולים לפגוע בהתנהלות החברה בצורה אנושה.

נכסי המידע הקריטיים הינם הנכסים והתהליכים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי על ידי אותם גורמים, ייצרו נזקים משמעותיים לארגון. לכן, על הארגון למפות, להחליט ולשלוט על המידע המועבר לגורמי צד ג’ הנמצאים בעבודה שוטפת מולו ואשר יש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן ואילו בקרות הגנה יש ליישם בתהליך מולם על מנת לצמצם את הסיכון שבזליגת המידע.

במסגרת היותנו נותני שירות בתחום אבטחת מהידע מקצה לקצה נוכל ללוות אתכם בצורה מקצועית לעמידה בתקנות הגנת הפרטיות תוך ליווי למיפוי ורישום המאגרים והתנהלות מול הגופים המשפטיים.

הפרויקט של תקנות הגנת הפרטיות יכלול התייחסות לנושאים הבאים:

כתיבה או עדכון נהלי אבטחת מידע במידה וקיימים בכפוף לדרישות בחוק.

קביעת רמת מאגר בהתאם למידע המאוכסן (מיפוי ורישום המאגר): תקנות הגנת הפרטיות מפרטות מהי רמת האבטחה הנדרשת עבור כל מאגר מידע בהתאם להיקפו ולרגישות הנתונים שבו.

תקנות מחלקות את רמת האבטחה הנדרשת ל-4 קטגוריות:

  • רמת אבטחה בסיסית – הכוונה היא לכל מאגר שלא חלה עליו רמת האבטחה הבינונית או הגבוהה, ו/או מאגר מידע המנוהל בידי יחיד.
  • רמת אבטחה בינונית – מאגר מידע שמספר מורשי הגישה אליו גדול מ-10. מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדוגמת שירות דיוור ישיר, מאגר מידע בבעלות גוף ציבורי. מאגר מידע אשר אופי המידע המצוי בו רגיש ומכיל פרטים קריטיים כגון : מידע רפואי, מידע גנטי, מידע ביומטרי , מידע על נכסיו של האדם ועוד.
  • רמת אבטחה גבוהה – מאגר מידע, לרבות מאגר של גוף ציבורי, שמטרתו לאסוף מידע לצורך מסירתו לאחר. מאגר מידע על 100,000 איש ומעלה מאגר מידע המכיל מידע רגיש שמספר מורשי הגישה אליו עולה על 100
  • רמת אבטחה למאגר המנוהל ע"י יחיד – מאגר מידע המנוהל ע"י יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד וכל היותר שני בעלי השראה נוספים רשאים לעשות בו שימוש.
    • בניית תיק מאגר מידע.
    • בניית מסמך מינוי מנהל מאגר.
    • קביעת מטריצת גישה למערכות אשר מחזיקות במאגר.
    • כתיבת מדיניות פרטיות נדרשת לאתר הארגון.
    • בנית מסלול זרימת מידע של המאגר.

GDPR

General Data Protection Regulation של האיחוד האירופי או בשמן המקוצר GDPR נכנסו לתוקף במאי 2018 ומסמנות עידן חדש של הגנת מידע רגיש בעולם הדיגיטלי של היום.

זו למעשה רגולציה מחייבת של האיחוד האירופי על ארגונים המאחסנים ו/או מנתחים מידע רגיש אשר ייאלצו להתמודד עם התחייבויות כבדות יותר, ולכן חיוני לפעול כעת בכפוף לתקנות מכיוון שאי ביצוע זה עלול למשוך קנסות משמעותיים.

בדומה לחוק הגנת הפרטיות אבטחת מידע שנכנס בישראל לתוקף החל מחודש מאי 2018 גם ה GDPR מתייחס למידע אישי , לגוף המנהל אותו ולמטרה העסקית של הגוף המנהל את המידע.

כדי שתוכלו להיערך בהתאם יש שלושה דברים שעליכם לדעת, אנחנו נעשה לכם קצת סדר בבלאגן:

  1. תקנות ה-GDPR חלות על חברות ישראליות הפועלות בשוק האירופי ובמהלך השירותים שהן מספקות, הן מנהלות או עושות שימוש במידע אישי על תושבי האיחוד האירופי לדוגמה: אפליקציות ופלטפורמות למכירות ומסחר אלקטרוני, שירותי תוכנה כשירות (SAAS) לניהול/ עיבוד מידע של לקוחות קצה , שירותי ניתוח התנהגותי וצרכני, דיוור ותקשורת, מיון והשמה ועוד.
  2. התקנות כוללות דרישות חדשות שיש להיערך אליהן בהקדם.
  3. הפרה של החוק עלולה להיות כרוכה במתן קנסות כבדים.

בדומה לחוק הגנת הפרטיות הישראלי , תקנות ה-GDPR מחריגות ארגונים המחזיקים במידע אישי על אזרחי האיחוד במידה והוא לא לצרכים עסקיים , אם הוא נועד לצרכי חקירה וצרכים פליליים או לצרכי בטחון לאומי.

חשוב לדעת כי תקן ISO27001 מהווה בסיס חיוני לעמידה בתקנות הגנת הפרטיות וה-GDPR ומכסה חלק נרחב מרגולציית ה-GDPR בתוספת מספר הרחבות לצורך עמידה בתקנות הגנת הפרטיות בישראל.

בדומה לכל פרויקט המבוסס על דרישות רגולציה , נדרשת אבחנה ראשונית של המצב הקיים בארגון כדי להשלים ולעמוד על הפערים לעומת דרישות החוק. יש לבדוק קיום נהלים ומדיניות והתאמתן לדרישות התקן, הכנת ניירת משפטית, הסדר אופן הפעילות מול צד ג’ , מתן הדרכות לגורמים הרלוונטיים בארגון , מינוי אחראי מאגר , התייחסות יתרה בכל הנוגע למידע ארגוני המאוכסן בענן עוד.

היועצים שלנו זמינים עהורכם ויתנו לכם את מלוא מידע הדרוש תוך ליווי מקצה לקצה עד לעמידה בתקנות.

יועצי אבטחת המידע שלנו עם ניסיון ומוניטין של מעל כעשור עם בקיאות בדרישות החוק הישראלי וה-GDPR האירופי וינחו כל ארגון לגופו ובהתאמה מלאה לתחום הפעילות שלו.