GDPR
רגולציית GDPR הינה אוסף של הוראות מחייבות שהוסדרו על ידי הפרלמנט האירופי במטרה להגן על פרטיות המידע בכל הנוגע לעיבוד נתונים אישיים של תושבי האיחוד האירופי. הרגולציה מתייחסת לאיסוף, עיבוד, שמירה והעברה של נתונים אישיים הנוגעים לאנשים פרטיים וקובעת כללים אחידים לשמירה והגנה על פרטיות נשוא המידע. הרגולציה נועדה לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו ע"י ארגונים מכל סוג שהם (חברות פרטיות וציבוריות, עמותות, וגופים ממשלתיים) למעט מקרים בהם השימוש במידע נעשה לצרכים אישיים, או לצורכי חקירה ומניעת עבירות פליליות ולצורכי ביטחון לאומי. מטרת הרגולציה היא לאפשר עיבוד ושמירה של מידע אישי בצורה מבוקרת זאת באמצעות החלת כללים משפטיים ברי אכיפה המתייחסים לכל שלב ושלב בתהליכי זרימת המידע.
הצטרפו לאלפי לקוחות מרוצים ותהנו מליווי מקצה לקצה ברמה הגבוהה ביותר במסגרת לוחות זמנים קצרים במיוחד
חברת DNA מספקת פתרון כולל ומקיף (360) ומתמקדת בשלושה ורטיקליים עיקריים שנועדו לתת מענה שלם ומקיף עבור כלל דרישות הרגולציה :
- משפטי - יועץ משפטי מטעמנו יבצע סקר חשיפה משפטי ויספק מענה עבור כל הסוגיות המשפטיות בהקשר של הגנת הפרטיות
- ארגוני - יועץ אבטחת מידע בכיר מטעמינו יספק מענה עבור דרישות אבטחת מידע, כגון ביצוע סקרי סיכונים, הטמעת נהלים ובקרות, הדרכות אבטחת מידע ועוד.
- טכנולוגי - מומחי הטכנולוגיה של DNA יספקו מענה עבור דרישות טכנולוגיות כאלה ואחרות, כגון הטמעת מערכות הגנה (firewall, antivirus) קונפיגורציה של מערכות קיימות, ביצוע מבדקי חדירות ועוד.
בבסיס רגולציית ה-GDPR עומדים העקרונות הבאים:
lawfulness of processing and purpose limitation: השימוש במידע יעשה בהתאם להסכמות שנעשו מול נשוא המידע כך שכל הפעולות הנעשות במידע חייבות להתאים לאופן שבוא הן תוארו לנשוא המידע, לדוגמה אופן האיסוף, אחסון, ועיבוד הנתונים לרבות מטרת השימוש ופרק הזמן שצוין.
Data minimization: מטרת ה-GDPR היא להגביל את תהליך איסוף הנתונים למינימום הדרוש. הנתונים האישיים שייאספו צריכים להיות מתאימים, רלוונטיים ומוגבלים למה שנדרש ביחס למטרות שלשמן הם מעובדים. כאן המקום לציין שתחת ה-GDPR נדרש למעשה להצדיק את כמות הנתונים שנאספו, לצורך כך אנו נדרשים לעצב מדיניות נאותה ולתעד אותה.
Accuracy: יש לוודא כי הנתונים האישיים הינם מדויקים ומעודכנים ובמידת הצורך להבטיח מחיקה מיידית של נתונים אישיים שגויים.
Storage limitations: שמירת הנתונים תעשה לתקופה הכרחית ומוגבלת, עיקרון זה מתייחס למזעור נתונים, על הארגון להגדיר את תקופת השמירה עבור הנתונים האישיים לתקופה הנחוצה ולמטרות ספציפיות שהוגדרו מראש.
Integrity and confidentiality: עיקרון היושר והסודיות מחייב את הארגון לנהל מידע אישי בצורה הולמת ולהבטיח אבטחה והגנה מפני עיבוד לא חוקי, אובדן מקרי, השמדה של מידע וכדומה.
Accountability: החקיקה מחייבת תיעוד יסודי של כל נושא המדיניות המסדירה איסוף ועיבוד נתונים. כל שלב בניהול הנתונים נדרש להיות מנוסח בקפידה ולהופיע במסמך רשמי. בנוסף, על הארגון להיות מסוגל להציג את המסמכים המוכיחים את הציות ל-GDPR בהתאם לדרישות מטעם הרשויות המבקשות זאת.
על מי חלה הרגולציה?
הרגולציה חלה על כל ארגון וכל גורם גם אם מקום מושבם מחוץ לגבולות האיחוד האירופי, ובלבד שהם מעבדים נתונים הנוגעים לתושבי האיחוד האירופי. הרגולציה חלה על כל גורם השולט בנתונים (Data Controller) וקובע את מטרות איסוף המידע וכן חלה על כל גורם המעבד את הנתונים (Data Processor), במקרה של Data Controller קיימות חובות מוגברות.
מהו מידע אישי?
מידע אישי הינו מידע אשר על פיו ניתן לזהות אדם מסוים. המידע עשוי לכלול כמעט כל פרט, החל משם האדם, כתובתו, כתובת הדואר האלקטרוני, פרטי חשבון בנק, פוסטים ברשתות חברתיות, מידע רפואי, כתובת IP ועוד.
האם הרגולציה חלה על חברה/עסק של אדם אחד?
אכן, הרגולציה חלה על כל גורם המעבד ו/או שומר מידע אישי, עם זאת דרישות הרגולציה משתנות בהתאם לסוג המידע, כמות המידע, מספר מורשי גישה וכדומה.
כמה זמן אורך תהליך הטמעת הרגולציה?
תהליך ההטמעה נע בין חודש אחד לשלושה חודשים, תלוי בלא מעט משתנים כגון; גודל החברה, תחום פעילות, סוג המידע וכדומה.
כמה זמן אצטרך להקדיש לטובת התהליך?
כמות הזמן הנדרשת משתנה מארגון לארגון, כאן המקום לציין שחברת DNA מספקת מעטפת ליווי מלאה הכוללת הטמעה יסודית ומלאה של כלל דרישות הרגולציה, לרבות הכנה והשלמה של כלל התוצרים והמסמכים הנדרשים.
ליווי התהליך בהובלת עורך דין מומחה לענייני הגנת הפרטיות בשילוב יועץ אבטחת מידע בעל הסמכת CISO
ליווי מקצה לקצה, החל משלב המיפוי ועד לעמידה מלאה בכל דרישות החוק
תוצרים ברמה הגבוהה ביותר
התחייבות ללוחות זמנים קצרים
מחירים תחרותיים
תהליך ההטמעה: GDPR
הבנת המבנה הארגוני פעילות עסקית ותהליכי עבודה, מיפוי תהליכי זרימת מידע והאמצעים הטכנולוגיים (תוכנה וחומרה) המשמשים למטרה של שמירה והעברת מידע.
ביצוע סקר חשיפה משפטי נרחב בו נזהה את כלל ההקשרים המשפטיים החלים על הארגון לרבות סקירת חומר משפטי רלוונטי (בנושא פרטיות המידע) המצוי בחברה והכנת מסמך מסכם המפרט את כל דרישות החוק החלות על הארגון.
ריכוז כלל המשמעויות המשפטיות לכדי תכנית עבודה מסודרת הכוללת הטמעה מלאה של כל דרישות החוק החלות על הארגון הן בפן המשפטי והן בפן הארגוני / טכנולגי, לרבות כתיבת מדיניות הגנת הפרטיות, הכנת הסכמי העברת מידע, ביצוע סקרי סיכונים, הכנת סט נהלים ובקרות, כתיבת תכנית המשכיות עסקית והתאוששות מאסון (BCP, DRP), ביצוע הדרכות בנושא אבטחת מידע ועוד.
ביצוע מבדק פנימי – סקירה של כלל הפעולות שבוצעו במסגרת התהליך ווידוא השלמת המשימות בהתאם לנדרש, הכנת מסמך מאת היועץ המשפטי המצהיר כי הארגון עומד בדרישות החוק החלות עליו ומתאר את הצעדים שבוצעו לטובת הגנת הפרטיות ואבטחת המידע בארגון.
ליווי התהליך בהובלת עורך דין מומחה לענייני הגנת הפרטיות בשילוב יועץ אבטחת מידע בעל הסמכת CISO
ליווי מקצה לקצה, החל משלב המיפוי ועד לעמידה מלאה בכל דרישות החוק
תוצרים ברמה הגבוהה ביותר
התחייבות ללוחות זמנים קצרים
מחירים תחרותיים
