ה-GDPR נכנס מחר לתוקף: מדריך למי שנזכר ברגע האחרון

ה-GDPR, תקנות הפרטיות והמידע של אירופה, נכנס לתוקף מחר. מה זה, מה ההשלכות וכיצד ניתן להיערך אליו – גם רגע לפני

מקור: Pixabay

מאת מריאוס קורטברג

ה-GDPR, התקנות הרגולטוריות החדשות להגנה על מידע, ייכנסו מחר (שישי, 25.5) לתוקף באירופה. רגע לפני – בואו קצת נסביר על מה מדובר.

עם גידול הדיגיטיזציה של העולם וההשלכות שלו על הפרטיות, החשיבות של מודרניזציה בתקנות הפרטיות הפכה להכרחית בכדי להגן על האזרח. תקנות ה-GDPR מחדשות את חוקי הגנת המידע וזכויות הפרט באינטרנט לראשונה מזה 20 שנה. תקנות ה-GDPR יחולו באופן כללי על ארגונים מכל הסוגים והגדלים, כולל עסקים גדולים וקטנים ורשויות ציבוריות. ה- GDPR  יחול בצורה רחבה גם על ארגונים שמעבדים נתונים אישיים מחוץ לאיחוד האירופי או שהם מעסיקים עובדים באיחוד האירופי.

מה בעצם הולך להשתנות?

ה-GDPR מכיל דרישות רבות לגבי האופן שבו כל ארגון אוסף, מאחסן ומשתמש במידע אישי. פירוש הדבר, בין היתר, הוא לא רק איך מזהים ומאבטחים את הנתונים האישיים במערכות אלא גם איך ארגון אמור להתאים עצמו לדרישות שקיפות חדשות, איך ניתן לזהות ולדווח על הפרות של נתונים אישיים ואיך להכשיר עובדים לעבוד עם איסוף ושימוש של נתונים אישיים.

כתוצאה מכניסת התקנות החדשות לתוקף, יאלצו ארגונים וחברות להטמיע אותן בעסק שלהם, כמו גם לשחק תפקיד מפתח ולסייע ללקוחות להתמודד עם המורכבויות שעלולות להיווצר  עקב כניסתן של התקנות לתוקף. מדובר באתגר עיסקי רחב שיקח זמן, כלים, תהליכים ומומחיות ויכול לדרוש שינויים משמעותיים לעסק ולפרקטיקות של ניהול הפרטיות והנתונים.

איך מתחילים? מההתחלה

לא מעט עבודה נדרשת בכדי להתכונן  כהלכה והזמן קצר. ראשית, יש לבדוק את נוהלי הפרטיות והנתונים של העסק כבר עכשיו. כך ניתן יהיה לנקוט בצעדים בכדי לעמוד בתקן לפני כניסת ההוראה לתוקף.
אי עמידה בתקנות ה-GDPR עשויה להיות יקרה מאוד, שכן חברות שאינן עומדות בדרישות ובהתחייבויות יצטרכו להתמודד עם קנסות כבדים ונזק למוניטין.

ניתוח GDPR מתחיל בהבנת הנתונים הקיימים ואיפה הם מאוחסנים. יש להסדיר את האיסוף, האחסון, השימוש והשיתוף של ה”נתונים האישיים”. נתונים אישיים מוגדרים בצורה רחבה מאד תחת ה GDPR. מדובר בכל מידע המקושר למזוהה או אדם טבעי שניתן לזיהוי.

מידע יכול להיות מאוחסן בלא מעט מקורות מידע בארגון ולכן נצטרך תהליך מסודר שעובר מקור מקור ומסווג את סוג המידע ומה נדרש לשנות באופן האחסון וההנגשה שלו. מקורות מידע נפוצים בארגון הם בין היתר: מסדי נתוני הלקוחות, טפסי משוב שממולאים ע”י הלקוחות, תוכן דואר אלקטרוני, תמונות, צילומי CCTV, רשומות תוכניות נאמנות, מסדי נתונים של משאבי אנוש ועוד.

המלצתי היא לחלק את התכנון וההערכות לארבעה שלבים עיקריים:

Discover→ Manage→ Protect→ Report וחוזר חלילה.

Discover

בשלב הראשון, יש לזהות את הנתונים האישיים והיכן הם מאוחסנים ברחבי הארגון.

ההתמודדות המומלצת היא ביצוע הערכת סיכונים ואבטחה, לאתר נתונים אישיים רלוונטים ולפתח תוכנית להשגת תאימות ותחזוקתה.

תחילה, הגדירו וסווגו את קטגוריות המידע האישי, סוגיו והרגישות שלו. הגדירו וסווגו תהליכים שבהם מעורב איסוף של מידע אישי בארגון, עיבוד של מידע אישי וכן שמירה שלו למידע מובנה ולא מובנה.
הגדירו תהליך רשמי לחיפוש וזיהוי של הבעלים של מידע אישי.

Manage

בשלב השני, יש לבחון כיצד לנהל את השימושים והנגישות לנתונים האישיים.

ההמלצה שלי היא לפתח, ליישם ולנהל תוכניות תאימות ע”י תכנון, קביעת תצורה ומעקב אחר המדיניות והבקרות המתאימות לנתונים והיישומים הרלוונטיים. זהו אפליקציות ארגוניות וישמו תהליך של התראה ואישור שהם עומדות בתקנות ה-GDPR. יצרו סוגי התראות ואישורים אחידים. הגדירו נוהל וחוקי אכיפה לסיווג של מידע.

Protect

לאחר מכן, יש לקבוע בקרות אבטחה בכדי למנוע, לזהות ולהגיב להפרות ופגיעות בנתונים. ההתמודדות המומלצת היא לפקח, לנתח ולפעול בהקשר של איום מודיעיני ומידע על התנהגות המשתמש בכדי לעזור בטפל ביעילות בפגיעה והפרות.

  • זהו את המערכת הכי קריטית בארגון שמכילה מידע אישי.
  • פתחו ועדכנו את מנגנוני ההתראה על אירועי אבטחה עבור הפרות חוקי המידע הארגוניים.
  • הקימו ניהול סיכונים להפרות או פגיעה במידע אישי, הן בהיבטי ניטור ותגובה.
  • פתחו או עדכנו את תכנית ההגנה והתגובה הארגונית לגבי נכסי המידע שלכם.

Report

בשלב הבא, חשוב לשמור את כל המסמכים הדרושים, ניהול בקשות נתונים ולספק הודעות הפרה. ההתמודדות המומלצת היא להעזר בסיוע על שמירת מסמכים וניהול בקשות. ולהגיב במהירות לבקשות נתונים.

  • יישמו תהליכים על מנת לעקוב אחר מעבר גיאוגרפי של נתונים אישיים
  • הקימו או עדכנו את מדיניות הפרטיות והגנת נתונים, כך שתנחה בבירור כיצד צריך להשתמש ולהגן על נתונים אישיים המאוחסנים בארגון
  • סקרו את המכשירים או המערכות שנחסמו בארגון בצורה שבועית
  • סקרו את השימוש באפליקציות הארגוניות מידי שבוע
  • חשבו אם נדרש קצין הגנת נתונים (DPO) עבורכם

לסיכום

ה-GDPR נכנס לתוקף מחר והמלאכה מרובה, אז כדאי לוודא שאתם מוכנים, שכל הספקים (תשתית, אחסון וכדומה) בהם אתם תלויים כבר שם ושאתם יודעים מה לעשות בכל מצב או אירוע שקשורים ל-DATA שלכם.

הכותב הוא מומחה פתרונות AI & DATA בחטיבת ה- SERVICES של מיקרוסופט ישראל

 

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

להגיב

3 תגובות

  1. מזהה שגיאות אוטמטי הגיב:

    לא בכדי הכותב לא פרסם את שמו – הוא תרגם את כל המאמר בגוגל טרנסלייט ושיפר קצת בהגהה.
    כמה נמוך.

  2. rsvp whatsapp הגיב:

    כתבה מאד מקיפה ומעניינת! תודה רבה :)

תגיות לכתבה: