מתכוננים ל-GDPR: מה חייבות לדעת חברות שמנהלות קשרים עסקיים באירופה?

בחודש מאי ייכנס לתוקף החוק החדש שתוכנן להגן ולחזק את הפרטיות של כלל אזרחי הקהילה האירופית. החוק החדש דורש מהעולם העסקי להתכונן היטב ולאמץ טכנולוגיות חדשות. מה הם הסעיפים המרכזיים שלו ואיך מתחילים להתכונן כדי לשמור על רצף עסקי מבלי לקבל קנסות?

 Thomas Jackson/ Getty Images Israel

מאת תום רוזן

חוק ה-GDPR ייכנס לתוקף במאי 2018 וישנה את מהלך העבודה של חברות שמנהלות קשר עסקי עם אזרחים, ישויות אירופיות או כל data subject שצורך שירותים כל עוד הוא באירופה. החוק החדש תוכנן להגן ולחזק את הפרטיות של כלל אזרחי הקהילה האירופית, והוא מצריך מהעולם העסקי להתכונן היטב ולאמץ טכנולוגיות חדשות.

אחת הסיבות המרכזיות לחקיקה החדשה, המרחיבה באופן משמעותי את החקיקה הקודמת, היא היקפי עיבוד המידע האישי בקרב חברות ענק כגון פייסבוק, גוגל ומיקרוסופט. מידע אישי הפך להיות מצרך מידע מבוקש וחברות רבות עושות בו שימושים מסחריים רבים, בין אם במחקרים שנועדו לחזות התנהגות צרכנית עתידית ובין אם בהצעות שיווקיות מותאמות אישית.

קנס של עד 20 מיליון אירו

מי צריך להתכונן? החוק מתייחס לכל עסק או ארגון מהמגזר הציבורי אשר מחזיקים במידע אישי או בפרטי התשלום של אזרחי האיחוד האירופי. על פי החוק, חברות יידרשו להיות מסוגלות להגיע באופן ישיר אל המידע האישי של הלקוח כדי לתקנו או למחוק אותו. כלומר ללקוחות תישמר “הזכות להישכח”, וכל בקשה של לקוח למחוק את הנתונים שחברה מחזיקה עליו תיענה בחיוב.

אמנם זהו רק מרכיב אחד בחוק המורכב הזה, אבל זהו מרכיב משמעותי, משום שחברה השואפת לציית לחוק תידרש לפתח תהליכי עבודה המאפשרים ציות פשוט לבקשות מהסוג הזה, ועבור רבים המשמעות היא צורך בשינוי דיגיטלי. ומה יקרה אם היא לא תוכל לעמוד בדרישה הזו? אי ציות לחוק יכול לגרור קנסות של עד 20 מיליון אירו.

כשכל כך הרבה מונח על כף המאזניים, עדכון מדיניות האבטחה מוקדם ככל האפשר הוא צעד חיוני. חלק מהמנגנונים שניתן ליישם באופן מיידי כוללים תכנון אבטחת פרטיות ברמת ה-SDLC (מחזור פיתוח התוכנה), אנונימיות-דמה, מנגנוני Opt-Out, עריכת נתונים והרס נתונים ישנים או מיותרים, והחדשות הטובות הן שמי שפועל כבר עכשיו בכפוף לתקן ISO 27001 כבר עומד בחלק מהדרישות שנקבעו בחוק ה-GDPR.

באילו עוד נושאים מרכזיים עוסק החוק:

– נדידת נתונים: נושא זה משפיע על העברת מידע באינטרנט הפתוח, כפי שעשוי לקרות בסביבת המחשוב הנייד.
– הסכמת המשתמש: המשתמשים חייבים לאשר את השימוש במידע שלהם. נושא זה עשוי לדרוש מספר טפסים ותלוי באופן שבו הארגון שלך משתמש במידע הזה.
– הרס המידע: הרס המידע טומן בחובו סיכון משמעותי, בעיקר בכל הקשור להתמודדות עם תדפיסי מידע (ניירת). אם חברה משתמשת בשירות של השמדת דאטה (המסווג כמעבד מידע תחת ה-GDPR), עליה לוודא שהוא מציית לתקנות ה-GDPR.
– סקירת קטגוריות מיוחדות: נושא זה כולל מידע המתייחס לטווח רחב של משתנים, לרבות נתוני עובדים ומשאבי אנוש, מידע הקשור בילדים ותיקים רפואיים. תחום זה מורכב למדי, אבל הוא שואף להבטיח את פרטיותם של בעלי המידע שנאסף.
– יישוב סכסוכים: סעיף 65 לחוק קובע את התהליך ליישוב סכסוכים באמצעות מועצת המנהלים, אם הגוף המפקח איתר הפרה כלשהי.
– הסכמה לשימוש בקוקיס: ה-GDPR קורא תיגר על חוקי ההסכמה לשימוש בקוקיס הקיימים היום באיחוד האירופי. ה-GDPR רואה בקובצי קוקיס מזהה ייחודי, ולכן כללי ההסכמה חלים גם עליהם. אם הנתונים בקובצי הקוקיס משמשים ליותר ממטרה אחת, ייתכן כי תידרש הסכמה נפרדת לכל שימוש.

איך עומדים בתנאים?

חיזוק אבטחה פנימית הוא תמיד רעיון טוב; ארונות נעולים וחדרי תיוק הם התחלה טובה, אבל מודרניזציה של אחסון ואבטחת מידע וביסוס של פתרון אחסון דיגיטלי מאובטח הם בהחלט הכרחיים, בעיקר עבור עסקים קטנים ובינוניים או תאגידים. איך בדיוק עומדים בתנאים האלה ומה עוד החוק דורש מחברות שפועלות באירופה ועם אזרחים אירופיים וכיצד ניתן להתכונן כראוי? הכנו עבורכם את הנקודות המרכזיות כדי שתהיו מוכנים בזמן.

1. מיפוי וניתוח זרם המידע

כדי להבין איזה מידע הארגון מעבד, יש ליצור מיפוי זרימת מידע אשר יראה את זרימתו של המידע מנקודה אחת לאחרת – למשל, מהספק ועד השולח או מהספק ועד לקוח הקצה. מהלך זה מאפשר לזהות כל שימוש בלתי רצוי אפשרי במידע, ולכן מחייב לזהות אילו צדדים יבצעו שימוש במידע ולאיזו מטרה.

2. ניתוח סוג המידע

מפות זרימת המידע צריכות לכלול את סוג המידע שייאסף ואת האופן שבו הוא יישמר, למשל באמצעות טופס מקוון, הזנת מידע באופן ישיר או באמצעות הטלפון. המידע צריך להיות מנותח בהתאם לסיכון כדי שניתן יהיה לנקוט את האמצעים הנדרשים על מנת להגן עליו. היכולת לזהות את סוג המידע המאוחסן היא חיונית לצורך ביצוע הערכת הסיכונים.

3. ניתוח הבקרות המיושמות

שלב זה בוחן את בקרות הסיכון המיושמות כיום מנקודת מבט משפטית, ארגונית, פיזית וטכנית, ומאפשר לשלוט בכל סיכון מזוהה אפשרי טרם עיבוד המידע.

4. זיהוי ההיקף – מעבד או בקר

המידה שבה החברה מחויבת לחוק ה-GDPR תלויה בשאלה אם החברה נחשבת “מעבדת” (Processor) או “בקרית מידע” (Controller). מעבד מידע מטפל בנתונים בשם בקר המידע, ולכן אינו נתון למחויבויות רבות בכל הקשור לנתונים. אך למרות שבקר המידע אחראי במידה רבה לסידור המידע, מעבד המידע עדיין עשוי להיות אחראי לו אם הוא מאחסן מידע על השרתים שלו, למשל, או אם הוא מספק שירות כלשהו לצד שלישי (למשל ספק שילוח) שגם הוא עושה שימוש במידע.

5. סקירת מדיניות הפרטיות

בקרי המידע צריכים להיות יותר מדויקים בקביעת מדיניות הפרטיות שלהם. לפי חוק ה-GDPR, על חברות שהן בקריות מידע לספק מידע ברור ביחס לאופן שבו הן ישתמשו בנתוני הלקוחות. מידע זה אמור להיות תמציתי, קל להבנה ונגיש מאוד; כתוב בשפה פשוטה, כזו שגם ילדים יבינו; ומסופק ללא עלות.

6. סקירת מדיניות של צדדים שלישיים

מדיניות הפרטיות של כל צד שלישי שאיתו חברה מנהלת קשרים עסקיים צריכה לעבור סריקה, כדי לוודא שהיא כפופה לתקנות ה-GDPR על מנת למנוע שימוש בלתי מורשה בנתוני הלקוח. סעיף 28 לחוק מפרט בדיוק באיזה אופן יש לנסח את היחסים החוזיים בין הבקר למעבד.

7. סקירת הפרטיות ב-SDLC

נוסף על כל נושאי הנתונים של הלקוח שמקבלים התייחסות ב-GDPR, החוק משפיע גם על מחזור החיים של פיתוח התוכנה ועל תהליכים של כל חברת IT, השואפת לעשות עסקים או לספק מערכות מידע באיחוד האירופי. קיימות משמעויות טכניות ופונקציונליות לחוק ה-GDPR, והן דורשות מידה רבה של תכנון בשלבים הראשונים של SDLC. ככל שנושאים אלה יטופלו בשלב מוקדם יותר, כך הם יהיו פחות מורכבים ויקרים בטווח הארוך.

 

הכתבה בחסות GRSee Consulting

GRSee Consulting הינה חברה המתמחה במתן פתרונות ושירותים בתחום אבטחת המידע, פרטיות, ניהול סיכונים ותאימות עם רגולציות ותקינות.
החברה פועלת בשוק הישראלי והבינלאומי החל מ-2009 ממשרדיה בארץ ובניו-יורק. לחברה ניסיון רב בתחום אבטחת המידע והפרטיות ועובדת אל מול מאות לקוחותיה. החברה מציעה מגוון רחב של שירותי ייעוץ, מבצעת מספר רב של פרויקטי הסמכה וליווי אל מול גופים ישראליים ובינלאומיים. לפרטים נוספים לחצו כאן.

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: