GENERAL DATA PROTECTION REGULATION

תקנות הגנת הפרטיות – GDPR הוא חוק חדש של האיחוד האירופי הקובע סייגים וכללים בתחום אבטחת מידע והגנה על הפרטיות. החוק נכנס לתוקף במאי 2018. חברות וארגונים שהחוק חל  עליהם החלו להיערך מבעוד מועד מכיוון שדרישות החוק וההתאמות הנדרשות לביצוע כדי לעמוד בו הן רבות ומורכבות. ההשלכות של אי ציות לחוק חמורות ביותר וכוללות עונשים וקנסות כבדים.

על מי חל החוק?

תקנות הגנת הפרטיות GDPR  חלות לא רק על חברות הפועלות בתחומי האיחוד האירופי, אלא גם על חברות שפועלות בשוק האירופי ומעבדות מידע של תושבי האיחוד האירופי או מנטרות את התנהגותם. בייחוד חברות המציעות מוצרים ושירותים דיגיטליים ואוספות תוך כדי כך מידע התנהגותי ופיננסי על תושבי האיחוד.

חשוב לזכור שתקנות הגנת הפרטיות – GDPR לא מחליף את החקיקה הקיימת בתחומים ספציפיים כדוגמת שירותי בריאות, שירותים כלכליים וכיו”ב אלא מתווסף להנחיות הרגולטוריות הספציפיות לתחומים השונים.

מה החוק כולל?

תקן ISO 27001 לאבטחת מידע מכסה חלק נרחב מעקרונות תקנות הגנת הפרטיות GDPR אך ישנן מספר הרחבות של מדיניות הגנת הפרטיות:

  • דרישה למנות נציג מקומי של החברה שימצא בשטחי האיחוד האירופי(אם אין לארגון נוכחות פיזית במדינות האיחוד).
  • התאמה ועדכון חוזים ותהליכים מול ספקי משנה וצד שלישי השותפים לעיבוד המידע.
  • החמרה של תקנות אבטחת מידע הנוגעות לשירותי ענן.
  • דרישה למינוי אחראי הגנת מידע כתפקיד אחר ונוסף על אחראי אבטחת מידע.
  • עדכון נרחב לתהליכי עיבוד המידע כך שיתאימו לדרישות המידע החדשות- יישום מנגנוני קבלת הסכמה וביטול לשימוש במידע, מתן אפשרות למחיקת מידע, שינוי, ניוד מידע מספק שירותים אחד לאחר ואפשרות להתנגדות לקבלת החלטות המבוססות על עיבוד מידע אוטומטי.
  • דרישה לתיעוד מפורט של אופן עיבוד המידע והיערכות לעמידה בביקורת של הרשויות
  • חובת דיווח לרשויות האיחוד האירופי על כל תקרית אבטחת מידע (פריצה למידע או זליגת מידע).

מה הן ההשלכות של הפרת החוק?

לחוק החדש מנגנוני אכיפה יעילים ביותר. רשויות הגנת המידע האירופיות רשאיות להטיל קנס מנהלי (ללא צורך באישור בית משפט). חברה שלא תציית להוראות החוק עשויה להיקנס בסכום של עד 4% מהתוצר השנתי הגלובאלי שלה, או בעשרים מיליון אירו – לפי הגבוה מבין השניים.

בכדי לצלוח את המעבר לחוק החדש יש לעבור ולעדכן את כל הנהלים ומסמכי החברה הרלוונטיים, כך שיתאימו לתקנות החדשות ויכללו התייחסות הולמת לעקרונות הגנת המידע של החוק האירופי החדש. כמובן שאת העדכונים הנדרשים יש לערוך גם מול ספקי החברה ועובדיה באופן יסודי ומסודר.

לשירותי GDPR  שלנו לחץ כאן

 

הודעה חשובה: Privacy Shield אינו תקף עוד!

בית המשפט לצדק של האיחוד האירופי קבע ב-16 ליולי 2020, כי העברת נתונים בין האיחוד האירופי לארה”ב איננה מבטיחה הגנה מספקת על נתונים אישיים של תושבי האיחוד האירופי.

למידע נוסף לחץ כאן

רוצה להתייעץ על אתגרי GDPR בארגון שלך?