א.ה הדרכה וטכנולוגיה בע"מ

      english icon

ליצירת קשר:

054-5703242 

| info@ah-train-tech.com

מאמרים

מאמרים בנושאים הסמכות לתקנים
GDPR חוקי הגנת נתונים
חוקי הגנת הנתונים הכלליים של האיחוד האירופי 2016/679, שהתקבלו בפרלמנט האירופי, במועצת האיחוד האירופי ובנציבות האירופאית, מיועדים לחזק ולאחד את החוקים להגנה על נתונים ומידע על אנשים פרטיים בכל מדינות האיחוד. החוקים מתייחסים גם להוצאת נתונים אישיים מחוץ לאירופה.
המטרה המרכזית של החוקים היא להחזיר את השליטה על נתוניהם האישיים לאזרחי ותושבי אירופה ולפשט את הסביבה הרגולטורית בתוך אירופה לטובת עסקים בינלאומיים.
עם כניסת החוקים לתוקף ב-25 למאי 2018, הם יחליפו את הכללים הקודמים משנת 1995 . החוקים התקבלו ב-27 לאפריל 2016 ותקופת מעבר של שנתיים ניתנה לכל הגורמים להתארגנות. כיוון שאלה הם בגדר רגולציה ולא דירקטיבה, אין צורך באישור פרטני של כל מדינה והם נכנסים לתוקף בכל המדינות באופן מידי.

 

על מי חלים הכללים?

הכללים חלים על בעלי/מנהלי הנתונים ( data controller), הגוף האוסף נתונים מתושבי אירופה או המעבד (processor) ארגון המעבד את הנתונים ארגון בשם בעלי/מנהלי הנתונים ( למשל ספק שרותי ענן) או מושא הנתונים ( person) הינו תושב אירופה . בנוסף, הכללים חלים על ארגונים שבסיסם מחוץ לאירופה, אם הם אוספים או מעבדים נתונים אישיים של תושבי אירופה.
בהתאם להגדרות הנציבות האירופית, "נתונים אישיים" הם כל מידע המתייחס לפרט, בין אם הוא קשור לחייו האישיים, המקצועיים או הציבוריים. זה יכול להיות כל דבר החל משם, כתובת ביתית, תמונה, מייל ועד לפרטי בנק, פוסטים ומידע ברשת חברתית, מידע רפואי, כתובת IP ועוד. הכללים אינם חלים על גופי ביטחון לאומי ואכיפת החוק, אבל דירקטיבה נוספת עוסקת בכל הקשור בנושא החלפת מידע אישי במסגרת פעילות משטרתית ואכיפת החוק הפלילי, תוך החלפת מידע בין רשויות בתוך ומחוץ לאירופה.



מה כוללים הכללים?


דרכי אכיפה

סט כללים אחיד יחול בכל מדינת האיחוד האירופי. כל מדינה תמנה נציבות בקרה (Supervisory Authority) שתפקידה לטפל ולחקור תלונות, להטיל סנקציות אדמיניסטרטיביות על חריגות, וכד'. ארגון או עסק שיש לו כמה בסיסים במדינות אירופה, תוגדר לו נציבות מובילה "lead authority" שתשתף פעולה עם שאר הנציבויות כדי להוות תחנת שרות אחת לארגון זה באירופה.
גוף הנקרא EDPB – European Data Protection Board יתאם בין כל הנציבויות ויחליף את קבוצת העבודה הקיימת Article 29 Working Party

 

כללי אחריות ומחויבות 

הדרישה להסכמה מראש לאיסוף הנתונים נשארת ומורחבת. היא חייבת לכלול את תקופת שמירת הנתונים ומידע על אופן ההתקשרות למנהל הנתונים ולקצין הגנת הנתונים (data protection officer). 

עיבודים אוטומטיים, כולל פרופיילינג, ניתנים לערעור. לאזרחים יש זכות לערער על החלטות הנוגעות להם, גם אם נעשו על בסיס אלגוריתמי בלבד.
על מנת שיוכל להראות ציות להוראת כללי GDPR , על בעל הנתונים ליישם שיטות שמראות ציות תוך כדי העיצוב וכברירת מחדל (privacy by design and default). חלק מכללים אלה כוללים צורך בהסתרת מידע- pseudonymizing של הנתונים (הסתרת נתונים תוך אפשרות שחזור מאובטח – בניגוד ל anonymization שם נאבד לחלוטין הקשר למקור) . מידע מוסתר עדיין נחשב למידע אישי.
באחריותו של בעל הנתונים ליישם כלים יעילים (effective) כדי להראות ציות של הפעולות והתהליכים לדרישות. הדבר נדרש גם אם עיבוד הנתונים נעשה על ידי גורם חיצוני (מעבד נתונים).
כאשר מתקיימים סיכונים לזכויות ולחופש של אנשים יש לקיים תהליך של הערכת סיכונים והשפעתם (impact assessment). התהליך הנ"ל מחויב במקרים של סיכונים גבוהים ואישור של רשויות ההגנה על נתונים (Data Protection Authorities ) נדרש במקרה זה. קציני GDRP - General Data Protection Officers נדרשים לאשר ציות תוך ארגונית.

יש למנות קציני GDPR עבור:

  • כל גוף ציבורי, פרט לבתי משפט בפועלם כערכאה שיפוטית.
  • כל גוף אשר פעילותו המרכזית ( Core) של בעל הנתונים או מעבדם כולל:
    • פעילויות שמטבען ומטרתן או תפקידן, דורשת טיפול שוטף וניטור של מידע אישי בהיקף נרחב
    • עיבוד בהיקף נרחב של מידע מיוחד הקשור במידע אישי המתייחס לעבירות פליליות או אישומים כאלה ( ראה Article 9,10)


קבלת הסכמה

הסכמה מפורשת צריכה להינתן הן לאיסוף המידע והן למטרת האיסוף . ( לפי סעיף 7; כמוגדר בסעיף 4) . הסכמה עבור ילדים צריכה להינתן על ידי הורה הילד או האפוטרופוס, והיא צריכה להיות ברת בדיקה. בעלי המידע צריכים להיות בעלי יכולת להוכיח הסכמה והיא צריכה להיות ברת ביטול.


מינוי קצין GDPR

כאשר עיבוד הנתונים נעשה על ידי רשויות ציבוריות (פרט לבתי משפט או גופים משפטיים הפועלים בתפקידם השיפוטי, או בסקטור הפרטי) וכאשר מרכז הפעילות של בעלי או מעבדי הנתונים הוא טיפול שוטף וסיסטמתי של מידע על אנשים (data subjects), יש למנות אדם בעל ידע בחוקי הגנת המידע ובנוהלים המקובלים בנושא. אדם זה יסייע לבעלי ומעבדי הנתונים לנהל ולנתר את המערכות הפנימיות כדי שיצייתו לחוק. תפקידו של קצין GDPR , דומה לזה של קצין הציות (Compliance Officer). קצין GDPR צריך להיות בעל ידע ויכולת לנהל תהליכי IT, ביטחון מידע (כולל התקפות סייבר) ונושאים אחרים הקשורים להמשכיות עסקית ולאחזקת מידע אישי רגיש. הידע והכישורים כאן הם מעבר להבנת המשמעויות החוקיות והכללים בנושא.
מינוי קצין GDPR מהווה אתגר לכל הנהלה ומועצת מנהלים לאור מגוון הדרישות מהתפקיד. המחזיק בתפקיד כזה יצטרך לבנות לעצמו צוות תמיכה מקצועי והוא צריך להיות עצמאי מהארגון המעסיק אותו.
פרטים על הנושא ניתנו ב- 13 לדצמבר 2016 (revised 5 April 2017) יחד עם Google Spain SL, Google Inc. v Agencia Española de Protección de Dados, Mario Costar González.


Pseudonymisation הסתרת נתונים

GDPR מתייחס להסתרת נתונים כתהליך שבו נתונים אינם ניתנים לייחוס לאדם ספציפי ללא מידע נוסף. דוגמה לכך היא הצפנה - כאשר לא ניתן לפענח את המידע ללא מפתח ההצפנה. GDPR דורש שהמידע הנוסף, כגון מפתח ההצפנה, יוחזק במקום נפרד מהנתונים עצמם. הסתרת מידע מקטינה את הסיכון לפגיעה במידע או גילויו ומסייעת למנהלי המידע ומעבדיו לענות על הדרישות של החוק.


Data Breaches דיווח על פגיעה בנתונים

בעת פגיעה בנתונים, חייבים בעלי הנתונים להודיע לגורם המפקח ( Supervisory Authority) , ללא דיחוי , תוך 72 שעות מהתרחשות האירוע. אין להתייחס ל"קוטן האירוע" ויש לדווח על כל דבר. האנשים הנוגעים בדבר צריכים לקבל הודעה על כך אם = נקבעה שחלה השפעה שלילית ( ראה סעיף 34).
מעבד הנתונים חייב להודיע בנוסף , וללא דיחוי, לבעלי הנתונים.
אין צורך להודיע לאנשים אם המידע הנפגע הוא אנונימי או עבר הסתרה בתוספת צעדים טכניים וארגוניים הנדרשים (ראה סעיף 34).


Sanctions סנקציות

הסנקציות הבאות ניתנות להפעלה על ידי הגורם המפקח:

  • אזהרה בכתב במקרה של אירוע ראשון ובלתי מכוון
  • ביצוע סקרים חיצוניים תקופתיים בנושא הגנה על נתונים
  • קנס של עד 10 מיליון אירו או 2% מהמחזור השנתי העולמי של שנה קודמת במקרה של גוף עסקי , הגבוה ביניהם. ( סעיף 83)
  • קנס של 20 מיליון אירו או 4% מהמחזור השנתי העולמי של שנת הכספים הקודמת במקרה של גוף עסקי , הגבוה ביניהם ( סעיף 83)


Right to Erasure - הזכות להימחק


הזכות להישכח הוחלפה בזכות להימחק, שהיא יותר מוגבלת. סעיף 17 מקנה לאדם את הזכות לדרוש מחיקה של מידע אישי הקשור אליו על בסיס מספר סיבות. בהן, אי עמידה בסעיף 6.1 ( חוקיות) שכולל מקרה שבו זכותו הלגיטימית של בעל הנתונים, פחותה מהאינטרס והזכויות הבסיסיות והחופש של האדם הדורש הגנה על מידע אישי ( ראה Google Spain SL, Google Inc. v Agencia Española de Protección de Dados, Mario Costar González )


Data Portability ניוד נתונים

אדם יוכל להעביר את המידע האישי שלו ממערכת עיבוד אלקטרונית אחת לאחרת, בלי שהדבר יימנע ממנו על ידי בעלי הנתונים. הדבר אינו כולל מידע שעבר אנונימיזציה שאינה מאפשרת זיהוי , אלא מידע שניתן לקשר לאדם ספציפי. מידע שסופק ישירות על ידי האדם והן מידע ש"נצפה" על ידי גורם נוסף כגון התנהגות , כלול בהגדרה זאת. בנוסף, נדרש מנהל המידע לספק את המידע לניוד בפורמט (מבנה) אלקטרוני סטנדרטי, פתוח ומוכר (Open Standard electronic format).


Data protection by Design and by Default הגנת נתונים בנויה במבנה הנתונים הן כברירת מחדל והן כחלק מהעיצוב

כאן דורש החוק שהגנת הנתונים תהיה מעוצבת כחלק מפיתוח התהליכים העסקיים של המוצרים והשירותים. כלומר, שנושא הפרטיות יהווה ברמת העיצוב הגבוהה ברירת מחדל וברמה הטכנית והתפעולית יינקטו צעדים על ידי בעלי הנתונים כדי להבטיח שכל התהליכים, מתחילתם ועד סופם, מצייתים לכללי GDPR. בעלי הנתונים יפעילו מנגנונים שיבטיחו שמידע אישי יעובד אך ורק לפי הצורך ולמטרות מוגדרות מראש.
דו"ח שנכתב על ידי ENISA - The European Union Agency for Network and Information Security מרחיב בנושא כל הנדרש להתבצע להשגת פרטיות והגנת מידע כברירת מחדל. הוא למשל מציין שהן מפתח הצפנה והן מפתח הפענוח חייבים להימצא מקומית בידי אותו גוף ולא בידי שרות מרוחק כדי להבטיח שמירת פרטיות. בנוסף, מצוין בדו"ח כי שמירת נתונים אצל ספק שירותי ענן חיצוני היא יחסית בטוחה, כל זמן שבעל הנתונים ולא מנהל שירותי הענן מחזיק את מפתח הפענוח.


Records of Processing Activities ניהול היסטוריית פעילות

רישום של כל פעולות העיבוד שנעשו יישמר, כולל הסיבות לביצוען. רישום זה יימסר לגורם המפקח (supervisory authority) לפי דרישה.


לוח זמנים ליישום ( נקודות זמן מרכזיות)

הצעת GDPR שוחררה ב-25 לינואר 2012 מתוך כוונה שתאומץ פורמלית בתחילת 2016.
הכללים נכנסו לתוקף אחרי פרסומם בעיתון הרשמי של האיחוד האירופי ב-4 למאי 2916 תוך ציון כניסתם לתוקף תוך שנתיים.
25 במאי 2018 הוא התאריך הרשמי לכניסתן לתוקף של ההוראות בכל מדינות אירופה.

 קו מפריד

לקריאה נוספת:

bullet2 GDPR מטרד או הזדמנות?

bullet2 בריטניה מצטרפת לחוקי הגנת המידע והפרטיות האירופייםבריטניה מצטרפת לחוקי הגנת המידע והפרטיות האירופיים

 

הסמכות:

bullet2 הסמכת קציני GDPR


רוצים להיות  Certification of General Data Protection Officers? פנו אלינו