General Data Protection Regulation היא רגולציה אירופית העוסקת באבטחת פרטיות המידע האישי של אזרחי האיחוד. לשם כך הוגדרו הנחיות עבור גופים אשר אוספים או מעבדים מידע אישי.
מידע אישי הוא מידע הנוגע לאדם פרטי (שאינו תאגיד) ואשר מאפשר זיהוי שלו, לדוגמה: שם, מספר מזהה, מידע על מיקום, מידע גנטי, מידע כלכלי, Cookie ID וכתובת IP.
מטרת הרגולציה הינה לספק הגנה לאזרחים, בכל הקשור לעיבוד וחשיפת מידע אישי שלהם. היעד שעומד בבסיס ההנחיות הוא להחזיר לאזרח את השליטה בכל הנוגע לחשיפה ושימוש במידע האישי שלו.
למי מיועדת רגולציית GDPR ?
הרגולציה מטילה הנחיות נוקשות על כל גורם שמעבד, מאחסן ומשתמש במידע של אזרחים אירופאים, גם אם אינו פועל מתוך שטחי האיחוד.
לכן, כל גורם ישראלי שעוסק בשיווק מוצרים או בהספקת שירותים אשר קשורים למידע אישי של אזרחי האיחוד האירופי כפוף בפועל לרגולציה, בין אם הוא בעל מאגר המידע (Controllers) ובין אם הוא רק מעבד את המידע (Processors) עבור בעל המידע. זו הסיבה שבכל פעם ש Controller בוחר בשירותיו של צד ג’ לעיבוד המידע, עליו להחתים אותו עלDPA – Data Processing Agreement .
מהן יתרונות ההסמכה ?
- מאפשרת עמידה בדרישות של השוק האירופי.
- מקלה על הכנה ל CCPA עבור השוק האמריקאי .
- מכינה היטב לדרישות חוק הגנת הפרטיות בישראל.
מה יהיו הדגשים במבדק?
בין אם אתם בעלי מאגר המידע (Controller) ובין אם אתם מעבדים מידע עבור אחרים (Processor), עליכם לבצע תהליך שבמסגרתו בוחנים את הארגון בהיבט המשפטי ובהיבט של אבטחת מידע. הפתרון יכלול את הנושאים הבאים:
- הכנת ניירת משפטית שמותאמת לארגון
- הכנת בקרות פנים ארגוניות
- בחינת אופן העבודה מול ספקים והתאמת הסכמי עיבוד המידע (DPA)
- הכנה וכתיבה של נהלים מתאימים.
- בחינת תשתיות המחשוב של החברה ומערכות המידע בהן מעובד המידע האישי, זאת במטרה להבטיח שהן מוגנות ומאובטחות כנדרש.
הערכות ל GDPR אינה דבר של מה בכך, מדובר בהערכות מורכבת הן ברמה המשפטית והן ברמה הטכנית. מדסק משתפת פעולה עם משרד עורכי הדין בכיר ויחד אנו מציעים ללקוחותינו מענה מלא ומדויק במישור המשפטי וגם ייעוץ מקצועי בתחום אבטחת המידע של המערכות הרלוונטיות.
