צירוף האותיותGDPR הוא קיצור של General Data Protection Regulation. הוא מתייחס לרגולציה האירופאית בנושא הגנת הפרטיות שנכנסה לתוקף בשנת 2018. הרגולציה מכילה הוראות של אבטחת מידע והגנה על הפרטיות החלות על גופים שונים שאוספים ומעבדים מידע אישי הניתן לזיהוי אשר מצוי ברשת על אודות אזרחי האיחוד באירופאי. מטרת הרגולציה היא להגן על אזרחים בכל הקשור לחשיפת מידע אישי עליהם ועיבוד שלו והמטרה היא החזרת השליטה לאנשים עצמם בכל הנוגע לפרטיותם ולמידע האישי הנחשף עליהם ברשת הדיגיטלית. כל הפרטים על gdpr מה זה? וכיצד פועלים על-פיהן כארגון, אתם מוזמנים לקרוא במאמר שלפניכם.
gdpr מה זה?
בשנים האחרונות נכנסו לתוקף רגולציות רבות בתחומים של אבטחת מידע, שמירה על פרטיות וסייבר, ובראשן תקנות gdpr האירופאיות. עם כניסתן לתוקף במאי 2018 הן חוללו שינוי עמוק והניעו גל של חקיקות ותקנות בתחום.
GDPR מתייחס לשתי נקודות הנושקות זו לזו, הגנה על הפרטיות ואבטחת מידע. הגנת הפרטיות היא תחום משפטי אשר קובע מגבלות, איסורים וכללים בכל הנוגע לשימוש במידע אישי לגבי אנשים שזהותם ידועה.
אבטחת מידע נועדה להבטיח כי מידע כלשהו יישמר בסודיות, יגיע רק לגורמים המורשים להיחשף אליו ויישמר בצורה נאותה המונעת פרצות אבטחה ושימוש לא מורשה.
לכן על השאלה gdpr מה זה? ניתן לענות שזו רגולציה המטפלת בנושאים שונים הקשורים להגנת הפרטיות ואבטחת מידע, כולל מיפוי ושליטה במידע לצד ניהול תקין שלו, הגבלת גישה ושימוש, קביעת נהלים ומדיניות ואופן השימוש במידע, כולל העברת מידע בינלאומי.
תקנות הגנת הפרטיות gdpr מתייחסות לא רק לחובות ספציפיות וקונקרטיות אלא גם לאופן בו הן הופכות להתנהלות ארגונית סדורה הכוללת מדיניות ונהלים אשר מבטיחים ציות שוטף להוראות בהתאם לרגולציה, לרבות סקרי בקרת סיכונים תקופתיים.
תקנות gdpr
על מי הן חלות? הרגולציה חלה על כל אדם, ארגון או גורם, גם מחוץ לאיחוד האירופאי, אשר מעבדים ושולטים בנתונים הנוגעים לתושבי האיחוד.
למה הכוונה במידע אישי? זהו מידע שעל-פיו ניתן לזהות אדם מסוים. המידע עשוי לכלול כל פרט, החל משמו וכתובתו של האדם, כתובת המייל שלו ועד פרטי חשבון הבנק, מידע רפואי, פוסטים ברשתות החברתיות ועוד.
כאשר מבקשים לדעת gdpr מה זה? חשוב להבין כי לא מספיק להכיר את לשון הרגולציה, אלא חשוב להטמיע אותה בארגון כדי ליישמה באופן שוטף. לדוגמא, על גופים המחזיקים במידע אודות משתמשים חובה למחוק א המידע ברגע שהמשתמש משנה את ההסכמה שלו או מפסיק להשתמש בשירות.
האיחוד האירופאי רשאי לקנוס חברות שאינן עומדות בתקנות בסכום של עד 4% מהמחזור הגלובלי השנתי שלו או עד 20 מיליון דולר. בנוסף, ארגונים וחברות העוסקים ומחזיקים במידע אישי מחויבים ליידע את הרשות הלאומית המקומית על פרצות חמורות של אבטחת מידע מוקדם ככל האפשר.
כיצד מטמיעים את התקנות בארגון?
כדי להבין gdpr מה זה וכיצד להיערך לכך בארגון, מומלץ להיעזר בשירותיה של חברת אבטחת מידע כדי שתוודא שהארגון מבצע את כל הפעולות הנדרשות.
התהליך מתחיל בחשיפת הנוגעים בדבר לתקנות והבנת gdpr מה זה, לאחר מכן נעשה מיפוי תהליכים וזיהוי פערים על-ידי חברה מקצועית לאבטחת מידע, הכולל, בין היתר הבנת המבנה הארגוני, מיפוי תהליכי זרימת המידע והאמצעים הטכנולוגיים, חומרה ותוכנה, המשמשים לשמירה על המידע, ההגנה עליו ואופן השימוש בו.
השלב הבא הוא סקרים הכוללים בדיקות חדירות תקופתיות ובדיקת ההטמעה של התקנות תוך בחינת תהליכי העבודה והבנת gdpr מה זה.