מדריך מעשי לתאימות להגנה על נתונים: הבנה ויישום של עקרונות ודרישות GDPR- ISMS.online

מדריך מעשי לתאימות להגנה על נתונים: הבנה ויישום של עקרונות ודרישות ה-GDPR

מאת רנה מילמן • 29 אוגוסט 2023

הגנת מידע הפכה לעדיפות עליונה עבור עסקים ואנשים פרטיים. עם תקנות מורכבות כמו תקנת הגנת המידע הכללית (GDPR), הניווט בציות יכול להיות מאתגר. למעשה, למעלה מ-359 מיליון אירו בקנסות GDPR משמעותיים הונפקו עד כה. עליך להבין את חובותיך ולציית לתקנות אלה תוך הגנה על פרטיות הלקוחות והעובדים שלך.

ובעוד ארגונים רבים טוענים שהם מוכנים לכך תקנות הגנת מידע, ייתכן שהם עדיין לא נקטו בכל האמצעים הדרושים כדי להצדיק טענות כאלה.

על פי סקר שנערך בקרב 205 מנהיגים עסקיים בבריטניה ובארה"ב על ידי חברת עורכי הדין Womble Bond Dickinson, בעוד שחברות רבות עשויות ליישם פעולות הפונות כלפי חוץ, כגון הצבת באנר של קובצי Cookie באתר האינטרנט שלהן או עדכון הפרטיות מדיניות, רק 34% מכלל המשיבים אומרים שהם ביצעו מיפוי נתונים ומבינים נהלי נתונים ברחבי הארגון.

"לחברות יש לעתים קרובות חוסר משאבים וצריכות להתמקד בשינויים קוסמטיים על ידי עדכון תוכן הפונה לציבור; עם זאת, זה לא מבטל את הצורך הבלתי נמנע לבנות דרישות עורפיות כדי להפעיל באמת את דרישות התאימות", אומרת טרה צ'ו, שותפה ויו"ר צוות הפרטיות והסייבר של Womble Bond Dickinson (ארה"ב).

אז איך ארגונים עוברים את מבוך תקנות הגנת המידע?

עקרונות GDPR ותאימות

השמיים GDPR מתווה שבעה עקרונות חיוניים לעיבוד נתונים: חוקיות, הגינות, שקיפות, הגבלת מטרה, מזעור נתונים, דיוק, הגבלת אחסון, אבטחה (יושרה וסודיות) ואחריות. עקרונות אלו מהווים את הליבה של גישת עיבוד הנתונים של ארגון. יש לאסוף ולעבד מידע אישי כדין, הוגן ושקוף. יש להשיג אותו למטרות ספציפיות ולגיטימיות ולא להשתמש בדרכים שאינן תואמות. הנתונים שנאספים צריכים להיות רלוונטיים, מוגבלים ומדויקים. יש לנקוט בצעדים לתיקון אי דיוקים בהקדם.

יש לשמור את המידע של נושאי המידע רק לפי הצורך למטרות עיבוד. אמצעי אבטחה חייבים להיות במקום כדי להגן מפני עיבוד לא מורשה, אובדן או נזק. ארגונים חייבים להוכיח ציות.

מלבד עקרונות אלה, ה-GDPR מכסה היבטים שונים, כולל תרחישי עיבוד מיוחדים, העברת נתונים, תרופות, חבות וקנסות.

לדברי לואיז ברוקס, ראש מחלקת ייעוץ ב DQM GRC, ה-GDPR בבריטניה מבוסס על עקרונות, מה שאומר שאין לו רשימה קבועה של עשה ואל תעשה.

"ארגון חייב לשקול את המסגרת שה-GDPR מספק וליישם אותה בהתאם להקשר של העסק שלו. אנחנו מגלים שלקוחות יכולים להיאבק עם הרעיון הזה", היא אומרת.

"זה גם יכול להיות לפעמים קשה לבסס תרבות ציות חיובית המעצימה ארגונים לעשות את הבחירות הנכונות לגבי הגנת מידע. לעתים קרובות אנו מוצאים שהגנת נתונים נתפסת כחוסם, ולא כמאפשר, למטרות העסקיות. התרבות הנכונה בארגון תאפשר עבודה משותפת ותבטיח שהגנת מידע היא הבסיס שעליו מבוססת כל הפעילויות העסקיות הכרוכות בנתונים אישיים".

זכויות הפרט

ה-GDPR מספק מספר זכויות לאנשים כדי לעזור להם לשלוט בנתונים האישיים שלהם.

זכויות אלה כוללות הזכות לקבל מידע, הזכות לגישה, הזכות לתיקון, הזכות למחיקה (המכונה גם הזכות להישכח), הזכות להגביל עיבוד, הזכות לניידות נתונים והזכות להתנגד.

ארגונים חייבים להציע פרטי נתונים ברורים - מה נאסף, שימוש, שיתוף. בודדים יכולים לבקש את הנתונים המעובדים שלהם לבדיקות דיוק וחוקיות. ניתן לתקן אי דיוקים. בקשות להסרת נתונים חלות כאשר מיותר או הסכמה בוטלה.

ניתן להגביל את השימוש בנתונים אישיים, למשל, דיוק שנוי במחלוקת או עיבוד לא חוקי. אנשים יכולים לעשות שימוש חוזר בנתונים שלהם, להעביר אותם בבטחה בין ארגונים. תהליכי נתונים מסוימים, כמו שיווק, יכולים להידחות. זכויות אלה מעצימות את השליטה בנתונים אישיים, מקדמות הוגנות ושקיפות.

ברוקס אומר שכאשר מדובר בבקשות לזכויות נושאי נתונים, "ארגון צריך להתחיל בהבנה אילו זכויות חלות על אילו מפעילויות העיבוד שלו".

"זה חשוב כי זה יעזור לארגונים להבין היכן הנתונים של הפרט נמצאים בתוך הארגון, למשל באילו מערכות, באילו צוותים משתמשים ולמה הם משמשים", היא מוסיפה.

בסיס חוקי לעיבוד

ה-GDPR מחייב עילות משפטיות תקפות לעיבוד נתונים אישיים, הכוללת שישה בסיסים: הסכמה, ביצוע חוזה, אינטרס לגיטימי, אינטרס חיוני, דרישה משפטית ואינטרס ציבורי.

הסכמה כרוך בהרשאה מפורשת לעיבוד נתונים ספציפי, המאופיין בחופש, ספציפיות, מידע ובהירות.

ביצוע חוזה מחייב עיבוד נתונים כדי למלא או ליזום חוזה לפי בקשתו של אדם.

עניין לגיטימי מצדיק עיבוד נתונים למטרות ארגוניות או של צד שלישי, אלא אם כן זכויות הפרט יעקפו אותן.

עניין חיוני כרוך בעיבוד נתונים כדי להגן על חיי אדם או חיי אדם אחר.

דרישה חוקית דורשת עיבוד נתונים כדי לעמוד בהתחייבויות משפטיות ארגוניות.

עניין ציבורי כרוך בעיבוד נתונים לצורך ביצוע משימות ציבוריות או הפעלת סמכות רשמית.

לפני עיבוד נתונים אישיים, ארגונים חייבים לקבוע ולתעד את הנתונים שלהם בסיס חוקי. בסיס זה מושרש ב-GDPR או בחוקים רלוונטיים אחרים באיחוד האירופי או במדינות החברות.

אבטחת מידע

GDPR מדגיש את אבטחת המידע, ומחייב אמצעי עיבוד חזקים. אלה מבטיחים הגנה מפני עיבוד לא מורשה, אובדן ונזק, תוך ניצול צעדים טכניים וארגוניים מתאימים.

ארגונים שוקלים ניתוח סיכונים, מדיניות ופעולות פיזיות/טכניות לאבטחת מידע. אמצעים מבטיחים סודיות נתונים, שלמות והתאוששות בזמן לאחר תקריות.

דוגמאות: בקרות גישה, מניעת אובדן נתונים, הצפנה, תוכניות תגובה לאירועים, ניהול סיכונים של צד שלישי ופעולות פיזיות/לוגיות.

סקירה ובדיקות סדירות חיוניות לאבטחה יעילה. ציות מטפח אמון עם מחזיקי עניין, בונה אמון.

אחריות וממשל

עקרון האחריות הוא אחד העקרונות הקריטיים של ה-GDPR. ארגונים חייבים לקחת אחריות על עיבוד נתונים אישיים ולציית לעקרונות GDPR אחרים. זה כולל חובה להוכיח ציות באמצעות נהלים ושגרה מתועדים.

ארגונים חייבים להיות אחראים על פעילויות איסוף הנתונים, העיבוד והאחסון שלהם ועליהם להיות מסוגלים להוכיח שהם נקטו באמצעים הדרושים כדי לעמוד בהתחייבויות ה-GDPR. ניתן לממש זאת באמצעות אסטרטגיות טכניות וארגוניות מתאימות. אסטרטגיות אלו מקיפות;

אימוץ וביצוע מדיניות הגנת מידע
אימוץ הפילוסופיה של 'הגנה על נתונים בתכנון וברירת מחדל'
יצירת חוזים רשמיים עם גורמים צד שלישי המטפלים בנתונים אישיים
שמירה על רישומים מקיפים של פעילויות עיבוד
פריסת פרוטוקולי אבטחה נאותים
תיעוד ותקשור של הפרות נתונים אישיים לפי הצורך
ביצוע הערכות של ההשפעה על הגנת מידע במצבים הכרוכים בסיכונים מהותיים לזכויות של יחידים
ייעוד א קצין הגנת מידע בעת הצורך
הקפדה על קודים התנהגותיים רלוונטיים תוך רישום לתוכניות הסמכה.

חובות אחריות נמשכות, וארגונים חייבים לבדוק ולעדכן את האמצעים שלהם במרווחי זמן מתאימים. יישום ניהול פרטיות המסגרת יכולה להטמיע אמצעי אחריות וליצור תרבות של פרטיות בארגון. אחריות יכולה לעזור לבנות אמון עם אנשים ולהקל על פעולות האכיפה.

העברות נתונים בינלאומיות

GDPR מכסה העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים. העברות מחוץ לאזור ה-EEA מוגבלות אלא אם חלים הגנה או חריגים.

בקרי נתונים ומעבדי נתונים צריכים הסכם עם קריטריונים מוגדרים במסגרת GDPR. העברת נתונים אישיים למדינות ללא הגנה מספקת מחייבת "אמצעי הגנה נאותים", המבטיחים זכויות ותרופות הניתנות לאכיפה עבור יחידים.

אמצעי הגנה נאותים יכולים לכלול מנגנונים כגון סעיפים חוזיים סטנדרטיים, כללים תאגידיים מחייבים או קודים מאושרים של התנהגות או מנגנוני הסמכה. בנוסף, מספר חריגים מאפשרים העברת נתונים אישיים מחוץ לאזור ה-EEA ללא אמצעי הגנה נאותים, כגון הסכמה מפורשת מהפרט, ביצוע חוזה, סיבות משמעותיות של אינטרס ציבורי, או הקמה, מימוש או הגנה של תביעות משפטיות.

עם כניסת מסגרת פרטיות הנתונים החדשה של האיחוד האירופי-ארה"ב וכמה ארגונים מתרחקים ממנה סעיפים חוזיים סטנדרטיים (SCCs), חשוב לציין שניתן להשתמש במנגנון חדש הנקרא "גשר נתונים" להעברת נתונים אישיים בין האיחוד האירופי לארה"ב. בריטניה וארה"ב הגיעו להתחייבות עקרונית ליצור א "גשר נתונים" בין המדינות. מנגנון זה יקל על כ-55,000 עסקים בבריטניה להעביר נתונים בחופשיות לארגונים אמריקאים מוסמכים ללא בירוקרטיה או תקנות מסורבלות.

ארגונים חייבים להבטיח שהם מצייתים לכללים סביב העברת נתונים בינלאומיים ולהשתמש במנגנונים מתאימים כדי להבטיח תאימות.

פטור

ל-GDPR יש מספר פטורים שעשויים לחול בנסיבות מסוימות. אלה כוללים פטורים לביטחון לאומי ואכיפת חוק, סוגים מסוימים של נתונים אישיים, עיתונות וביטוי יצירתי, מחקר מדעי או היסטורי, פעילויות מחוץ לתחום חוקי האיחוד האירופי, מידע שאינו במערכת "תיוק", כספים, ניהול ומשא ומתן, אינטרס ציבורי ושימוש ביתי.

לדוגמה, ה-GDPR אינו חל אם ארגון אינו פועל בתוך האיחוד האירופי, אינו מעבד נתונים אישיים, או אם הוא מעבד נתונים רק למטרות ביתיות. בנוסף, ישנם פטורים לעיבוד נתונים אישיים למטרות עיתונאיות או לביטוי אקדמי, אמנותי או ספרותי. מטרות.

ארגונים חייבים לשקול היטב האם חלים פטורים כלשהם על פעילויות העיבוד שלהם ועליהם לעמוד בכל שאר הדרישות של ה-GDPR אם לא חל פטור.

ISO 27001 ותאימות ל-GDPR

ISO 27001 הוא תקן בינלאומי לאבטחת מידע מערכת ניהול (ISMS) המספקת נקודת התחלה מצוינת להשגת הדרישות הטכניות והתפעוליות הנחוצות להפחתת הסיכון לפרצה. תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) מחייבת ארגונים ליישם אמצעים טכניים וארגוניים ישימים, לרבות מדיניות, נהלים ותהליכים, כדי להגן על הנתונים האישיים שהם תהליך. יישום שני התקנים יעזור לך לעמוד ולהוכיח את תאימותך לדרישות הפרטיות ואבטחת המידע של ה-GDPR.

יישום ISMS מיושר ל-ISO 27001 יכול לעזור לארגונים להשיג תאימות ל-GDPR בצורה חסכונית על ידי מתן מסגרת לניהול סיכוני אבטחת מידע והפגנת עמידה בדרישות הטכניות והארגוניות של ה-GDPR. על ידי יישום שני התקנים, ארגונים יכולים להבטיח שהם עומדים בדרישות הפרטיות ואבטחת המידע של ה-GDPR וחוקי הגנת מידע אחרים תוך מזעור עלויות.

עם זאת, יש להכיר בכך שתקנים אלה אינם מכסים את כל ההיבטים של GDPR, כגון הסכמה, ניידות נתונים, הזכות להישכח והעברות נתונים בינלאומיות. לכן, ארגונים חייבים להשלים את מסגרות ה-ISO שלהם באמצעים אחרים כדי להבטיח תאימות מלאה ל-GDPR.

עקרונות ודרישות ליבה של GDPR להשגת הצלחה

תקנות הגנת מידע כמו GDPR עשויות להיראות מורכבות, אך הבנה של עקרונות הליבה היא חיונית. בכך, ארגונים יכולים להבטיח ציות ולשמור על פרטיות הלקוחות והצוות.

זכור את ההיבטים הבאים:

לאחוז בבסיסי עיבוד נתונים חוקיים.
מידע אישי מאובטח.
לשמור על אחריות.
ציית לכללי העברת נתונים בינלאומיים.
כבד את הזכויות והפטורים האישיים של GDPR.

שלבים מעשיים כוללים:

רגיל הערכת סיכונים.
אמצעי אבטחה חזקים.
רישומי עיבוד מתועדים.
תקשורת ברורה עם אנשים.
עדכוני תאימות עקביים.

על ידי ציות יזום, האמון צומח בין מחזיקי העניין, ומצמצם את סיכוני האכיפה.

רנה מילמן

רנה מילמן היא סופרת ושדרנית עצמאית רב-תכליתית המתמחה בטכנולוגיות אבטחת סייבר, AI, IoT וענן. לצד תפקידו כאנליסט תורם ב-GigaOm, הוא מביא ניסיון רב כאנליסט לשעבר של גרטנר המתמקד בשוק התשתיות. רנה מילמן, הידוע במומחיותו, הופיע תכופות בטלוויזיה, שיתף תובנות וניתוח על מגמות טכנולוגיות וחברות משפיעות שמעצבות את חיי היומיום שלנו. הישאר מעודכן בתובנות של רנה מילמן על ידי מעקב אחריו בטוויטר.