מבקר הנתונים הוא החברה או האדם שיש בכוחו לקבוע מה קורה לנתונים שלך.
במדינות רבות, "המחזיקה" בנתונים היא החברה שאספה אותם. עם זאת, במקומות אחרים, כמו האיחוד האירופי, "מחזיק" הנתונים יכול להיות סוכנות ממשלתית או ישות אחרת.
מבקר הנתונים קובע את ההחלטות לגבי המטרות והנהלים כיצד ומדוע חברה/אתר ישתמשו בנתונים. בדרך כלל, זהו הבעלים או המנהל של האתר. אם יש לך אתר, אתה צריך להיות תאימות ל- GDPR. ישנם צעדים ברורים שעליך לנקוט כדי להישאר בציות לתקנות החדשות, כולל אלה הנדרשות על ידי האיחוד האירופי.
מבקר הנתונים הוא האדם או החברה שקובעים לאילו מטרות וכיצד יעובדו הנתונים. לכן, אם החברה שלך מחליטה 'למה' ו'איך' יש לעבד את הנתונים, היא אחראית על הנתונים.
בתור בקר נתונים, אדם או ארגון אחראים להבטיח שהעיבוד שלך עומד בדרישות תקנה כללית להגנה על נתונים (GDPR).
זה כולל הבטחה שכל הנתונים המעובדים בשמך הם נאותים, מדויקים, בזמן ומאובטחים.
חובות של בקרים: אתם (הבקרים הבודדים) צריכים להסכים מי ימלא את התחייבויות הבקר הספציפיות לפי GDPR שכן כל בקר אחראי לציות עם כל אחריות ה-GDPR.
סעיף 26 קובע כי אם הצדדים קובעים במשותף את מטרת העיבוד ואמצעי העיבוד, שניהם ייחשבו כבקרים משותפים. ה-GDPR לא נכנס לפרטים נוספים על תהליך זה ורק מזכיר אותו בדרך אגב בסעיפים 30 ו-36.
הסעיפים בסעיף 26 (GDPR) על שליטה משותפת קצרים מאוד, אך הם יצרו דיונים רבים ואי ודאות עבור ארגונים.
הרעיון של שליטה משותפת אינו חדש במיוחד, אך היישום שלו לאחר GDPR באקוסיסטם המודרני של עיבוד הנתונים מורכב. הבהרת האופן שבו צדדים נחשבים כבקרים משותפים מגדירה את אחריות הציות והאחריות המשותפת שלהם לגבי יחידים ו הגנה על נתונים רָשׁוּיוֹת.
ישות/ארגון יכול להיות בקר נתונים, או א מעבד מידע, או שניהם. אותו ארגון יכול להיות גם בקר נתונים וגם מעבד נתונים. לדוגמה, אם ספק הניתוח שלנו מריץ נתונים של לקוח דרך המערכות שלו, הספק יהיה המעבד של הנתונים האלה.
עם זאת, ספק הניתוח עשוי להחזיק בכל מספר מערכי נתונים אחרים, אולי בהם הוא משתמש בכלי הניתוח שלו. אם ספק הניתוח זכאי לקבוע כיצד נעשה שימוש בנתונים נוספים, הוא יהיה השולט בנתונים אלה.
מחויבויות ה-GDPR שלך תלויות אם אתה בקר, מעבד או בקר משותף. לכן, חיוני שתשקול היטב את שלך תפקיד ואחריות לגבי פעילויות עיבוד הנתונים שלך כדי לקבוע אם אתה בקר, מעבד או בקרים משותפים.
גם אם אינך מעורב ישירות באיסוף נתונים, אתה עדיין אחראי על אי ציות ל-GDPR. לכן, אתה אחראי להבטיח אותך להוכיח עמידה בתקנות עקרונות הגנת מידע.
ISMS.online יחסוך לך זמן וכסף לקראת הסמכת ISO 27001 ויהפוך אותו לפשוט לתחזוקה.
מנהל אבטחת מידע, בריאות יערה
תקנת הגנת המידע הכללית מבחינה בין 'בקר נתונים' ו'מעבד נתונים' בבריטניה.
זה עוזר לזהות שלא כל הארגונים המעורבים בעיבוד של מידע אישי בעלי אותה מידה של אחריות. ה-GDPR של בריטניה מגדיר מונחים אלה כ:
האדם או הארגון שקובעים "למה" ו"איך" יש לעבד נתונים אישיים ידועים כבקר הנתונים.
נניח שחברה מעבדת נתונים אישיים כדי לעזור לאדם ספציפי (כמו עובד) לבצע את חובותיו. במקרה זה, אותו עובד פועל כמעבד נתונים.
'מעבד נתונים' הוא כל עסק או אדם שמעבד נתונים אישיים מטעם אחר. לסיכום, הם סוכן עבור בקר הנתונים.
ששת עקרונות הליבה של הכלל משטר הגנת המידע נקבע בסעיף 5 של ה-GDPR של בריטניה מתווה:
העיקרון הראשון של פרטיות מובן מאליו באופן סביר. ארגון צריך להבטיח ששיטות איסוף הנתונים שלו הן חוקיות ואינן מסתירות דבר מנושאי המידע שלו. כדי לעמוד בדרישות, כבקר נתונים, עליך להבין היטב את ה-GDPR ואת הכללים שלו לאיסוף נתונים. בנוסף, עליך לפרסם את מדיניות הפרטיות שלך ולציין בדיוק אילו נתונים אתה אוסף ומדוע אתה אוסף אותם.
ארגונים צריכים להגביל את כמות הנתונים האישיים שהם אוספים למה שנדרש כדי להגשים את מטרותיהם. כמו כן, עליהם לוודא שהנתונים שהם אוספים מדויקים, מעודכנים ואינם נשמרים למשך זמן רב יותר מהנדרש כדי לעמוד במטרות אלו. לבקר נתונים יינתן יותר מרחב פעולה אם העיבוד שלך נעשה למטרות ארכיון, עניין ציבורי, מדעי, היסטורי או סטטיסטי.
ארגון חייב רק לעבד נתונים אישיים הדרושים להשגת מטרתו. יש לכך שני יתרונות משמעותיים. במקרה שמתרחשת הפרת נתונים, לאדם תהיה גישה רק לכמות קטנה של נתונים. זה גם קל יותר לשמור על נתונים מדויקים.
דיוק הנתונים חיוני לפרטיות הנתונים. ה-GDPR קובע כי יש לנקוט "כל צעד סביר" כדי לתקן, למחוק או להרוס כל מידע שאינו מדויק או מלא. ליחידים יש את הזכות לבקש נתונים לא מדויקים או חלקיים לתיקון או עדכון תוך 30 יום. עם זאת, ייתכן שלא ניתן יהיה לתקן או לעדכן את הנתונים במקרים אחרים, וייתכן שיהיה צורך להסיר את הנתונים.
כל הארגונים חייבים למחוק נתונים אישיים כאשר הם אינם נחוצים יותר. כמה זמן צריך ארגון לשמור נתוני לקוחות? זה משתנה בין הענפים והסיבות לאיסוף הנתונים. כל ארגון שאינו בטוח כמה זמן עליו לשמור נתונים אישיים צריך להתייעץ עם איש מקצוע משפטי.
GDPR מחייב כי נתונים אישיים יהיו מאובטחים. הנתונים צריכים להיות מוגנים נגד אובדן, הרס או נזק. כמו כן, יש להגן עליו מפני עיבוד לא מורשה ומפני אובדן מקרי, תוך שימוש באמצעים טכניים או ארגוניים מתאימים. GDPR מעורפל בכוונה לגבי מה שארגונים צריכים לעשות מכיוון ששיטות העבודה המומלצות הטכנולוגיות והארגוניות משתנות ללא הרף.
רשימת הבדיקה שלהלן תעזור לך להבין מה לעשות אם אתה בקר נתונים.
העסק שלך השלים מידע בדיקה כדי לגלות היכן נמצאים הנתונים בעסק שלך.
העסק שלך תיעד וזיהה את הבסיסים החוקיים שלך לעיבוד נתונים.
תקנת הגנת המידע הכללית בבריטניה מציבה סטנדרט גבוה מאוד להסכמה. עם זאת, לא תמיד צריך הסכמה. במקרים מסוימים, הצעת לאנשים בחירה אמיתית ושליטה על אופן השימוש שלך בנתונים שלהם משפרת את המוניטין שלך ויוצרת יותר אמון. ה-GDPR מתבסס על תקן 1998 של הסכמה בכמה תחומים ומכיל פרטים נוספים על מהי הסכמה תקפה ובסיסים חוקיים אחרים לעיבוד נתונים של אנשים.
עליך להיות בעל בסיס חוקי לעיבוד נתונים אישיים של קטין. אם אתה תלוי בהסכמה כבסיס החוקי לעיבוד נתונים ואתה מציע שירותים מקוונים לילדים, עליך לעשות מאמצים סבירים כדי לוודא שכל מי שנותן את הסכמתו הוא מבוגר מספיק לעשות זאת. לכן, תצטרך לוודא שכל מי שיספק לך את הסכמתו הוא מעל גיל 13.
אם אתם מספקים שירות מקוון לילדים מתחת לגיל 13, עליכם לקבל תחילה את הסכמתו של מי שמחזיק באחריות הורית לילד. לאחר מכן עליך לנקוט מאמצים סבירים כדי לוודא שלאדם שנותן הסכמה לילד יש אחריות הורית.
אם עליך לעבד כל סוג של נתונים כדי להגן על האינטרסים של אדם פרטי, העסק שלך צריך לתעד את הנסיבות שבהן זה יהיה רלוונטי וליידע אותם במידת הצורך.
אם אתה מסתמך על אינטרסים לגיטימיים כבסיס חוקי לעיבוד, העסק שלך הוכיח שהוא התחשב והגן על זכויות ואינטרסים של אנשים.
כל הארגונים או העסקים המעבדים כל מידע אישי צריכים לשלם עמלה ל-ICO אלא אם כן הם פטורים.
הזמינו פגישה מעשית מותאמת בהתאם לצרכים ולמטרות שלכם.
ליתר ביטחון, הנח תמיד שכל מה שאתה מאחסן על לקוח הוא נתונים אישיים והבטח אותך לעמוד בחוק/הגנת מידע פעל בכל הנוגע לאחסון ועיבוד הנתונים הללו. ודא שעיבוד הנתונים האישיים של הלקוחות שלך מאובטח, תואם לתקנות פרטיות הנתונים ושתמחק אותם מייד כאשר אין צורך בו יותר.
חיוני לשקול ביצוע פסבדונימיזציה ו/או הצפנת נתונים אישיים כאשר מדובר בקטגוריה מסוימת של נתונים אישיים. לשם כך, החלף מידע מזהה ב"מזהים מלאכותיים". זה יבטיח שהנתונים האישיים יישארו מאובטחים.
למרות שהוא מוזכר 15 פעמים ב-GDPR, אין די בפסבדונימיזציה בלבד; יש לה מגבלות, ולכן ההצפנה מוזכרת גם ב-GDPR.
ההצפנה מערבלת או מקודדת מידע על ידי החלפתו במשהו אחר. פסאודונימיזציה מאפשרת לכל מי שיש לו גישה לנתונים בארגון שלך להציג את מערך הנתונים הזה, מצד שני בהצפנה מאפשר רק למשתמשים "מאושרים" לגשת מערך הנתונים המלא.
אפשר להשתמש הן בדויונומיזציה והן בהצפנה בו-זמנית או בנפרד במסגרת GDPR.
ה-GDPR בבריטניה מחייב אותך להגדיר א קצין הגנת מידע (DPO). DPO זה הוא אחראי על הבטחת הארגון שלך עומד בתקנות החדשות. הם גם יעבדו איתך על כל השינויים הדרושים בהליכי ניהול הנתונים שלך.
קציני הגנת מידע מסייעים לך במעקב אחר ציותך לחוקי הגנת מידע ובמתן ייעוץ לגבי הערכות הגנת מידע (DPIAs). DPOs משמשים גם כנקודת מגע עבור נושאי נתונים וה-ICO. DPO הוא מישהו שכבר מועסק בחברה שלך, או אולי מישהו שאין לו קשר קודם לעסק שלך בכלל.
ה-DPO חייב להיות עצמאי, מומחה להגנת מידע, ממומן כראוי, ולדווח לרמת הניהול הגבוהה ביותר. כמה ארגונים יכולים למנות DPO יחיד במקרים מסוימים.
אחד העקרונות הבסיסיים של GDPR בבריטניה הם שעליך לאבטח את העיבוד של נתונים אישיים על ידי שימוש באמצעים ארגוניים מתאימים. זהו 'עקרון הביטחון'.
עליך לנקוט באמצעים סבירים שנועדו להבטיח את הסודיות, השלמות והזמינות של המערכות והשירותים שלך ושל הנתונים האישיים שאתה מעבד בתוכם.
כפי שניתן לראות לעיל, קנסות כספיים לשבירת GDPR זה לא זול.
ישנם צעדים שונים שתוכל לנקוט כדי להפוך את החברה שלך לתקינה:
סידורי עבודה מרחוק או גמישים הם בין הגורמים החשובים ביותר בעת חיפוש עבודה. לרוב המעסיקים אין מדיניות רשמית לעבודה מרחוק, למרות המספר ההולך וגדל של חברות המציעות הזדמנויות עבודה מרחוק. זה משאיר אותך פגיע.
לכל העסקים/ארגונים צריכה להיות מדיניות יציבה של עבודה מרחוק. זה יעזור להנחות את המודל התפעולי של העסק שלך.
זה גם חיוני למפתחים מרוחקים להבין כיצד לאסוף נתונים ולגשת אליהם באופן תואם GDPR.
מצא דרכים לחזק את מדיניות העבודה מהבית שלך באמצעות הדרכות ומפגשי מודעות לעובדים.