בקר נתונים מוגדר

מה זה אומר אם אתה בקרי נתונים?

מבקר הנתונים הוא האדם או החברה שקובעים לאילו מטרות וכיצד יעובדו הנתונים. לכן, אם החברה שלך מחליטה 'למה' ו'איך' יש לעבד את הנתונים, היא אחראית על הנתונים.

בתור בקר נתונים, אדם או ארגון אחראים להבטיח שהעיבוד שלך עומד בדרישות תקנה כללית להגנה על נתונים (GDPR).

זה כולל הבטחה שכל הנתונים המעובדים בשמך הם נאותים, מדויקים, בזמן ומאובטחים.

חובות של בקרים: אתם (הבקרים הבודדים) צריכים להסכים מי ימלא את התחייבויות הבקר הספציפיות לפי GDPR שכן כל בקר אחראי לציות עם כל אחריות ה-GDPR.

מה זה אומר אם אתם בקרי נתונים משותפים?

סעיף 26 קובע כי אם הצדדים קובעים במשותף את מטרת העיבוד ואמצעי העיבוד, שניהם ייחשבו כבקרים משותפים. ה-GDPR לא נכנס לפרטים נוספים על תהליך זה ורק מזכיר אותו בדרך אגב בסעיפים 30 ו-36.

• כאשר שני בקרים או יותר מחליטים במשותף על מטרות ואמצעי העיבוד, הם בקרי נתונים משותפים.
• כל מבקר נתונים יקבע את תחומי האחריות שלו לעמידה בחובות על פי תקנה זו, בפרט לגבי מימוש זכויותיו של נושא הנתונים (סעיף 13.), באופן שקוף, למעט אם הדבר אינו אפשרי, ובמקרה זה הם יקבעו. לעשות את ההסדרים המתאימים ביניהם.
• ההסדר עשוי לייעד נקודת מגע לנושאי מידע.

האם אתה רשימת ביקורת משותפת:

• יש לנו מטרה משותפת עם משווקים אחרים לגבי עיבוד הנתונים.
• אנו מעבדים נתונים אישיים לאותה מטרה כמו חברה אחרת.
• הבקר השני משתמש באותה קבוצה של נתונים אישיים שאנו משתמשים בהם לעיבוד זה.
• תכננו את התהליך הזה עם בקר אחר.
• אנו חולקים כללי ניהול מידע משותפים עם בקר אחר.

הסעיפים בסעיף 26 (GDPR) על שליטה משותפת קצרים מאוד, אך הם יצרו דיונים רבים ואי ודאות עבור ארגונים.

הרעיון של שליטה משותפת אינו חדש במיוחד, אך היישום שלו לאחר GDPR באקוסיסטם המודרני של עיבוד הנתונים מורכב. הבהרת האופן שבו צדדים נחשבים כבקרים משותפים מגדירה את אחריות הציות והאחריות המשותפת שלהם לגבי יחידים ו הגנה על נתונים רָשׁוּיוֹת.

האם אתה יכול להיות גם בקרי נתונים וגם מעבד נתונים?

האם אתה בקר, מעבד או שניהם?

ישות/ארגון יכול להיות בקר נתונים, או א מעבד מידע, או שניהם. אותו ארגון יכול להיות גם בקר נתונים וגם מעבד נתונים. לדוגמה, אם ספק הניתוח שלנו מריץ נתונים של לקוח דרך המערכות שלו, הספק יהיה המעבד של הנתונים האלה.

עם זאת, ספק הניתוח עשוי להחזיק בכל מספר מערכי נתונים אחרים, אולי בהם הוא משתמש בכלי הניתוח שלו. אם ספק הניתוח זכאי לקבוע כיצד נעשה שימוש בנתונים נוספים, הוא יהיה השולט בנתונים אלה.

איך אתה מחליט אם אתה בעל שליטה או מעבד נתונים אישיים?

מחויבויות ה-GDPR שלך תלויות אם אתה בקר, מעבד או בקר משותף. לכן, חיוני שתשקול היטב את שלך תפקיד ואחריות לגבי פעילויות עיבוד הנתונים שלך כדי לקבוע אם אתה בקר, מעבד או בקרים משותפים.

האם אתה מבקר נתונים?

• יש צורך לאסוף או לעבד נתונים אישיים.
• מה הייתה המטרה או התוצאה של העיבוד.
• החלטנו אילו נתונים אישיים אנחנו רוצים לאסוף.
• בחרנו את האנשים שעליהם אנו הולכים לאסוף נתונים אישיים.
• הטבה או רווח מסחרי מהעיבוד, למעט כל תשלומים עבור שירותים מבקר אחר.
• כתוצאה מחוזה בינינו לבין נושא הנתונים, אנו מעבדים את הנתונים האישיים שלו.
• "נושאי הנתונים" שלנו הם העובדים שלנו.
• אנו מקבלים החלטות לגבי האנשים המעורבים כחלק מהעיבוד או כתוצאה ממנו.
• הפעלת שיקול דעת מקצועי בעיבוד הנתונים האישיים של "נושאים נתונים".
• יש קשר ישיר בינינו לבין נושאי המידע.
• יש לנו סמכות מלאה לגבי אופן עיבוד הנתונים.
• אישרנו את המעבדים לעבד את הנתונים האישיים בשמנו.

גם אם אינך מעורב ישירות באיסוף נתונים, אתה עדיין אחראי על אי ציות ל-GDPR. לכן, אתה אחראי להבטיח אותך להוכיח עמידה בתקנות עקרונות הגנת מידע.

תאימות GDPR ואחריות בקרי נתונים

מה GDPR מגדיר כבקר נתונים?

תקנת הגנת המידע הכללית מבחינה בין 'בקר נתונים' ו'מעבד נתונים' בבריטניה.

זה עוזר לזהות שלא כל הארגונים המעורבים בעיבוד של מידע אישי בעלי אותה מידה של אחריות. ה-GDPR של בריטניה מגדיר מונחים אלה כ:

האדם או הארגון שקובעים "למה" ו"איך" יש לעבד נתונים אישיים ידועים כבקר הנתונים.

נניח שחברה מעבדת נתונים אישיים כדי לעזור לאדם ספציפי (כמו עובד) לבצע את חובותיו. במקרה זה, אותו עובד פועל כמעבד נתונים.

'מעבד נתונים' הוא כל עסק או אדם שמעבד נתונים אישיים מטעם אחר. לסיכום, הם סוכן עבור בקר הנתונים.

ששת עקרונות הגנת המידע

ששת עקרונות הליבה של הכלל משטר הגנת המידע נקבע בסעיף 5 של ה-GDPR של בריטניה מתווה:

עקרון הגנת המידע הראשון

העיקרון הראשון של פרטיות מובן מאליו באופן סביר. ארגון צריך להבטיח ששיטות איסוף הנתונים שלו הן חוקיות ואינן מסתירות דבר מנושאי המידע שלו. כדי לעמוד בדרישות, כבקר נתונים, עליך להבין היטב את ה-GDPR ואת הכללים שלו לאיסוף נתונים. בנוסף, עליך לפרסם את מדיניות הפרטיות שלך ולציין בדיוק אילו נתונים אתה אוסף ומדוע אתה אוסף אותם.

עקרון הגנת מידע שני

ארגונים צריכים להגביל את כמות הנתונים האישיים שהם אוספים למה שנדרש כדי להגשים את מטרותיהם. כמו כן, עליהם לוודא שהנתונים שהם אוספים מדויקים, מעודכנים ואינם נשמרים למשך זמן רב יותר מהנדרש כדי לעמוד במטרות אלו. לבקר נתונים יינתן יותר מרחב פעולה אם העיבוד שלך נעשה למטרות ארכיון, עניין ציבורי, מדעי, היסטורי או סטטיסטי.

עקרון הגנת מידע שלישי

ארגון חייב רק לעבד נתונים אישיים הדרושים להשגת מטרתו. יש לכך שני יתרונות משמעותיים. במקרה שמתרחשת הפרת נתונים, לאדם תהיה גישה רק לכמות קטנה של נתונים. זה גם קל יותר לשמור על נתונים מדויקים.

עקרון הגנת מידע רביעי

דיוק הנתונים חיוני לפרטיות הנתונים. ה-GDPR קובע כי יש לנקוט "כל צעד סביר" כדי לתקן, למחוק או להרוס כל מידע שאינו מדויק או מלא. ליחידים יש את הזכות לבקש נתונים לא מדויקים או חלקיים לתיקון או עדכון תוך 30 יום. עם זאת, ייתכן שלא ניתן יהיה לתקן או לעדכן את הנתונים במקרים אחרים, וייתכן שיהיה צורך להסיר את הנתונים.

עקרון הגנת מידע חמישי

כל הארגונים חייבים למחוק נתונים אישיים כאשר הם אינם נחוצים יותר. כמה זמן צריך ארגון לשמור נתוני לקוחות? זה משתנה בין הענפים והסיבות לאיסוף הנתונים. כל ארגון שאינו בטוח כמה זמן עליו לשמור נתונים אישיים צריך להתייעץ עם איש מקצוע משפטי.

עקרון הגנת מידע שישי

GDPR מחייב כי נתונים אישיים יהיו מאובטחים. הנתונים צריכים להיות מוגנים נגד אובדן, הרס או נזק. כמו כן, יש להגן עליו מפני עיבוד לא מורשה ומפני אובדן מקרי, תוך שימוש באמצעים טכניים או ארגוניים מתאימים. GDPR מעורפל בכוונה לגבי מה שארגונים צריכים לעשות מכיוון ששיטות העבודה המומלצות הטכנולוגיות והארגוניות משתנות ללא הרף.

רשימת מבקר נתונים

רשימת הבדיקה שלהלן תעזור לך להבין מה לעשות אם אתה בקר נתונים.

המידע שאתה מחזיק

העסק שלך השלים מידע בדיקה כדי לגלות היכן נמצאים הנתונים בעסק שלך.

עיבוד נתונים על בסיס חוקי

העסק שלך תיעד וזיהה את הבסיסים החוקיים שלך לעיבוד נתונים.

הסכמה ושליטה

תקנת הגנת המידע הכללית בבריטניה מציבה סטנדרט גבוה מאוד להסכמה. עם זאת, לא תמיד צריך הסכמה. במקרים מסוימים, הצעת לאנשים בחירה אמיתית ושליטה על אופן השימוש שלך בנתונים שלהם משפרת את המוניטין שלך ויוצרת יותר אמון. ה-GDPR מתבסס על תקן 1998 של הסכמה בכמה תחומים ומכיל פרטים נוספים על מהי הסכמה תקפה ובסיסים חוקיים אחרים לעיבוד נתונים של אנשים.

עיבוד נתונים אישיים של ילדים עבור שירותים מקוונים והסכמה

עליך להיות בעל בסיס חוקי לעיבוד נתונים אישיים של קטין. אם אתה תלוי בהסכמה כבסיס החוקי לעיבוד נתונים ואתה מציע שירותים מקוונים לילדים, עליך לעשות מאמצים סבירים כדי לוודא שכל מי שנותן את הסכמתו הוא מבוגר מספיק לעשות זאת. לכן, תצטרך לוודא שכל מי שיספק לך את הסכמתו הוא מעל גיל 13.

אם אתם מספקים שירות מקוון לילדים מתחת לגיל 13, עליכם לקבל תחילה את הסכמתו של מי שמחזיק באחריות הורית לילד. לאחר מכן עליך לנקוט מאמצים סבירים כדי לוודא שלאדם שנותן הסכמה לילד יש אחריות הורית.

אינטרסים חיוניים של אנשים

אם עליך לעבד כל סוג של נתונים כדי להגן על האינטרסים של אדם פרטי, העסק שלך צריך לתעד את הנסיבות שבהן זה יהיה רלוונטי וליידע אותם במידת הצורך.

אינטרסים לגיטימיים לעיבוד נתונים

אם אתה מסתמך על אינטרסים לגיטימיים כבסיס חוקי לעיבוד, העסק שלך הוכיח שהוא התחשב והגן על זכויות ואינטרסים של אנשים.

עלות עמלת הגנת מידע

כל הארגונים או העסקים המעבדים כל מידע אישי צריכים לשלם עמלה ל-ICO אלא אם כן הם פטורים.

אילו אמצעים ארגוניים אתה יכול לנקוט כדי לעצור פרצות נתונים

מה זה אומר עבור הארגון/החברה שלך?

ליתר ביטחון, הנח תמיד שכל מה שאתה מאחסן על לקוח הוא נתונים אישיים והבטח אותך לעמוד בחוק/הגנת מידע פעל בכל הנוגע לאחסון ועיבוד הנתונים הללו. ודא שעיבוד הנתונים האישיים של הלקוחות שלך מאובטח, תואם לתקנות פרטיות הנתונים ושתמחק אותם מייד כאשר אין צורך בו יותר.

חיוני לשקול ביצוע פסבדונימיזציה ו/או הצפנת נתונים אישיים כאשר מדובר בקטגוריה מסוימת של נתונים אישיים. לשם כך, החלף מידע מזהה ב"מזהים מלאכותיים". זה יבטיח שהנתונים האישיים יישארו מאובטחים.

למרות שהוא מוזכר 15 פעמים ב-GDPR, אין די בפסבדונימיזציה בלבד; יש לה מגבלות, ולכן ההצפנה מוזכרת גם ב-GDPR.

ההצפנה מערבלת או מקודדת מידע על ידי החלפתו במשהו אחר. פסאודונימיזציה מאפשרת לכל מי שיש לו גישה לנתונים בארגון שלך להציג את מערך הנתונים הזה, מצד שני בהצפנה מאפשר רק למשתמשים "מאושרים" לגשת מערך הנתונים המלא.

אפשר להשתמש הן בדויונומיזציה והן בהצפנה בו-זמנית או בנפרד במסגרת GDPR.

תצטרך קצין הגנת מידע

ה-GDPR בבריטניה מחייב אותך להגדיר א קצין הגנת מידע (DPO). DPO זה הוא אחראי על הבטחת הארגון שלך עומד בתקנות החדשות. הם גם יעבדו איתך על כל השינויים הדרושים בהליכי ניהול הנתונים שלך.

קציני הגנת מידע מסייעים לך במעקב אחר ציותך לחוקי הגנת מידע ובמתן ייעוץ לגבי הערכות הגנת מידע (DPIAs). DPOs משמשים גם כנקודת מגע עבור נושאי נתונים וה-ICO. DPO הוא מישהו שכבר מועסק בחברה שלך, או אולי מישהו שאין לו קשר קודם לעסק שלך בכלל.

ה-DPO חייב להיות עצמאי, מומחה להגנת מידע, ממומן כראוי, ולדווח לרמת הניהול הגבוהה ביותר. כמה ארגונים יכולים למנות DPO יחיד במקרים מסוימים.

תפקיד ה-DPO בארגון שלך

• ל-DPO יש תחומי אחריות חיוניים רבים, לרבות מעקב אחר תאימות להגנה על נתונים, להבטיח שאתה מודע לתקנות הגנת מידע חדשות, פיקוח על הדרכה וביצוע ביקורות.
• אנו ניקח בחשבון את העצות של קצין הגנת המידע שלנו ואת המידע שהם מספקים לגבי חובות הגנת המידע שלנו.
• במהלך DPIA, אנו תמיד מבקשים את עצתו של DPO שלנו, שגם עוקב אחר התהליך.
• DPOs יתייעצו בכל עניין אחר וישתפו פעולה עם ICO.
• בעת ביצוע המשימות שלהם, ה-DPO שלך לוקח בחשבון את האופי, ההיקף, ההקשר, מטרות העיבוד והסיכון הכרוך בפעולות עיבוד אלו.

תוכנת אבטחה עדכנית

אחד העקרונות הבסיסיים של GDPR בבריטניה הם שעליך לאבטח את העיבוד של נתונים אישיים על ידי שימוש באמצעים ארגוניים מתאימים. זהו 'עקרון הביטחון'.

עליך לנקוט באמצעים סבירים שנועדו להבטיח את הסודיות, השלמות והזמינות של המערכות והשירותים שלך ושל הנתונים האישיים שאתה מעבד בתוכם.

קנסות ה-GDPR המשמעותיים ביותר - לעת עתה

1. אמזון - 746 מיליון יורו
2. גוגל - 50 מיליון אירו
3. H&M - 35 מיליון יורו
4. TIM – 27.8 מיליון אירו
5. בריטיש איירווייס - 22 מיליון אירו
6. מריוט - 20.4 מיליון אירו
7. רוח - 17 מיליון יורו
8. וודאפון איטליה - 12.3 מיליון אירו

כפי שניתן לראות לעיל, קנסות כספיים לשבירת GDPR זה לא זול.

ישנם צעדים שונים שתוכל לנקוט כדי להפוך את החברה שלך לתקינה:

• נתח את הסיכונים שמציגים עיבוד הנתונים שלך והשתמש במידע זה כדי לקבוע את רמת האבטחה שהארגון שלך צריך להקים.
• זהה מה החברה שלך צריכה לעשות על ידי התחשבות בתוצאות האבטחה שאתה רוצה להשיג.
• הצב את כל הבקרות הטכניות החיוניות שצוינו על ידי מסגרות כמו יסודות סייבר (בריטניה בלבד).
• הבינו שלפעמים תצטרכו להפעיל אמצעי אבטחה נוספים, בהתאם לנסיבות הספציפיות שלכם ולסוג הנתונים האישיים שאתם מעבדים.
• היכן שראוי לעשות זאת, השתמש בהצפנה ו/או בדוי-דונימיזציה.
• ודא שיש לך תהליך מתאים לגיבוי נתוני הלקוחות שלך במקרה של תקרית, כמו על ידי וודא שיש לך מתקן אחסון מתאים מחוץ לאתר.
• על ידי שימוש במעבד נתונים מכובד, אתה מבטיח שהם יישמו אמצעים טכניים וארגוניים מתאימים.

מדיניות עבודה מרחוק ותאימות GDPR

סידורי עבודה מרחוק או גמישים הם בין הגורמים החשובים ביותר בעת חיפוש עבודה. לרוב המעסיקים אין מדיניות רשמית לעבודה מרחוק, למרות המספר ההולך וגדל של חברות המציעות הזדמנויות עבודה מרחוק. זה משאיר אותך פגיע.

לכל העסקים/ארגונים צריכה להיות מדיניות יציבה של עבודה מרחוק. זה יעזור להנחות את המודל התפעולי של העסק שלך.

זה גם חיוני למפתחים מרוחקים להבין כיצד לאסוף נתונים ולגשת אליהם באופן תואם GDPR.

קבע מדיניות עבודה מרחוק כדי להסדיר ולכסות את נגישות הנתונים

• יש לפרט את תחומי האחריות של היזם.
• יש צורך במדיניות גישה מרחוק.
• יש להקים מערכות סיסמאות חזקות. למשל LastPass.
• השימוש באינטרנט אלחוטי ציבורי.
• הצפין את כל המכשירים של העובדים המרוחקים שלך ואכוף הצפנת נתונים עבור כולם, אפילו אלה שנכנסו דרך המכשירים האישיים שלהם.
• צריכים להיות נהלים ברורים וניתנים לפעולה לעובדים לדווח על תקריות.
• כדי למלא פערי אבטחה, עיין במדיניות שלך מעת לעת ועדכן את מדיניות העבודה מהבית בהתאם לצרכים שלך.

מצא דרכים לחזק את מדיניות העבודה מהבית שלך באמצעות הדרכות ומפגשי מודעות לעובדים.