מה זה GDPR?
ה-GDPR (General Data Protection Regulation) הוא חוק חדש של האיחוד האירופאי הקובע סייגים וכללים לשמירה על פרטיות המידע ואבטחת המידע. החוק יכנס לתוקף במאי 2018.
מי כפוף לחוק?
השפעתו של החוק החדש מתרחבת אל מחוץ לאיחוד האירופי, בעיקר לחברות המציעות מוצרים ושירותים דיגיטליים ואוספות תוך כדי כך מידע התנהגותי ופיננסי על תושבי האיחוד. למשל:
- שירותי דיוור, גיוס והשמה, שיווק דיגיטלי, למשל בFacebook וב-Google Ads
- אפליקציות מסחר אלקטרוני
- שירותי SaaS (תוכנה כשירות) כמו למשל שירותי Google Doc, פלטפורמות בניית אתרים ועוד.
- שירותים המספקים ניתוח על מידע אישי – כגון שירותי ניטור מרחוק (טלמטיקה, מכשירים לניטור בריאותי וכן הלאה).
מה גוררת הפרת החוק?
לחוק החדש יש שיניים והוא נושך. רשויות הגנת המידע האירופיות תוכלנה להטיל קנס מנהלי (ללא צורך באישור בית משפט!), לכן ההפרות יכולות להיחשב כפליליות.
הקנסות יכולים להגיע למיליוני יורו!, עד 4% מהמחזור שנתי או 20 מיליון יורו הגבוה מביניהם.
מהות החוק
תקן ISO 27001 מכסה חלק מהדרישות ה-GDPR, אך החוק החדש מהווה הקשחה מהותית של מדיניות הגנת הפרטיות:
- מינוי נציג מקומי מיופה כח (אם אין לארגון נוכחות במדינות האיחוד). מינוי קצין הגנת המידע בנפרד מקצין אבטחת המידע.
- עדכון חוזים ותהליכים מול ספקי משנה השותפים בעיבוד המידע.
- ביצוע סגמנטציה של המידע האישי שהוגדר "רגיש" לפי ההגדרות הספציפיות בכל מדינה (כגון, מוצא, דעות פוליטיות, אמונות, זהות מינית, מידע ביומטרי או גנטי).
- עדכון נרחב לתהליכי עיבוד המידע הנאסף על מנת להתאימם לדרישות המידע החדשות, כגון תיעוד מפורט בשלבי העיבוד, יישום תהליכי קבלת הסכמת שימוש, הפצה, בקשות שינוי, קבלת מידע, ניוד, חציצה, ביטול, מחיקה/ התנגדות לפרופילים התנהגותיים ועוד.
- דיווח לרשויות האיחוד האירופי על פריצות וזליגת המידע תוך 72 שעות.
- היערכות לעמידה בביקורת הרשויות כשיידרש תוך שת"פ מלא.
- לשקול האם להיערך להעברת ניהול שירותי הענן לתחומי האיחוד, אחרת יחולו על הארגון תקנות מחמירות נוספות.
- שדרוגים טכנולוגים כבדים לתמיכה ב-Privacy by Design, כולל דרישות ספציפיות לגבי יישום Encryption, CIA, Pseudonymisation, Recovery and Maintenance.