בקרה על יישום תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017, ורגולציית ההגנה על מידע (GDPR) של האיחוד האירופי.

החל מחודש מאי 2018, ייכנסו לתוקפן "תקנות הגנת פרטיות (אבטחת מידע), תשע"ז-2017" אשר אושרו בכנסת ישראל בחודש מרץ 2017 ומחליפות את התקנות המיושנות משנת 1986. תקנות אלו, ביוזמה ופיקוח של הרשות להגנת הפרטיות, מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי, על כל גורם המנהל או מעבד מאגר של מידע אישי.

עם כניסת התקנות לתוקף במאי 2018, צפויה קפיצת מדרגה כללית ברמה הנדרשת של יישום אבטחת המידע האישי בישראל, אשר תחול על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל, לרבות ארגונים, חברות וגופים ציבוריים.

התקנות הישראליות מתייחסות לעניין ההגנה הפיזית והלוגית של מאגרי מידע ומצריכות התייחסות כמעט מרוב הארגונים במשק. התקנות הישראליות יוחלו על כלל בעלי העסקים בישראל, אשר הינם בעלי מאגר המידע כלשונו בחוק הגנת הפרטיות. התקנות מחלקות את מאגרי המידע ל-4 רמות נדרשות של אבטחת מידע לפי: רגישות החומר, מספר בעלי ההרשאות למאגר וגודל האוכלוסיה אשר פרטיה ונתוניה נשמרים במאגר המידע.

התקנות כוללות הוראות למימוש חובותיהם ואחריותם של ארגונים בתחום אבטחת מידע של הפרטים האישיים של לקוחות, ספקים ועובדים. מטרתן להנחיל עקרונות אבטחת מידע, שיגנו  מפני שימוש לרעה במידע על-ידי גורמים מחוץ לארגון והן על-ידי עובדי הארגון. התקנות הן מודולריות ומחילות חובות ברמה הולכת וגדלה ככל שפעילות עיבוד המידע בארגון משמעותית יותר, ככל שמדובר במידע רגיש יותר וככל שיותר אנשים בארגון חשופים אליו.

במקביל, יכנס לתוקפו בחודש מאי 2018 גם החוק החדש להגנת המידע של האיחוד האירופי: (General Data Protection Regulation (GPDR

התקנות האירופאיות (GPDR) מתייחסות לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים, וקובעת כללים אחידים לשמירה על פרטיותם. הרגולציה חלה על כל ארגון אשר בא במגע עם מידע אישי של אזרחי האיחוד האירופאי, כאשר היא מגדירה את זכויות היסוד של תושבים אירופים ביחס למידע האישי שלהם ובהמשך לכך את השמירה עליה. על פי הרגולציה, המידע שאוסף הארגון שייך באופן בלעדי לנושאי המידע ועל החברה להתייחס לכך בעת השימוש במידע. אי עמידה בתקנות יכולה להיות כרוכה בקנסות משמעותיים.

מקובל נכון ויעיל להתייחס ליישום התקנות שלעיל בכפיפה אחת ויישומן במקביל, ככל שרלוונטי לארגון. המנגנונים הנדרשים נחלקים למספר שלבים, להלן דוגמאות לשלבים עקרוניים:  

משרדנו מוביל בתחומו בסיוע לארגונים שונים בבחינת העמידה בהוראות התקנות בנושא הגנת הפרטיות, בין הארגונים השונים ניתן למנות ארגונים בתחומי החינוך, הרפואה משאבי אנוש וחברות ציבוריות מגוונות. אנו פיתחנו את המיומנויות הנדרשות וברשותנו הידע הנדרש בכדי לסייע לארגונים בהתמודדות המאתגרת עם יישום התקנות בארץ ובחו"ל, בניהולו של מר חנן טויזר, שותף ומוסמך GDPR-F

(Certified EU GDPR Foundation) אשר מנהל את מחלקת מערכות המידע במשרדנו.

לקריאה נוספת בנושא GDPR 

הגנה על הפרטיות GDPR רו"ח חנן טויזר

שותף, פאהן קנה ניהול בקרה בע"מ

ליצירת קשר