מדריך ה-GDPR המלא

מדריך ה-GDPR המלא

האם צריך לתעד בכתב פעולות של עיבוד מידע?

על בעל שליטה במידע ועל מעבד מידע חלות חובות מוגברות לתעד בכתב היבטים שונים של מאגר המידע, אופן העיבוד, ההגנה עליו, אירועי פריצה וגישה ללא הרשאה, וכיוב'. בנסיבות מסויימות התיעוד הזה חייב להיות נגיש גם לנשואי המידע וגם לרשויות הרגולטוריות הרלבנטיות במדינות האיחוד האירופי.

הגם שהתיעוד המקיף מהווה על פניו מעמסה כבדה והוא חובה מכוח GDPR, הרי שבפועל יש לו יתרונות רבים. היתרון המרכזי הוא, שהתיעוד יכול לשמש ראיה לכך שבעל השליטה או מעבד המידע מקיימים את תקנות GDPR כנדרש. כלומר, התיעוד עשוי לשמש כאמצעי הגנה מפני טענות על הפרת GDPR או במסגרת הליכים משפטיים או מנהליים שיכולים להינקט בקשר עם הפרת GDPR.

גופים המעסיקים מעל ל- 250 עובדים חייבים לתעד בכתב את כל פעולות העיבוד שהם מבצעים. גופים עם פחות מ- 250 עובדים חייבים לתעד רק פעולות עיבוד שיטתיות; או כאלה שעלולות לפגוע בזכויות ובחירות הפרט של נשואי המידע; או כשמדובר בעיבוד מידע מיוחד/רגיש.

התיעוד בכתב חייב לכלול, בין היתר:

  1. שם ופרטי זיהוי של בעל השליטה או מעבד המידע, וכן פרטי קצין אבטחת מידע ככל שנדרש כזה.
  2. המטרה שלשמה מתבצע העיבוד.
  3. סוגי האנשים נשואי המידע ושל סוגי המידע לגביהם.
  4. הגורמים שיש להם נגישות למידע, והיקף המידע הנגיש.
  5. משך הזמן שבהם המידע נאגר ומגבלות על מחיקתו.
  6. האמצעים הטכניים והארגוניים הננקטים לאבטחת המידע.
  7. העברות מידע למדיניות זרות ואסמכתאות לאופן שבו המידע שהועבר מוגן שם.

הרשות הבריטית להגנת פרטיות (IPO – Information Commissioner’s Office) ממליצה גם לבצע תיעוד בכתב של הנושאים הבאים:

  1. מדיניות/תקנון פרטיות.
  2. הבסיס החוקי לעיבוד מידע.
  3. האינטרסים הלגיטימיים לעיבוד.
  4. זכויות נשואי המידע.
  5. ככל שקיימים, פירוט מנגנוני קבלת החלטות אוטומטיים ואופן בניית פרופיל התנהגותי, ככל שקיים.
  6. המקור למידע.
  7. הסכמות של נשואי המידע לעיבוד.
  8. הסכמים בין בעל השליטה במידע לבין מעבד המידע.
  9. המיקום של המידע שנאגר.
  10. סקרי סיכונים בנוגע להגנת מידע.
  11. פרצות וגישה בלתי מורשית למאגר, ככל שהיו.
  12. נתונים על עיבוד מידע מיוחד/רגיש, כולל הבסיס החוקי לעיבוד מידע מיוחד/רגיש.

ראו עוד: ס' 82 להקדמה; ס' 30 ל- GDPR.

האם צריך לתעד בכתב פעולות של עיבוד מידע?

על בעל שליטה במידע ועל מעבד מידע חלות חובות מוגברות לתעד בכתב היבטים שונים של מאגר המידע, אופן העיבוד, ההגנה עליו, אירועי פריצה וגישה ללא הרשאה, וכיוב'. בנסיבות מסויימות התיעוד הזה חייב להיות נגיש גם לנשואי המידע וגם לרשויות הרגולטוריות הרלבנטיות במדינות האיחוד האירופי.

הגם שהתיעוד המקיף מהווה על פניו מעמסה כבדה והוא חובה מכוח GDPR, הרי שבפועל יש לו יתרונות רבים. היתרון המרכזי הוא, שהתיעוד יכול לשמש ראיה לכך שבעל השליטה או מעבד המידע מקיימים את תקנות GDPR כנדרש. כלומר, התיעוד עשוי לשמש כאמצעי הגנה מפני טענות על הפרת GDPR או במסגרת הליכים משפטיים או מנהליים שיכולים להינקט בקשר עם הפרת GDPR.

גופים המעסיקים מעל ל- 250 עובדים חייבים לתעד בכתב את כל פעולות העיבוד שהם מבצעים. גופים עם פחות מ- 250 עובדים חייבים לתעד רק פעולות עיבוד שיטתיות; או כאלה שעלולות לפגוע בזכויות ובחירות הפרט של נשואי המידע; או כשמדובר בעיבוד מידע מיוחד/רגיש.

התיעוד בכתב חייב לכלול, בין היתר:

  1. שם ופרטי זיהוי של בעל השליטה או מעבד המידע, וכן פרטי קצין אבטחת מידע ככל שנדרש כזה.
  2. המטרה שלשמה מתבצע העיבוד.
  3. סוגי האנשים נשואי המידע ושל סוגי המידע לגביהם.
  4. הגורמים שיש להם נגישות למידע, והיקף המידע הנגיש.
  5. משך הזמן שבהם המידע נאגר ומגבלות על מחיקתו.
  6. האמצעים הטכניים והארגוניים הננקטים לאבטחת המידע.
  7. העברות מידע למדיניות זרות ואסמכתאות לאופן שבו המידע שהועבר מוגן שם.

הרשות הבריטית להגנת פרטיות (IPO – Information Commissioner’s Office) ממליצה גם לבצע תיעוד בכתב של הנושאים הבאים:

  1. מדיניות/תקנון פרטיות.
  2. הבסיס החוקי לעיבוד מידע.
  3. האינטרסים הלגיטימיים לעיבוד.
  4. זכויות נשואי המידע.
  5. ככל שקיימים, פירוט מנגנוני קבלת החלטות אוטומטיים ואופן בניית פרופיל התנהגותי, ככל שקיים.
  6. המקור למידע.
  7. הסכמות של נשואי המידע לעיבוד.
  8. הסכמים בין בעל השליטה במידע לבין מעבד המידע.
  9. המיקום של המידע שנאגר.
  10. סקרי סיכונים בנוגע להגנת מידע.
  11. פרצות וגישה בלתי מורשית למאגר, ככל שהיו.
  12. נתונים על עיבוד מידע מיוחד/רגיש, כולל הבסיס החוקי לעיבוד מידע מיוחד/רגיש.

ראו עוד: ס' 82 להקדמה; ס' 30 ל- GDPR.