מדריך ה-GDPR המלא

מדריך ה-GDPR המלא

GDPR – מה האחריות שחלה על מי ששולט במידע ועל מי שמעבד מידע?

על בעל השליטה במידע חלה אחריות מוגברת לקיים את תקנות GDPR. עליו ליישם אמצעים טכניים וארגוניים לא רק כדי להגן על המידע, אלא גם כדי להראות, להוכיח בכתב, שהוא אכן מגן עליו ועל זכויותיהם של האנשים שעליהם הוא אוגר מידע.

על בעל השליטה במידע להכין, ליישם, ולפרסם מסמכי מדיניות כתובה להגנה על מידע.

עליו לבצע הדרכות לעובדים, לקיים ביקורות פנימיות ובדיקות תקופתיות.

ככל שקיימים קודי התנהגות רשמיים להגנת מידע (קודים שהוכנו על ידי רשויות רגולטוריות או גופים מוסמכים אחרים) – יש לפעול על פי הקודים הללו ו/או להחזיק באישורים רשמיים כי פועלים על פיהם.

בנסיבות מסויימות על בעל השליטה במידע למנות קצין הגנת מידע (data protection officer), לבצע סקרי סיכונים בנוגע להגנת מידע, ולפעול באופן תמידי ושיטתי לשפר את הגנת המידע.

על בעל השליטה ליישם הנדסת הגנה מידע לפרטיות (data protection by design). משמעות הדברים היא, שבשלבי קביעת אמצעי והיקף עיבוד המידע, וכן בזמן עיבוד המידע עצמו, יש להגן על המידע הרלבנטי ועל זכויותיהם של נשואי המידע באמצעות מנגנונים טכניים וארגוניים יעילים שהוטמעו בתוך הליכי העיבוד, והן חלק אינטגרלי מהם. לשם כך אפשר לקודד מידע, למנוע גישה לפרטי זיהוי (pseudonymisation), לעבד בהיקפים מינימאליים ככל הניתן, ועוד.

בנוסף, על בעל השליטה במידע ליישם מנגנונים טכניים וארגוניים שיבטיחו הגנת מידע כברירת מחדל (data protection by default). כלומר, עיבוד מידע יתבצע אך ורק על המידע המינימאלי נדרש לצורך השגת מטרת העיבוד. מנגנונים אלה חלים על היקף המידע שנאגר, היקף העיבוד, זמן האגירה ונגישות המידע.

בעל השליטה במידע נושא באחריות גם לפעולות של מי שמעבד מידע בשבילו. האחריות היא על בעל השליטה במידע להתקשר בהסכם כתוב עם מעבד מידע, ולוודא שמעבד המידע פועל ומספק הגנה נאותה לנשואי המידע בהתאם ל- GDPR.

כמובן שגם מי שמעבד מידע נושא באחריות כלפי נשואי המידע, וגם מעבד המידע מחוייב לפעול לפי GDPR ללא קשר לשאלה האם בעל השליטה במידע פועל על פי הכללים, או לאו.

בעל שליטה במידע שמתקשר עם מעבד חייב לוודא שבין הצדדים קיים הסכם בכתב, הכולל בין היתר את ההתחייבויות הבאות של מעבד המידע:

  1. לפעול בקשר למידע אך ורק בהתאם להנחיות כתובות ומפורשות מבעל השליטה במידע.
  2. למחוק ולהחזיר את המידע שבידי מעבד המידע לבעל השליטה במידע על פי דרישתו של בעל השליטה או עם סיום ההתקשרות בין הצדדים.
  3. לשמור על סודיות המידע, ולגרום לכך שגם עובדי וגורמים אחרים מטעמו של מעבד המידע שיש להם נגישות למידע, ישמרו על סודיות.
  4. לנקוט בצעדים טכניים וארגוניים כדי להגן ולשמור על שלמות ותקינות עיבוד המידע.
  5. כל התקשרות של מעבד המידע עם קבלני משנה שלו תהיה בכתב, כפופה לתנאים ולהתחייבויות של מעבד המידע הראשי, ותתבצע אך ורק לאחר קבלת הסכמה מראש ובכתב של בעל השליטה במידע.
  6. לקיים תיעוד מסודר של כל פעולות העיבוד.
  7. למנות קצין הגנת מידע היכן שנדרש.
  8. לסייע לבעל השליטה במידע:
  • לקיים את תקנות GDPR ולשתף פעולה עם הרשויות הרגולטוריות הרלבנטיות.
  • לשמור על זכויותיהם של נשואי המידע ולאפשר להם לממשן, וכן לאפשר לנשואי המידע גישה מלאה וחופשית למידע אודותיהם.
  • להגן על המידע ושלמותו, לקיים סקר סיכוני הגנת מידע, ולדווח על כל פריצה וגישה בלתי מורשית למידע.

חושב לדעת, שהפרת התחייבויות של מעבד מידע כלפי בעל השליטה במידע אינה מהווה רק הפרה של חוזה בין הצדדים, אלא חושפת את מעבד המידע לתביעות משפטיות מצד נשואי המידע, כמו גם להליכים מנהליים, לקנסות כספיים כבדים ואפילו בנסיבות מסויימות להליכים פליליים מצד הרשויות הרגולטוריות במדינות האיחוד האירופי.

שימו לב -תקנות GDPR אינן ממצות את החובות החלות על בעל שליטה במידע ועל מעבד מידע, ובמקביל ל- GDPR עשויות לחול גם הנחיות רגולטוריות מדינתיות וקודי התנגדות מחייבים. יש לפעול גם על פיהם!

ראו עוד: ס' 81-83, 98-100 להקדמה; ס' 25, 28-36, 40-43 ל- GDPR.

הקליקו כאן ליצירת קשר לשם קבלת ייעוץ

GDPR – מה האחריות שחלה על מי ששולט במידע ועל מי שמעבד מידע?

על בעל השליטה במידע חלה אחריות מוגברת לקיים את תקנות GDPR. עליו ליישם אמצעים טכניים וארגוניים לא רק כדי להגן על המידע, אלא גם כדי להראות, להוכיח בכתב, שהוא אכן מגן עליו ועל זכויותיהם של האנשים שעליהם הוא אוגר מידע.

על בעל השליטה במידע להכין, ליישם, ולפרסם מסמכי מדיניות כתובה להגנה על מידע.

עליו לבצע הדרכות לעובדים, לקיים ביקורות פנימיות ובדיקות תקופתיות.

ככל שקיימים קודי התנהגות רשמיים להגנת מידע (קודים שהוכנו על ידי רשויות רגולטוריות או גופים מוסמכים אחרים) – יש לפעול על פי הקודים הללו ו/או להחזיק באישורים רשמיים כי פועלים על פיהם.

בנסיבות מסויימות על בעל השליטה במידע למנות קצין הגנת מידע (data protection officer), לבצע סקרי סיכונים בנוגע להגנת מידע, ולפעול באופן תמידי ושיטתי לשפר את הגנת המידע.

על בעל השליטה ליישם הנדסת הגנה מידע לפרטיות (data protection by design). משמעות הדברים היא, שבשלבי קביעת אמצעי והיקף עיבוד המידע, וכן בזמן עיבוד המידע עצמו, יש להגן על המידע הרלבנטי ועל זכויותיהם של נשואי המידע באמצעות מנגנונים טכניים וארגוניים יעילים שהוטמעו בתוך הליכי העיבוד, והן חלק אינטגרלי מהם. לשם כך אפשר לקודד מידע, למנוע גישה לפרטי זיהוי (pseudonymisation), לעבד בהיקפים מינימאליים ככל הניתן, ועוד.

בנוסף, על בעל השליטה במידע ליישם מנגנונים טכניים וארגוניים שיבטיחו הגנת מידע כברירת מחדל (data protection by default). כלומר, עיבוד מידע יתבצע אך ורק על המידע המינימאלי נדרש לצורך השגת מטרת העיבוד. מנגנונים אלה חלים על היקף המידע שנאגר, היקף העיבוד, זמן האגירה ונגישות המידע.

בעל השליטה במידע נושא באחריות גם לפעולות של מי שמעבד מידע בשבילו. האחריות היא על בעל השליטה במידע להתקשר בהסכם כתוב עם מעבד מידע, ולוודא שמעבד המידע פועל ומספק הגנה נאותה לנשואי המידע בהתאם ל- GDPR.

כמובן שגם מי שמעבד מידע נושא באחריות כלפי נשואי המידע, וגם מעבד המידע מחוייב לפעול לפי GDPR ללא קשר לשאלה האם בעל השליטה במידע פועל על פי הכללים, או לאו.

בעל שליטה במידע שמתקשר עם מעבד חייב לוודא שבין הצדדים קיים הסכם בכתב, הכולל בין היתר את ההתחייבויות הבאות של מעבד המידע:

  1. לפעול בקשר למידע אך ורק בהתאם להנחיות כתובות ומפורשות מבעל השליטה במידע.
  2. למחוק ולהחזיר את המידע שבידי מעבד המידע לבעל השליטה במידע על פי דרישתו של בעל השליטה או עם סיום ההתקשרות בין הצדדים.
  3. לשמור על סודיות המידע, ולגרום לכך שגם עובדי וגורמים אחרים מטעמו של מעבד המידע שיש להם נגישות למידע, ישמרו על סודיות.
  4. לנקוט בצעדים טכניים וארגוניים כדי להגן ולשמור על שלמות ותקינות עיבוד המידע.
  5. כל התקשרות של מעבד המידע עם קבלני משנה שלו תהיה בכתב, כפופה לתנאים ולהתחייבויות של מעבד המידע הראשי, ותתבצע אך ורק לאחר קבלת הסכמה מראש ובכתב של בעל השליטה במידע.
  6. לקיים תיעוד מסודר של כל פעולות העיבוד.
  7. למנות קצין הגנת מידע היכן שנדרש.
  8. לסייע לבעל השליטה במידע:
  • לקיים את תקנות GDPR ולשתף פעולה עם הרשויות הרגולטוריות הרלבנטיות.
  • לשמור על זכויותיהם של נשואי המידע ולאפשר להם לממשן, וכן לאפשר לנשואי המידע גישה מלאה וחופשית למידע אודותיהם.
  • להגן על המידע ושלמותו, לקיים סקר סיכוני הגנת מידע, ולדווח על כל פריצה וגישה בלתי מורשית למידע.

חושב לדעת, שהפרת התחייבויות של מעבד מידע כלפי בעל השליטה במידע אינה מהווה רק הפרה של חוזה בין הצדדים, אלא חושפת את מעבד המידע לתביעות משפטיות מצד נשואי המידע, כמו גם להליכים מנהליים, לקנסות כספיים כבדים ואפילו בנסיבות מסויימות להליכים פליליים מצד הרשויות הרגולטוריות במדינות האיחוד האירופי.

שימו לב -תקנות GDPR אינן ממצות את החובות החלות על בעל שליטה במידע ועל מעבד מידע, ובמקביל ל- GDPR עשויות לחול גם הנחיות רגולטוריות מדינתיות וקודי התנגדות מחייבים. יש לפעול גם על פיהם!

ראו עוד: ס' 81-83, 98-100 להקדמה; ס' 25, 28-36, 40-43 ל- GDPR.

הקליקו כאן ליצירת קשר לשם קבלת ייעוץ