כאשר אנחנו מדברים על מידע GDPR, הכוונה היא לכל מידע פרטי אישי מזהה, בין אם מידע רגיש למשל, מידע לגבי אמונה דתית, נטיה מינית, או כל מידע פרטי אחר שיכול להשפיע על חייו של האדם באם יתגלה לאחרים ובפרט כאשר מדובר במידע רפואי לגבי מצבו הבריאותי הגופני או הנפשי של אדם, אשר חשיפה שלו עלולה להוביל לתוצאות בלתי הפיכות עבור האדם שהמידע שלו נחשף.
מידע פרטי מזהה מוגדר – PII – Personally Identifiable Information כאשר הפרט מוגדר “מושא המידע”.
מה זה GDPR?
ראשי התיבות של GDPR הן General Data Protection Regulation.
ה- GDPR הינו חוק אירופאי העוסק ברגולציה של הגנה על מידע ופרטיות במדינות האיחוד האירופי. כמו כן, ה- GDPR גם עוסק באופן ההעברה של מידע אישי אל מחוץ למדינות האיחוד. כאשר ארגון אוסף מידע פרטי מזהה או רפואי מזהה הוא מחויב להגן על פרטיות המידע. מטרת ה- GDPR הנה לאפשר לאנשים בקרה על המידע האישי הקיים עליהם, ולאפשר סביבת עבודה עסקית בינלאומית פשוטה ובטוחה.
למה צריך הסמכת GDPR?
כל ארגון אשר רוצה למכור מוצריו באירופה או לאזרחי האיחוד האירופי ומצד שני כחלק מתחום עיסוקו הוא מעבד מידע פרטי מזהה או שולט בשימושי המידע הפרטי המזהה, מחויב לעמוד בדרישות הרגולציה והחוק של ה- GDPR. לא ניתן לבצע פעילות עסקית באירופה או מול אזרחי האיחוד האירופאי, מבלי לפעול לפי חוקי ה- GDPR.
ארגון שולט במידע מול ארגון המעבד מידע
ארגון אשר שולט במידע מוגדר PIIקונטרולר/שולט PII controller-. כלומר ארגון PIIקונטרולר/שולט, הוא הקובע מי יאסוף את המידע, מהיכן המידע ייאסף, מה יהיו השימושים במידע, מתי יתבצעו שימושים אלו, איך יתבצעו ועל ידי מי. ארגון שמעבד מידע עבור מי ששולט במידע מוגדר PII פרוססור/מעבדPII processor- . זה יכול להיות ארגון שאוסף מידע, מעבד אותו, מאחסן אותו, או מבצע בו כל שימוש אחר.
דוגמא:
חברת נסיעות משתמשת בחברת פרסום (נותן שירותים) כדי לפרסם חבילות תיור ללקוחותיה. לשם כך היא מעבירה את המידע הפרטי שאספה מלקוחותיה אל ידיה של חברת הפרסום. חברת הנסיעות היא זו ששולטת במידע וחברת הפרסום היא זו שמעבדת את המידע על פי הדרישות והצרכים של חברת הנסיעות.
דוגמא נוספת:
חברת טלקום – היא זו שאוספת ושולטת במידע. חברת טלקום משתמשת בספק שמספק לה שירותי מרכזיה על מנת לנהל שירות לקוחות, כלומר בקשות ו/או תלונות לקוח. שירותי המרכזייה נחשבים “מעבד”. כלומר למעשה, כל ארגון או עסק אשר יש לו נגיעה במידע פרטי אישי מזהה, בין אם שולט במידע ובין אם מעבד אותו מחויב לעמוד בדרישות מסוימות.
כלומר, מחויב לשמור ולציית לחוקי הפרטיות. על השולט במידע מוטלות דרישות רבות ומורכבות יותר, אך ישנן גם דרישות ומוטלת אחריות גם על הארגון אשר מעבד את המידע עבור לקוח, כלומר נותן/ספק השירותים. לקוח יכול להיות שולט במידע או יכול להיות גם ארגון אחר שמספק שירותי עיבוד לשולט במידע.
מה ההבדל בין GDPR לתקן ISO 27701?
הדרישות החוקיות של ה- GDPR הן רבות ומורכבות. ארגון ה-ISO פיתח את תקן 27701 והוא נחשב מקביל לGDPR- בתחומים אותם הוא מכסה. והוא מתווה תהליכי עבודה לעמידה בדרישות ה- GDPR ועשוי לספק מענה לדרישות החוק.
דרישות ה- GDPR לארגונים המעבדים או אוספים מידע
- הסכמי שירות עם לקוח – יש להגיע להסכמות בכתב. ההסכם יפרט את תפקיד, דרישות ואחריות הארגון בפרויקט/בעבודה השוטפת.
- ה- GDPR דורש התייחסות לאספקטים מסוימים, למשל: כיצד דרישות האבטחה מנוהלות על ידי הארגון, איך מתנהל הארגון במקרה של פריצה, מהן הפעולות לשמירת אבטחת הפרטיות לאורך כל מחזור חיי המוצר, המערכת או התהליך, וכיצד מנוהלת ומתבצעת אבטחת “עקרון המינימום ההכרחי” גם לאחר שהמוצר או השירות יצא לשוק.
- עיקרון המינימום ההכרחי – כלומר מינימום המידע שנדרש לצורך ביצוע התפקיד ייחשף למינימום הכרחי של מורשי גישה.
- קביעת מטרות האירגון – המידע מעובד על ידי הארגון רק למטרה שצוינה על ידי הלקוח ולא למטרות אחרות, ובהתאם לדרישות החוזה (אותו דבר חל לגבי סאב קונטרקטור) ולדרישות החוקיות.
- שיווק ופרסום – אין להשתמש במידע האישי המזהה למטרות שיווק ופרסום בהעדר הסכמת מושא המידע המזהה, כלומר הפרט, באופן ספציפי ופורמלי.
- הנחיות לגבי הפרות – על הארגון להתריע בפני הלקוח אם ההנחיה שלו לגבי עיבוד המידע עלולה להפר דרישת חוק.
- חובות הלקוח – על הלקוח, כלומר הארגון השולט במידע חלות דרישות חוקיות רבות ונוספות, דרישות כלפי מושאי מידע PII וכלפי צדדים שלישיים אחרים ונוספים.
- לעיתים, הארגון המעבד נדרש לספק ללקוח את האינפורמציה הדרושה על מנת שיתאפשר ללקוח לציית לדרישות החלות עליו, למשל את האינפורמציה הדרושה כדי שהלקוח יבצע אודיט מטעמו או אם הארגון מאחסן מידע פרטי מזהה PII עבור הלקוח ייתכן שיהיה עליו לספק עותקים ממנו ללקוח עקב דרישת מושא המידע PII.
- תיעוד אשר קשור לעיבוד מידע פרטי מזהה PII – הארגון צריך לשמור תיעוד על מנת להוכיח שהוא מציית לדרישות. ה- GDPR לא מציין כמה ומה בדיוק לתעד וזה נתון להחלטת הארגון. דוגמאות לתיעוד יכולות להיות למשל: קלסיפיקציה או סיווג של סוגי העיבוד השונים אשר נעשים על ידי הארגון עבור לקוחותיו השונים. מינוי קצין פרטיות, ניהול סיכונים וכו’.
- פירוט העברת מידע למדינות שונות (דרישות חוקיות מקומיות שונות) יש ליידע את הלקוח על שמות ספקי המשנה ומדינות אליהן ה- PII- המידע הפרטי המזהה, יכול לעבור ואיך הארגון מוודא שספקי המשנה עומדים בדרישות. צריכה להיות התייחסות בחוזה עם הלקוח לספקי משנה.
- תיאור כללי של הבקרות אשר הוטמעו על ידי הארגון, למען שמירה על פרטיות המידע.
- דיווח על בקשות לחשיפת PII – ישנם מצבים שרשות חוק תדרוש חשיפה בעקבות חקירה שביצעה למשל, ויש לדווח על כך ללקוח.
- דיווח ללקוח על זהות ספקי המשנה שלו – אם הארגון סבור כי קיים סיכון משמעותי לחשיפת מידע אצל ספק משנה ניתן לבקש שיחתמו על NDA יש לקבל אישור בכתב מהלקוח לשימוש בספק משנה ולשינוי או הוספת ספק. יש לקבל אישור לפני תחילת תהליך עיבוד המידע. ספק המשנה מחויב בחוזה חתום והארגון צריך לדרוש מספק המשנה להטמיע את כל הבקרות של הסטנדרט.
- המטרה כאן להבטיח שמושאי המידע מקבלים את האינפורמציה הנכונה לגבי עיבוד PII המידע הפרטי שלהם ושהארגון עומד בכל החובות כלפיהם על מנת להגן על המידע היקר.
- יש לתמוך בלקוח בציות לחובות שלו מול מושאי PII. החובות של הלקוח אם הוא שולט במידע PII הן לספק אינפורמציה ראויה למושא המידע ולספק אמצעים למושא להפעיל זכויותיו. למשל זכות להתנגדות לשימוש במידע הפרטי מזהה PII או לביטול ההסכמה שניתנה כבר ע”י מושא המידע, לספק עותקים, לטפל בתלונות ועוד.
- על הארגון המעבד את המידע, לתמוך בלקוחות בזמן למשל שמושא PII מבקש למחוק או לתקן את המידע שלו (הארגון ימחק את המידע ויספק ללקוח תיעוד אותו הלקוח יעביר למושא ה- PII) או שהארגון צריך לספק עזרה טכנית על מנת שהלקוח יוכל לעמוד בדרישות. בד”כ יתועד בחוזה בין הצדדים.שמירת מידע – יש לקבוע כמה זמן הארגון ישמור PII לאחר סיום החוזה. לפעמים חוזה לא מוארך בזמן ואם הארגון ימחק את המידע, זה עלול להוביל לאיבוד מידע של הלקוח. לכן, זה תלוי בהסכם בין הצדדים.
- בקרות אבטחת פרטיות בזמן שידור PII – המטרה כאן היא להבטיח שידור PII באופן מאובטח, אשר יגיע ליעדו הראוי, בשלום ובהתאם להוראות הלקוח בחוזה, למשל אם הלקוח דורש הצפנה או שיטות אבטחה אחרות.
- מחיקת מידע – אם הארגון מוחק את המידע הפרטי המזהה הוא צריך לוודא שהוא מוחק את המידע מכל מקום, לרבות אצל ספקי משנה, גיבויים או מקומות אחרים רלוונטיים. למשל, קבצים זמניים – תתבצע מחיקה של קבצים זמניים ברגע שלא נצרכים יותר לעיבוד.
- החזרה, השמדה של מידע – בזמן מסוים המידע יצטרך להיות מסולק (מושמד או שהלקוח דורש את החזרת ה-PII), לתאר איך הארגון מנהל את השמדת המידע או החזרתו.
- העברת/ שיתוף מידע – איך מעבד המידע מעביר או משתף מידע?
- העברת מידע בין סמכויות שיפוט – על הארגון ליידע את הלקוח אם הוא מעביר PII לסמכות שיפוט אחרת כדי שהלקוח יוכל להביע התנגדותו או לדרוש לבטל חוזה על הארגון להבין את הדרישות החוקיות הנדרשות ממנו כאשר הוא מעביר מידע תחת כל סמכות שיפוט שונה.הארגון צריך לקבוע, לתעד ולהנגיש ללקוחותיו לגבי אילו מדינות הוא מעביר PII.
- תיעוד חשיפת PII – הארגון צריך לשמור תיעוד של חשיפות מידע פרטי מזהה PII לצדדים שלישיים.מה נחשף, למי, מתי ומאיזו סיבה (למשל, בזמן חקירה, אודיט, בזמן פעולות פנימיות של הארגון).
הסמכה לדרישות ה- GDPR
לסיכום, הן הארגון אשר מעבד את המידע עבור הארגון השולט במידע והן ארגון השולט במידע, מחויבים לעמוד בדרישות רבות, להפעיל ולנהל בקרות אבטחה שונות בהתאם לניהול סיכונים, תיעוד וכו’, ובנוסף, לעזור ולתמוך בלקוח שלו ולעשות כל שביכולתו על מנת להגן על המידע שהופקד בידיו. מדובר בדרישות מורכבות, אשר הארגון יתקשה להתמודד איתן לבדו, ובו בזמן להמשיך לנהל סדר יום עסקי כרגיל.
לפיכך, אנחנו בחברת ביו-כם מציעים לכם אפשרות לליווי והנחיה לאורך כל התהליך. נסייע לכם להבין את מטרות חוקי הפרטיות ו/או המידע הרפואי, נעשה סדר בדרישות המורכבות, ננסח נהלים ומדיניות המתאימה לארגון שלכם, נדריך את העובדים ונטמיע את ההנחיות בכלל הארגון.