GDPR צ'קליסט – נושאים לבדיקה

האם העסק הדיגיטאלי שלי תואם לרגולצית הגנת הפרטיות באירופה, ה–GDPR?

במאמר הזה נשמח להציע לכם כלי בסיסי לבחון ולהתאים את העסק שלכם ל-GDPR (הרגולציה האירופית להגנת מידע ופרטיות) שלא תמצאו באף מקום אחר, בעברית.

מובהר כבר כעת, שרשימה זו אינה ממצה ואינה מספקת כשהיא לבדה. ללא איש מקצוע מוסמך שילווה אתכם, ההכנה תהיה חלקית בלבד. כמו כן שימו לב שבישראל חלות תקנות אבטחת המידע, שהאמור מטה אינו מכסה אותן במלואו.

עם זאת, מוטב שתתכוננו חלקית מאשר שתתעלמו לגמרי ולשם כך אנחנו כאן, לסייע, הן במסמך זה והן בהתאמה אמיתית לרגולציה. אתם מוזמנים ליצור עמנו קשר ב-03-6133333.

[ ] האם ההנהלה של הארגון שלכם מודעת לרגולציה ולחובתה לבדוק האם העסק שלכם תואם לרגולציה על מנת לא להקים למנהלים חבות אישית ולא לפגוע בעסק?

[ ] האם הרגולציה בכלל חלה עליכם? (הערה: גם אם התשובה היא לא, חלקים משמעותיים מהרגולציה אומצו לדיני הגנת הפרטיות הישראלי, הן לגבי זכויות הפרטים במידע וקבלת הסכמתם והן לגבי אבטחת המידע. אנא בידקו את עצמכם מול עורך דינכם לוודא שאתם עומדים בדיני הגנת הפרטיות ואבטחת המידע הישראליים).

[ ] האם הרגולציה חלה על מי שאתם מספקים להם שירות והם דרשו מכם להיות תואמים ל-GDPR?

[ ] האם בחנתם את כל זרמי המידע שנאסף, את הקטגוריה אליה משתייך כל זרם שכזה, ואת כל הנדרש?

[ ] האם אבחנתם מידע רגיש (דוגמת מידע על אמונות דתיות, העדפות מיניות, מידע המתייחס לילדים וכדומה) ופעלתם בהתאם לרגישות המידע?

[ ] האם "ניקיתם" מידע קודם שנמצא בידיכם והתאמתם אותו לרגולציה?

[ ] האם תהליך תכנון המוצר/שירות שלכם מלווה בשיקולי פרטיות שניתן להם המשקל הראוי?

[ ] האם ברירת המחדל בהגדרות המוצר שלכם היא פרטיות, אלא אם המשתמש בחר אחרת?

[ ] האם בוצע סקר בדיקת סיכוני הגנת מידע ופרטיות (DPIA) בשלב הבסיס והאם קיים אצלכם נוהל לביצוע חוזר שלו בכל מקום בו הדבר נדרש (כמו למשל בפיתוח מוצר חדש או שינוי טכנולוגי במוצר קיים)?

[ ] האם נושא הפרטיות הובהר ואומץ לכל אורך שדרת הארגון? (החל מההנהלה הבכירה, דרך אנשי כוח אדם, אנשי המו"פ, השיווק ומכירות, שירות הלקוחות, התמיכה הטכנית, סגל הנקיון והאבטחה וכדומה)?

[ ] האם הגדרתם את מטרות את איסוף ועיבוד המידע והן תקינות וידועות?

[ ] האם בחנתם את כל פעולות עיבוד המידע, את נחיצות המידע לצורך כל מטרה ואת החובה למחקו כאשר אין בו צורך עוד?

[ ] האם מיניתם אחראי פרטיות והגנת מידע או שקלתם האם אתם חייבים לעשות זאת לאור דרישות ה-GDPR? (אם כן, האם אתם עומדים בדרישות ה-GDPR ביחס אליו?)

[ ] האם אימצתם מדיניות פרטיות מסודרת מול נשואי המידע שנאסף אצלכם? אם כן – האם המדיניות שלכם מפורטת כנדרש ועלה בקנה אחד עם דרישות הרגולציה האירופית?

[ ] האם אימצתם מדיניות פרטיות מסודרת ביחס לאופן פעולת העסק או המוצר שלכם (למשל – הצהרת "קוקיות" (cookies) מתאימה)?

[ ] האם כל פעולה איסוף מידע או עיבוד שלו מלווה בגילוי העולה בקנה אחד עם הרגולציה ובהסכמה?

[ ] האם ההסכמה הינה ברורה, חד משמעית, מפורטת ביחס לכל רכיביה, בולטת, מובחנת מהיתר, לא מותנית ולא מסומנת מראש, מובנת ומתועדת כנדרש?

[ ] האם נתתם הודעה מלאה כנדרש ("שקיפות") על כל פרטיכם שלכם, פרטי המידע הנאסף, השימושים שייעשו בו, העברותיו לאחרים, האמצעים הטכנולוגיים בהם מתבצע האיסוף וכל פרט אחר הנדרש ברגולציה?

[ ] אם אין הסכמה מתאימה – האם איתרתם בסיס חוקי אחר לאיסוף המידע ועיבודו?

[ ] האם אתם מכירים את כל זכויות הפרט לפי הרגולציה? (הזכות לקבל אישור האם נאסף עלי מידע, הזכות לקבל את המידע שנאסף עלי, הזכות להעביר את המידע שנאסף עלי לאחרים בצורה נוחה טכנולוגית, הזכות לתקן מידע שגוי, הזכות למחוק מידע, הזכות להגביל או להפסיק עיבוד והזכות למנוע קבלת החלטות אוטומטית ו"פרופיילינג")?

[ ] האם הכנתם נוהל פעולה ביחס לכל פניה המבוססת על כל אחת מהזכויות ואתם יודעים שתוכלו לבצע את הנדרש במשך הזמן שנקבע ברגולציה?

[ ] דוגמאות לאלמנטים שכדאי לכלול בשירות המקוון שלכם: תיבת הסכמה מסודרת עם הודעה ברורה ומלאה לצידה וקישור למדיניות פרטיות מורחבת; שילוב הזכות לקבל, לצפות, לתקן, להוריד, להעביר ולמחוק את המידע בממשק ההגדרות של המשתמש; הליך של אישור הסכמה כפול; וכדומה.

[ ] האם כל פעולות העיבוד, אבטחת המידע, הגנה בפני פרצות מידע והעברות מידע לאחרים אצלכם מתועדות בפירוט וכנדרש?

[ ] האם נקבע נוהל מניעה, טיפול ודיווח בפרצות מידע והאם הנוהל מאפשר לכם לעמוד במועדים שנקבעו בתקנות לשם דיווח על פרצות המידע לרגולטור או לציבור?

[ ] האם זיהיתם את כל הנקודות בהן המידע נחשף בפני אחרים או מועבר אליהם וטיפלתם בהן?

[ ] האם נקטתם את כל אמצעי האבטחה הסבירים והנדרשים בתחומים השונים?

[ ] אמצעי אבטחה ארגוניים: למשל – האם נקבעו נהלים מתאימים לכל אחד מהמקרים הנדרשים לפי ה-GDPR (דוגמת טיפול במידע אישי או איתור ודיווח על פרצות מידע – data breaches? האם מתקיימים ימי הדרכה חוזרים ומסודרים בנושאי הגנת הפרטיות וכל עובדיכם הודרכו ואישרו בכתב שהודרכו בנושא באופן שוטף?

[ ] אמצעי אבטחה משפטיים: למשל – האם הסכמי ההעסקה של עובדיכם ושל הקבלנים עימם אתם עובדים הותאמו לדרישות הרגולציה? האם נוסחו כל המדינויות וההצהרות הנדרשות כנדרש? האם בחנתם את כל שירותי הענן בהם אתם משתמשים ואתם יכולים לוודא שהם אמינים, שההסכמים עימם משלבים את שחובה עליכם לשלב ואתם יודעים שהם GDPR compliant?

[ ] אמצעי אבטחה טכנולוגיים: למשל – האם אתם נוקטים בהצפנה? בהתממה אחרת של המידע (דוגמת פסודונימיזציה או הפרדה בין מאגרי המידע)? האם העברות המידע מוגנות מספיק (SSL למשל)? האם הרשאות הגישה והשינוי של המידע מנוהלות כנדרש? האם אומצו מנגנוני זיהוי מתאימים? האם נושא מיזעור המידע קיבל ביטוי טכנולוגי מתאים והולם? כיצד מנוהלים גיבויי המידע?

[ ] אמצעי אבטחה פיזיים: למשל – האם דאגתם לנעול את הקלסרים המחזיקים במידע אישי והאם הכניסה למקומות רגישים בעסק מוגבלת פיזית למי שחייב לגשת אליהם בלבד? האם אתם מוודאים שאנשים זרים אינם מסתובבים בעסק ללא פיקוח? האם הכניסה למשרדיכם ולחדרים בהם מאוחסן מידע אישי – חופשית? כיצד אתם מגינים על אמצעי זכרון ניידים מפני גישה ובמיוחד במקרי מחיקה או אובדן? האם התקנתם סורגים בחדרים הנדרשים? ואמצעי איתור וכיבוי שריפות?

[ ] האם הכנתם נוהל איתור פרצות מידע, תיעוד ודיווח עליהן ואתם עומדים בו?

[ ] האם ההסכמים עם מי שמבצע עבורכם את פעולות העיבוד הותאמו לרגולציה ומבצע העיבוד נבדק ונמצא מתאים? (כשהעבודה מתבצעת באירופה, אפילו ספק השכר ותלושי השכר שלכם חייב התאמה של ההסכמים עימו לרגולציה, למשל).

[ ] האם הביטוח שלכם מכסה אתכם במקרי תקלות?

מקווה שעזרנו. עכשיו העבודה עליכם ועל המומחה שתצרפו אליכם.

בהצלחה.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-22.12.2022.