רשימת עבודה לקראת ה-GDPR

לאחרונה כולם מדברים על ה-GDPR, הרבה גם יודעים מה המשמעות שלה, במה היא עוסקת ואפילו כמה גבוהים הקנסות שיכולים להטיל עליכם בגללה, אבל רוב העסקים עוד לא התכוננו להיקף המטלות הגדול שגלום בה.

אני שמח להציג בפניכם רשימת עבודה שתקל עליכם ותעזור לכם לבדוק את עצמכם. נכון, הרשימה אינה מלאה ואינה מחליפה יעוץ משפטי; אבל כל מסע גדול מתחיל בצעד חשוב קטן.

רשימת בדיקות לקראת ה-GDPR

1. יש לערוך סקר מיפוי מידע נרחב, להבנת המידע בו נעשה שימוש, והשימושים שייעשו בו. הסקר יכלול אף את כל העברות המידע מ- ואל אירופה, את כל הגופים שיקבלו אותו או יחשפו אליו, את פרטיהם, וכדומה.
2. יש לרכז ולבחון את המידע כולו, ולאחר מכן לחלקו לקטגוריות ספציפיות ולשמור פרטי איסוף, עיבוד, שימוש והעברה ביחס לכל קטגוריה. חשוב להבין מה מתוכו הינו מידע שמתר לאספו ללא הגבלה, מה הוא מידע אישי (הכפוף לרגולציה) ומה הוא מידע אישי רגיש (המחייב התייחסות מיוחדת).
3. במסגרת סקר זה יש לשים לב במיוחד הן למידע רגיש והן למידע שמתייחס אל ילדים, שכן ביחס אליהם יש הוראות מחמירות יותר ברגולציה.
4. על בסיס התוצאות יש לבדוק את תחולת הרגולציה על הארגון שלכם. האם אתם אוספים מידע על אנשים שנמצאים באירופה? האם אתם מנטרים אנשים שנמצאים באירופה (ברשת או מחוץ לה)? האם אתם מעבדים את המידע בשרתים באירופה? האם יש לכם "מוסד", כהגדרת הרגולציה, באירופה? שאלות אלו חייבות להבדק, להשקל ויש לקבל החלטה ברורה ומשפטית ביחס אליהן.
5. תיעוד הוא בסיס לרגולציה ולכן חשוב שיהיה חוצץ נפרד שירכז את כל הנושאים הרלוונטיים.
6. יש לבדוק מה סוגי המידע שנאספים, מה השימושים הנעשים ובחינת הפערים ביניכם לבין הרגולציה.
7. יש לוודא מה הבסיס החוקי לאיסוף ועיבוד כל קטגורית מידע.
8. בעת איסוף המידע, יש לוודא שהוגדרו המטרות לשמן נאסף המידע, והוצגו למשתמשים.
9. יש לוודא שהמידע הנאסף מוגבל בהיקפו למינימום הנדרש לשם ביצוע המטרות המוצהרות. אין לאסוף מידע מעבר להכרחי ולמוצהר.
10. במעבר ממשטר נטול GDPR למשטר כפוף לה, יש לרענן את ההסכמות שהושגו עד עתה, ולבדוק את התאמתן לרגולציה. אין לסמוך על קיומן של הסכמות שהושגו בעבר ולא ניתן להוכיח את עמידתן ברגולציה ויש לדאוג לקבלת הסכמה מחדש.
11. על ההסכמה להיות ברורה, חד-משמעית, לא מסומנת מראש, לא מותנית, ניתנת לביטול ומתייחסת באופן מפורט לפעולות האיסוף והעיבוד השונות.
12. יש לוודא שלצד ההסכמה תפורט גם הודעה ברורה על הרכיבים שחובה להודיע עליהם לפי התקנות באירופה. למשל – זהות ופרטי אוסף המידע ואחראי הגנת הפרטיות אצלו, מטרות האיסוף, הבסיס החוקי לאיסוף, קטגוריות המידע הנאסף, מקבלי המידע, מעבד המידע, משך תקופת שמירת המידע וכדומה.
13. יש לעדכן את מדיניות הפרטיות שלכם. יש לכלול בה את כל הפרטים הנדרשים בתקנות (כולל פרטיכם, פרטי הגופים שמעבדים את המידע עבורכם או שלהם אתם מעבירים את המידע וכדומה)
14. בחוצץ שפתחנו יתועדו למשל כל אישורי ההסכמה בדרך שניתנת להוכחה בפני הרשויות באירופה.
15. כדאי לתעד בו גם תרשומות, התלבטויות, התייעצויות, בחירות והסיבות לבחירות בפתרונות שמשפיעים על הגנת מידע ופרטיות. כך גם יתועדו ישיבות פנימיות על כל סוגיהן.
16. יש למנות קצין הגנת פרטיות ומידע (גם אם אין חובה לשם כך), או לפחות בעל תפקיד בארגון שזה תפקידו. במקביל כדאי גם לבדוק ולשקול אילו מבין הרשויות האירופיות להגנת מידע ופרטיות (DPA) היא זו שאנחנו עשויים להצטרך לדווח לה. יש לוודא שאחראי הגנת המידע שלכם יהיה כזה שמסוגל לתקשר עם אותה רשות, כמו גם עם הארגון שלכם.
17. יש לקבוע נוהל מדיניות לטיפול בפניות פרטים בקשר למידע ולמימוש זכויותיהם, ביחס לכל זכות בנפרד (כולל זכויות המחיקה, הפסקת העיבוד, העברת המידע וכדומה). על הנוהל לקבוע באילו דרכים ניתן למסור לכם הודעה כאמור, כיצד היא מטופלת, כיצד היא עומדת בלוח הזמנים הקבוע בתקנות הגנת המידע וכדומה.
18. יש לקבוע מדיניות הגנת מידע ופרטיות לעובדים ולקבלני המשנה והספקים, שתכלול נושאים כמו סיסמאות, הגבלות גישה והרשאות, הגבלות שימושים במכשור ובמידע וכדומה.
19. יש לקבוע נוהל מדיניות שמירת מידע ומחיקתו (ביחס לכל קטגורית או פרט מידע רלוונטיים). יש כמובן להפעיל גם את התהליך הטכנולוגי למעקב ומחיקת המידע שהגיע המועד למחיקתו.
20. יש להסדיר חוזית את המערך ההסכמי עם מי שאתם מעבירים אליהם מידע או שמעבדים אותו עבורכם ולהקפיד על ציות שלהם לרגולציה.
21. יש להעמיד טכנולוגיות לניטור ומעקב אחר פרצות מידע ולאמן את אנשי הצוות הרלוונטיים לזהות פרצות שכאלו וכמובן – לטפל בהן ולצמצם את נזקיהן. יש גם להדריך את הצוות כיצד לא ליפול בפח תרמיות מייל או אחרות ובעוד סיכוני פרצות אבטחת מידע.
22. יש לקבוע מדיניות ניהול פרצות מידע ודיווח עליהן וכן ליצור יומן פרצות מידע בו יתועדו כל הפרטים הנדרשים מכל פרצות המידע הרבות.
23. יש לאמץ אמצעי אבטחה טכנולוגיים, דוגמת HTTPS לאתר שלכם, גישה למידע תוגבל בהרשאות המתחייבות בלבד, פתיחת מחשבים רק באמצעות שם משתמש וסיסמא וכדומה. כן מומלץ לאמץ הצפנה של המידע ככל שניתן או לפעול על מנת להפכו למזהה פחות (בתהליך הקרוי בתקנות האירופיות pseudonimization במסגרתו מוחרגים מהמאגר שדות שיאפשרו זיהוי ואיתור אנשים פרטיים ספציפיים. על מידע זה להיות מוחזק במאגר מידע נפרד ומקביל).
24. יש לאמץ אמצעי אבטחה פיזיים, דוגמת – נעילת חדרים, ניקוי שולחן, התניית כניסה בשימוש בסיסמא, הגבלת שימוש בדיסק-און-קי וכדומה.
25. כדאי לארגן רשימת מצאי של פרטי החומרה הטכנולוגית (כמו מחשבים) והמידע האגור עליהם, על מנת להיות יכולים להראות במקרי של פרצת מידע – מה היקף המידע שנחשף.
26. יש ליישם שיקולי הגנת מידע ופרטיות במוצר או בשירות אותו אתם מעניקים, כבר משלב התכנון הבסיסי. כך למשל, יש לערוך סקר סיכוני פרטיות והגנת מידע (DPIA) כבר בשלב התכנון הראשון, וכן בכל שלב בו חל שינוי המחייב זאת.
27. יש לטפל בנושאי העברות מידע בינלאומיות בצורה מפורשת. לוודא שהמידע מועבר למדינות שקיימת ביחס אליהן החלטת נאותות (כמועד כתיבת רשימה זו, ישראל נמנית עליהן), לוודא את ציות מקבלי המידע ל-GDPR ולוודא גם חוזית וגם עובדתית שישנן מספיק בטוחות שימשיכו לכבד את הרגולציה ולאבטח את המידע ואת הפרטיות.
29. לצורך היערכות מיטבית בתחומי ה-GDPR, מומלץ מאוד להעזר בגופים המתמחים בהליכי התאמה ויצירת מתודולוגיות הגנה על פרטיות, דוגמת משרדנו יחד עם  גופים טכנולוגיים וארגוניים, מצידכם או מצידנו.