החיים מתחילים בפסוק 30. אם לא תדעו מה יש לכם, לא תוכלו לצאת למסע
בספר שלנו, כמו בספרים אחרים, אין מאוחר ומוקדם. באופן מפתיע, פסוק 30 אליו הגענו היום הוא נקודת הפתיחה הנכונה למסע במחוזות ה GDPR.
על כל ארגון השולט במידע או מעבד אותו לתחזק באופן שוטף רשימה פורמלית, מסודרת, מפורטת ומעודכנת של כל תהליכי העיבוד שלו תוך דגש על כאלה המחזיקים מידע פרטי
זיכרו שההגדרה למידע פרטי רחבה מאוד.
על רשימה זו להכיל לפחות את השדות הבאים:
1. שם השולט/מעבד המידע ופרטיו
2. מטרת העיבוד
3. קטגוריות המידע השמורות בתהליך
4. למי יועבר המידע
5. פירוט המדינות מחוץ לאירופה אליהם יועבר המידע
6. אורך חיי המידע
7. תיאור הבקרות הטכנולוגיות והתהליכיות שנועדו להגן על המידע
אז עכשיו, כשאתם יודעים איפה אתם חיים, ניתן לצאת לדרך בבטחה. שיהיה לכם מסע קל ונעים!
פיקוח ללא קיפוח - מי נגד מי? חלק 31
פסוק 31 הינו קצרצר ופשוט לכאורה: הוא דורש כי השולטים במידע פרטי של תושבי אירופה והמעבדים אותו ישתפו פעולה עם הרשויות להן סמכות הפיקוח על יישום הרגולציה.
נותרה רק שאלה אחת קטנה: ארץ הקודש אינה באירופה (למעט בתחרויות ספורט כאלה ואחרות). אז מי סמכות הפיקוח הרלוונטית אלינו?
לאחרונה שומעים רבות על רשות הגנת הפרטיות אשר פעילה מאוד בתחום אחריותה. אך רשות זו כפופה לחוקי מדינת ישראל ולא לחוקים האירופאים.
אבל הרגולציה מגדירה כי היא תקפה לכל מקום בעולם בו מעבדים מידע פרטי של אזרחי אירופה. אז מי כאן אחראי?
חלק מהפתרון נמצא בפסוק 27 אותו ביקרנו לא מזמן. פסוק זה דורש כי כל ארגון הרלוונטי לרגולציה והוא נמצא מחוץ לאירופה יקים נציגות באירופה.
לנציגות תהיינה סמכויות מוגדרות ומתועדות והיא תהיה הכתובת לתלונות.
ומי מבטיח שבאמת תהיה נציגות כזו? ומי מבטיח שאכן ניתן יהיה ללכוד את מפרי החוק באמצעות השלכת החכה לנציגות המקומית?
ימים (והרבה עורכי דין) יגידו.
האבטחה שהתקיימה. סוף סוף זה בא - חלק 32
הרבה מדברים על אבטחת מידע והגנה על מידע פרטי כאילו מדובר על אותו דבר עצמו.
והנה, אתם מטיילים איתי כבר שלושים ואחד פסוקים ביצירה מפוארת זו ונושא אבטחת המידע כמעט ולא הוזכר בה עד כה, כאילו לא נודע כי בא אל קרבה.
אז לא שזה לא חשוב, אבל יש עוד נושאים רבים חשובים.
בתחום אבטחת מידע קיימים שלל סטנדרטים ורגולציות, כך שהפסוק שלנו היום יכול להרשות לעצמו לאמר לנו משהו בסגנון 'תעשו מה שצריך".
אז מה בכל זאת אומרים לנו? ככה:
1. על רמת האבטחה להתאים לרמת הסיכון.
2. ניתן לשקול בקרות אבטחת מידע שונות כגון, אנונימיזציה, הצפנה, אנומיזציה חלקית (כאשר ניתן לאחזר את המידע אך המפתח שמור היטב).
3. יש להבטיח את שלמות, חשאיות וזמינות המידע (הם קראו את הספר הנכון)
4. יש לבצע בדיקות תהליכיות וטכנולוגיות לוודא כי המנגנונים עובדים באופן יעיל.
ובסוף מזכירים לנו שוב (בפעם השלישית) כי כל מי שניגש אל המידע או מעבד אותו יכול לעשות זאת אך ורק בהוראותו המפורשת בכתב של מעבד המידע.
החיים מתחילים בפסוק 30. אם לא תדעו מה יש לכם, לא תוכלו לצאת למסע
בספר שלנו, כמו בספרים אחרים, אין מאוחר ומוקדם. באופן מפתיע, פסוק 30 אליו הגענו היום הוא נקודת הפתיחה הנכונה למסע במחוזות ה GDPR.
על כל ארגון השולט במידע או מעבד אותו לתחזק באופן שוטף רשימה פורמלית, מסודרת, מפורטת ומעודכנת של כל תהליכי העיבוד שלו תוך דגש על כאלה המחזיקים מידע פרטי
זיכרו שההגדרה למידע פרטי רחבה מאוד.
על רשימה זו להכיל לפחות את השדות הבאים:
1. שם השולט/מעבד המידע ופרטיו
2. מטרת העיבוד
3. קטגוריות המידע השמורות בתהליך
4. למי יועבר המידע
5. פירוט המדינות מחוץ לאירופה אליהם יועבר המידע
6. אורך חיי המידע
7. תיאור הבקרות הטכנולוגיות והתהליכיות שנועדו להגן על המידע
אז עכשיו, כשאתם יודעים איפה אתם חיים, ניתן לצאת לדרך בבטחה. שיהיה לכם מסע קל ונעים!
פיקוח ללא קיפוח - מי נגד מי? חלק 31
פסוק 31 הינו קצרצר ופשוט לכאורה: הוא דורש כי השולטים במידע פרטי של תושבי אירופה והמעבדים אותו ישתפו פעולה עם הרשויות להן סמכות הפיקוח על יישום הרגולציה.
נותרה רק שאלה אחת קטנה: ארץ הקודש אינה באירופה (למעט בתחרויות ספורט כאלה ואחרות). אז מי סמכות הפיקוח הרלוונטית אלינו?
לאחרונה שומעים רבות על רשות הגנת הפרטיות אשר פעילה מאוד בתחום אחריותה. אך רשות זו כפופה לחוקי מדינת ישראל ולא לחוקים האירופאים.
אבל הרגולציה מגדירה כי היא תקפה לכל מקום בעולם בו מעבדים מידע פרטי של אזרחי אירופה. אז מי כאן אחראי?
חלק מהפתרון נמצא בפסוק 27 אותו ביקרנו לא מזמן. פסוק זה דורש כי כל ארגון הרלוונטי לרגולציה והוא נמצא מחוץ לאירופה יקים נציגות באירופה.
לנציגות תהיינה סמכויות מוגדרות ומתועדות והיא תהיה הכתובת לתלונות.
ומי מבטיח שבאמת תהיה נציגות כזו? ומי מבטיח שאכן ניתן יהיה ללכוד את מפרי החוק באמצעות השלכת החכה לנציגות המקומית?
ימים (והרבה עורכי דין) יגידו.
האבטחה שהתקיימה. סוף סוף זה בא - חלק 32
הרבה מדברים על אבטחת מידע והגנה על מידע פרטי כאילו מדובר על אותו דבר עצמו.
והנה, אתם מטיילים איתי כבר שלושים ואחד פסוקים ביצירה מפוארת זו ונושא אבטחת המידע כמעט ולא הוזכר בה עד כה, כאילו לא נודע כי בא אל קרבה.
אז לא שזה לא חשוב, אבל יש עוד נושאים רבים חשובים.
בתחום אבטחת מידע קיימים שלל סטנדרטים ורגולציות, כך שהפסוק שלנו היום יכול להרשות לעצמו לאמר לנו משהו בסגנון 'תעשו מה שצריך".
אז מה בכל זאת אומרים לנו? ככה:
1. על רמת האבטחה להתאים לרמת הסיכון.
2. ניתן לשקול בקרות אבטחת מידע שונות כגון, אנונימיזציה, הצפנה, אנומיזציה חלקית (כאשר ניתן לאחזר את המידע אך המפתח שמור היטב).
3. יש להבטיח את שלמות, חשאיות וזמינות המידע (הם קראו את הספר הנכון)
4. יש לבצע בדיקות תהליכיות וטכנולוגיות לוודא כי המנגנונים עובדים באופן יעיל.
ובסוף מזכירים לנו שוב (בפעם השלישית) כי כל מי שניגש אל המידע או מעבד אותו יכול לעשות זאת אך ורק בהוראותו המפורשת בכתב של מעבד המידע.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
