רשימת בדיקת תאימות ל-GDPR – דרישות הבדיקה מוסברות. ה-תקנות הכלליות להגנת נתונים (GDPR) מטרתן להגן על פרטיותם של אזרחי האיחוד האירופי. לכן, כל חברה שמשרתת את שוק האיחוד האירופי חייבת לעמוד בדרישות ה-GDPR. בעיקר, זו מתן תשתית משפטית שנוצרה כדי להגן על אזרחי האיחוד האירופי ולתת להם שליטה על הנתונים המקוונים שלהם.
לכן, כללי ה-GDPR מונעים מארגונים לרכוש מידע משתמשים בלי רשות. עליך לקבל את הרשות של המשתמש כדי לאסוף ולהשתמש בנתונים שלהם. מעל הכל, ה-GDPR מטרתו לספק הגנת פרטיות מלאה ולאפשר לאזרחים לבחור מי יכול לאסוף, לנתח ולהשתמש בנתונים שלהם.
מאמר זה מדבר על דרישות התאימות ל-GDPR שארגונים חייבים לעמוד בהן כדי לקבל תעודה.
האם נתחיל עם רשימת בדיקת תאימות ל-GDPR – דרישות הבדיקה מוסברות?
קרא גם רשימת בדיקת תאימות ל-SOX – דרישות הבדיקה מוסברות (שיטות מומלצות)
למי מתייחס GDPR?
ראשית, GDPR נועד להגן על אזרחים בתוך האיחוד האירופי (EU) ובריטניה. לכן, כל ארגון הפועל בתוך האזורים אלו חייב להיות מסורתי עם הדרישות. בנוסף, חברות מחוץ לאיחוד האירופי ובריטניה גם כן קשורות לסדרת GDPR, אם הן מעבדות נתונים מהאזורים. לדוגמה, חברה מבסיסת ארה"ב שמעבדת נתונים מאיחוד האירופי ובריטניה צריכה להיות מסורתית עם GDPR.
כדאי לציין שזה לא כמה דרישות GDPR עשויות להיות לא חלות אם עיבוד נתונים אינו חלק מהעסק שלך. בעיקרון, אין צורך למנות מושבע שליטה בנתונים (DPO) אם אינך מבצע עיבוד נתונים כלשהו.
10 דרישות תקינות GDPR
ובכן, עם רשימת סיכומים של GDPR – דרישות שיקופים, כדאי לדעת, של GDPR יש עשר דרישות שארגונים חייבים לעמוד בהם כדי להפוך להיות מסורתיים. אלו הם:
1. עיבוד נתונים הוגן, שקוף וחוקי
למעלה מכל, ה-GDPR מחייב ארגונים לתעד את הסיבות החוקיות בעת עיבוד הנתונים של המשתמשים. תחילה, עליכם ליידע אנשים על איסוף הנתונים האישיים. לאחר מכן, עליכם לספק סיבות תקפות למה ארגון שלכם אוסף ומעבד נתונים אישיים. לאחר מכן, כל עיבוד נתונים חייב להיות מבוסס על מטרה חוקית.
לאחר כל התייחסות, הארגון שלך צריך לציין את התקופה הספציפית לאחסון הנתונים. בנוסף, עליכם להודיע להם כל פעם שיש שינויים באיסוף הנתונים או בתהליכי העיבוד שלך.
2. ביקורת ועריכה של מדיניות ההגנה על הנתונים
כדי להיות עקרוניים עם ה-GDPR, עליכם ליישם מדיניות להגנה על הנתונים. אם כבר יש לכם מדיניות להגנה על הנתונים, עליכם לבדוק אותה באופן קבוע ולשמור על עדכון רציף. כתוצאה מכך, מדיניות ההגנה על הנתונים שלכם צריכה לספק פרטיות מידע על ידי עיצוב. כל השיטות הטכניות והארגוניות שמיושמות חייבות לאינטגרציה של סימוכיות נתונים.
ככל שנצוין, עליך גם לבצע באופן קבוע בדיקות רגילות בהתאם להתאמה ל-GDPR. המטרה העיקרית היא לאמת כי איסוף הנתונים, אחסון ועיבוד הם מאובטחים. בנוסף, וודא שהמערכות שלך עובדות עם קטגוריות הנתונים שצריכות לצורך מטרות מסוימות.
3. בצע ניתוח של השפעת הגנת הנתונים (DPIA)
הדרישה הבאה ברשימת הנדרשים לעמיתות תואמת ל-GDPR היא לארגונים, שעוסקים בנתונים נבדלים מאוד רגישים, לבצע ניתוח השפעת הגנת הנתונים (DPIA). DPIA בודק את ההשפעה האפשרית של פעילויות העיבוד של הנתונים של הארגון על המשתמשים.
A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.
4. הטמע צעדים מתאימים לאבטחת הנתונים
באופן סימולטני, תקני ה-GDPR מחייבים ארגונים ליישם צעדים מתאימים לאבטחת נתונים. עליך ליישם כלים ואמצעי אבטחת סייבר מתאימים כדי למנוע ממשתמשים לא מורשים לגשת לנתונים. ברעיון המיטבי, עליך ליישם כלים לאבטחת רשת ונתונים, בקרות גישה וכלים לניהול סיכונים פנימיים.
כלים לאבטחת נתונים כוללים גיבויי נתונים, אנטיוירוס, מערכות למניעת אובדן נתונים (DLP), והצפנה ואימות. בנוסף, ניתן לאבטח את רשת החברה שלך באמצעות VPN, חומת אש, ואבטחת רשת בשכבות. צעד חיוני הוא ליישם מעקב רשת בזמן אמת כדי לעזור בזיהוי כל פעילות לא רגילה בתוך הרשת שלך.
בקרת גישה מבטיחה כי רק משתמשים מורשים יכולים לגשת לנתונים. בהתאם לטבע הארגון שלך, אתה יכול ליישם גישה בעלת הקטנת הרשאות, אימות מרובה גורמים, ניהול זהות וגישה. כדי למזער סיכון מבפנים, אתה יכול ליישם מעקב אחר עובדים וניתוח של התנהגות משתמשים.
5. ליישם זכויות פרטיות של משתמשים
באופן שווה, ה-GDPR מספק למשתמשים מגוון זכויות פרטיות כדי לוודא שיש להם שליטה על הנתונים שלהם. בעצם, יש שמונה זכויות שארגון שלך צריך להעניק למשתמשי הנתונים. אלה כוללים:
זכות למידע
ליידע אנשים על סוג הנתונים שאתה אוסף ואיך אתה משתמש בהם. כמו כן, עליך ליידע אותם כיצד אתה זקוק לנתונים והאם הם משותפים עם צדדים שלישיים.
זכות לגישה
ברור, GDPR מחייב ארגונים להעניק למשתמשים גישה לנתונים. לפי כל הנראה, כל אדם יכול להגיש בקשת גישה לנתוני נושא (DSAR) שמחייבת ארגונים לספק עותקים של הנתונים לאנשים המעורבים. עליך לספק את הנתונים הללו תוך חודש מהבקשה אלא אם יש יוצא מן הכלל.זכות לתיקוןהארגון צריך לתקן את נתוני המשתמש, אם הם אינם מדוייקים או לא מלאים. המשתמש יכול לבקש מהארגונים לתקן.
זכות למחיקה
המשתמש יכול לבקש למחוק את הנתונים שלו, אם הם אינם מדוייקים או לא מלאים. המשתמש יכול לבקש מהארגונים לתקן.
זכות לעריכה
A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.
זכות להתנגדות
למשתמשים יש זכות להתנגד לאיסוף ועיבוד נתונים, בלתי תלוי אם זה למטרה חוקית. זאת אלא אם הארגון מספק סיבה תקפה שמעלה על הזכויות והחירות של המשתמש.
זכות לניידות
במקרה שאנשים מספקים נתונים אישיים לבעלי נתונים בדרך של הסכמה, יש להם זכות לקבל ולשקף מחדש את הנתונים שלהם.
זכות להגבל עיבוד
באופן כללי, לאדם יש זכות להגביל עיבוד כאשר הוא כבר לא משתמש בפרויקט. זה חל כאשר הארגון צריך להשתמש בנתונים לתביעה משפטית.
זכויות בקבלת החלטות
ה-GDPR מספק חוקים קפדניים במקרים בהם ניתן לעבד נתונים באופן אוטומטי למטרות קבלת החלטות ללא השתתפות אנושית. לאנשים יש את הזכות לערער על העיבוד ולבקש בדיקה של העיבוד, אם הם מאמינים שהארגון אינו מקיים את הכללים.
6. תיעוד העמדה שלך כלפי GDPR
7. מינה אזרח שליטה בשירותי הפרטיות
A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.
A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.
תפקידי ה-DPO כוללים:
- ניטור שיטות עיבוד נתונים.
- שימוש כמתווך בין הארגון לבין רשויות GDPR.
- עונה לארגון על שיטות התאמת GDPR הטובות ביותר.
- סיפקות אבחון השפעות הגנה על נתונים מדויקות.
בשל טבע המשימה, מומחה הפרטיות (DPO) צריך להבין נכון את חקיקת ה-GDPR ושיטות המיטביות.
8. דו"ח פריצות נתונים
בנוסף, ה-GDPR דורש משתמשים לדווח על פריצות נתונים באופן מיידי. גם עובדי העיבוד וגם מנהלי הנתונים חייבים לדווח על פריצות נתונים תוך 72 שעות מתוך גילוי. עם זאת, זה אינו חובה, אם האירוע אינו פוגע בזכויות ובחופש המשתמשים. עובדי העיבוד צריכים להודיע למנהל הנתונים, שבתורו צריך ליידע את הרשויות להגנת הנתונים (DPA).
לכן, אתה צריך לספק ל-DPA תיאור של טבע הפריצת הנתונים. כמו כן, עליך לספק מידע על מספר נושאי הנתונים וכל שלבות התוצאות האפשריות. במסמך, ציין את כל המדיניות המושתת על כדי לכפות את ההשפעה של פריצת הנתונים.
9. הדרכת עובדים
GDPR דורש מארגונים להכשיר את העובדים על דרישותיו ועל הליך הגנת הנתונים כדי למזער את סיכוני הפריצה לנתונים. להכשיר את כל העובדים על הפרטיות של הנתונים האישיים, על סיכוני הסייבר האפשריים, ועל התוצאות של אי התאמה לדרישות. בתכנית ההכשרה, אתה מדגיש את המודעות לעיבוד נתונים. בנוסף, חומרי ההכשרה צריכים להיות מעודכנים באופן קבוע עם דוגמאות רלוונטיות של הפרצות סייבר.
10. להעריך את סיכוני הצד השלישי באופן קבוע
ממשיכים עם רשימת ווידוי GDPR – דרישות אודיט מוסברות, נבהיר את עקרונות GDPR.
שפר את האמות הפעילים שלך ואת האבטחה ואת Active Directory & Azure AD שלך
נסה אותנו בחינם, גישה לכל התכונות. – ישנם מעל 200 תבניות דוחות AD זמינות. התאמה קלה של דוחות AD שלך.
עקרונות ה-GDPR
ל-GDPR יש מספר עקרונות המסכמים את הדרישות הרבות שלו. לדוגמה, הוא מגדיר עקרונות לטיפול, אחסון ועיבוד מידע אישי. קיימים שבעה עקרונות מפתח של GDPR:
חוקיות, הוגנות ושקיפות
כל עיבוד מידע אישי צריך להתבצע על בסיס הוגן וחוקי. בנוסף, זה צריך להיות שקוף לבעלים איך מידעם האישי שלהם נאסף, משומש, ומעובד. עקרון זה גם מחייב שהמידע הקשור למידע האישי יהיה נגיש ומוצג בשפה פשוטה וברורה. על המשתמשים שנותנים את הסכמתם, הארגון צריך גם לעמוד בהתחייבות משפטית. אסור לך להטיל ספק בנוגע למידע שאתה אוסף.
מגבלת מטרה
העקרון השני של GDPR קובע גבולות על פעילויות השימוש במידע. כלומר, אתה מעבד רק מידע עבור מטרות מוכרחות, שמופיעות בהודעת פרטיות. אל תעבד מידע למטרות אחרות מאשר המצויינות וצריך לתקשר עם נתיילים על מנת לקבל את הסכמתם.
מינימום מידע
אסוף רק את הכמות הקטנה ביותר של נתונים הנחוצים למטרות שלך. לדוגמה, אם אתה זקוק למידע קשר עבור משתמשים כמו כתובת דוא"ל, אסור לך לבקש מידע מיותר כמו מיקום פיזי, מספרי טלפון וכד', מאחר שהם אינם קשורים למטרה הספציפית.
דיוק
תמיד בדוק את הדיוק של הנתונים שאתה אוסף ושומר. באופן אידיאלי, עליך להיות בתהליך של בדיקה תקינות לבדוק האם הנתונים נכונים ושלמים.
מגבלת אחסון
ציין והסבר את כמות הנתונים של המשתמש שאתה מתכנן לשמור. זה מבטיח שלא תשמור עליהם יותר מדי זמן. לאחר שהארגון משלים את הצרכים שלו, הוא צריך למחוק את הנתונים מיידית. במקרה שהארגון צריך לשמור על נתונים יותר מדי זמן, עליו לקבוע תקופת שמירה ולהסביר אותה.
שלמות וחינמיות (בטחון)
ה-GDPR מחייב מיזמים לעבד נתוני משתמשים באופן המבטיח אבטחה והגנה. באופטימלי, כל פעילויות עיבוד צריכות להגן על הנתונים מפני נזק או הרס, עיבוד לא חוקי ואובדן במקרה. במהותם, הארגון שלך צריך ליישם את המדיניות הטובות ביותר האפשריות לשמירה על מידע אישי. מדיניות אלה כוללות בדיקת פגם, הצפנת נתונים, יצירת גיבויים במיקומים מרוחקים ועוד.
אחריות
עקרון זה קשור לארגון שמפקיד אחריות כאשר עובד נתוני משתמשים. כעובד נתונים, עליך לפעול באחריות כאשר מעבדים מידע אישי בהתאם ל-GDPR. בעיקרון, עליך להתחייב לקיום הדרישות השונות ולתעד אותם באופן ראוי.
קרא גם נסה את כלי הניהול Office 365
איך לערוך בדיקת GDPR
כמו כן, בדיקת רמי תאימות GDPR בדיקה שונה מארגון לארגון, תלוי בטבע הבדיקה של נתונים אישיים. לפני שארגון משיג אישור, הוא חייב לבצע בדיקות כדי להעריך את רמות ההתאמה שלו. בדיקות GDPR מתמקדות באבטחת המידע וממשל הנתונים. כאן עם מפת דרישות בדיקה להתאמת GDPR, ישנם שלבים המעורבים בבדיקת GDPR:
1. צור תוכנית בדיקת GDPR
השלב הראשון לקראת בדיקת GDPR הוא יצירת תוכנית בדיקה. בכלליות, זו סדרה של תהליכים מפורטים וניתנים לביצוע על מה לכתוב במהלך הבדיקה. הארגון צריך להיות מודע לנתונים שהוא מחזיק במהלך מחזור החיים שלהם. כמו כן, ודא את מיון הנתונים האישיים תלוי באופן שבו אתה אוסף אותם ומאיפה הם באים.
2. בדוק פערים בהתאמת GDPR
לאחר יצירת דוח בדיקה, בדוק את תוכנית ההתאמה GDPR הנוכחית שלך. עליך לבדוק רשימות עיבוד נתונים, שיטות העברת נתונים, תהליך פניות משתמש DSAR, עקרונות פרטיות, ובקרות אבטחה. באופן ראשוני, זהו שלב גילוי המאפשר לך לגלות אם הארגון מתאים לחוקי GDPR.
לאחר בדיקת ההסדרה, יש לאדון ליצור דו"ח המתאר את התהליכים הנוכחיים ואת האזורים שאינם מתיישרים עם חוקי ה-GDPR.
3. לתקן את פערי ההסדרה
לאחר שהמ稽核员 זיהו פערי ההסדרה, הארגון צריך לקחת גישת תיקון מבוססת סיכון. לבדוק את הדו"ח נגד דרישות ה-GDPR ועקרונותיהם ולתקן כל לא מסורגים אזורים. באופן אידיאלי, עליך להתחיל עם האזורים בסיכון גבוה שעשויים להשפיע בצורה מפריעה על הארגון.
4. לבדוק את מאמצי התיקון
התהליך האחרון כולל בדיקה האם תהליך התיקון מבטל את פערי ההסדרה. עליך לבדוק האם מערכות ותהליכים הארגון עומדים בדרישות ה-GDPR. לבדוק את התהליכים והשליטות שהותקנו כדי לוודא שאין פערים. ברגע שאתה משלים את התהליך זה, לערוך בדיקה כדי לוודא שהארגון שלך עומד בכל הדרישות.
חשוב לציין שבדיקת ההסדרה של GDPR היא תהליך מתמשך. עליך לבצע בדיקות אלה באופן קבוע, במיוחד אם אתה משנה תהליכים ומערכות עיקריים של הארגון.
תודה שקראת GDPR Compliance Checklist – Audit Requirements Explained. נסיים את המאמר הזה.
צ'קליסט להתאמת GDPR – הסבר על דרישות הבדיקה מסקרנות ומסקרנות יותר
עמידה בדרישות GDPR היא תהליך מאתגר שדורש צוות טכני ברמה גבוהה, DPO מוסמך ועובדים מודעים. הארגון שלך צריך ליישם את כל מערכות ההגנה על הנתונים הנדרשות ולוודא שהוא אוסף, אוחסן ומעבד את נתוני המשתמשים בצורה מאובטחת וחוקית.
לעוד טיפים בתחום הסייברסיקיוריטי כמו אלה, קרא בבלוג שלנו!
Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/