כדי לשמור על אבטחת נתוני הצרכנים, האיחוד האירופי (האיחוד האירופי) יישם חוק קפדני בנושא פרטיות ואבטחה הידוע בשם האסדרה הכללית להגנה על מידע (האסדרה הכללית להגנה על מידע). הסדרה הכללית להגנה על מידע מגדירה ואוכפת את זכויות אזרחי האיחוד האירופי בנוגע לנתונים האישיים שלהם. היא מיישמת סטנדרטים של אחריותיות, אבטחה ושקיפות בשימוש בנתונים אלה.

חברות גלובליות הפועלות באיחוד האירופי או מטפלות בנתונים אישיים מהאיחוד האירופי צריכות להבין כיצד הסדרה הכללית להגנה על מידע תשפיע עליהן וכיצד לשמור על הסדרה הכללית להגנה על מידע תאימות.

היבט אחד של תאימות זו הוא יישום הסכם עיבוד נתונים (DPA). הסכם עיבוד נתונים של הסדרה הכללית להגנה על מידע מפרט את הפרטים, הכללים, הזכויות והחובות הקשורים לפעילויות עיבוד נתונים. זה עוזר להבטיח תאימות של החברה, לאבטח נתונים ולשמור על הגנה ושביעות רצון הצרכנים

מדריך זה מספק מבט מקרוב על אופן פעולתם של הסכמי הגנה על מידע ומה יש לכלול בהסכם.

מהו DPA תחת הסדרה הכללית להגנה על מידע?

הסכם עיבוד נתונים הוא חוזה שנחתם בין בקרי נתונים לבין מעבדי הנתונים שיטפלו בנתונים שלהם. זה נדרש עבור הסדרה הכללית להגנה על מידע תאימות.

הסכם עיבוד נתונים מפרט את אופיין, מטרתן ומשכן של פעילויות העיבוד שיתבצעו. כמו כן, הוא מציין את סוג המידע האישי שיש לעבד ואת קטגוריות האנשים שאליהם המידע שייך. זה מגדיר את הזכויות והחובות שיהיו לבקר. זה יכול לציין את השימוש באמצעי אבטחה טכניים, כגון רמת הצפנה מסוימת, שחייבים להיות קיימת.

הסכם הגנה על מידע (DPA) מחייב מבחינה משפטית, ועל בקר הנתונים ומעבד הנתונים לציית לו או להסתכן בעונשים חמורים.

היתרון העיקרי של הסכם עיבוד נתונים הוא שהוא מבטיח את הכישורים והאמינות של מעבד הנתונים. חברות צריכות לדעת שהנתונים שלהן נמצאים בידיים טובות, שהם פרטיים ומאובטחים מפני עיניים סקרניות. הסכם הגנה על מידע מסייע לספק את ההבטחות הללו.

להסדרה הכללית להגנה על מידע ולדרישות ה-DPA שלה צפויות להיות השפעות משמעותיות על פעולות עסקיות בעתיד. עסקאות עסקיות עשויות להשתנות ככל שאיסוף נתונים אישיים הופך מוגבל יותר, תקשורת בנוגע לאיסוף ואחסון נתונים הופכת חיונית, ויחסים עם צד שלישי דורשים חוזים מחמירים יותר. חברות בודדות ומחלקות משאבי אנוש שלהן יחושו השפעות נרחבות כאשר הן מתאימות את התהליכים שלהן כדי לעמוד בדרישות האסדרה הכללית להגנה על מידע.

היתרון של דרישות הסדרה הכללית להגנה על מידע הוא שהאמון עשוי לפרוח בעסקים ככל שאנשים הופכים בטוחים יותר בפרטיות ובהגנה של הנתונים שלהם.

מתי נדרש הסכם עיבוד נתונים?

האם אתם צריכים הסכם עיבוד נתונים? ייתכן שתעשה זאת אם אתה מטפל במידע אישי בתוך האיחוד האירופי או ממנו.

על פי הסדרה הכללית להגנה על מידע, מסמך DPA הוא חובה בכל פעם שאדם או ארגון מוסרים נתונים אישיים לספק שירות צד שלישי לצורך שירות שיתופי. כל הצדדים הפועלים כמעבדי נתונים חייבים לחתום על הסכמי עיבוד נתונים עם בקרי הנתונים.

לדוגמה, באיחוד האירופי, שירות שמארח אתר אינטרנט חייב לחתום על הסכם הגנה על מידע (DPA) עם החברה שאליה שייך האתר. חברה המעבדת מידע אישי כדי לספק שיווק צרכני ממוקד חייבת גם היא לחתום על הסכם הגנה על מידע.

להלן מספר שירותים עסקיים ותרחישים נפוצים נוספים הדורשים אישורים לניהול נתונים:

  • מיקור חוץ של ניהול דוא"ל
  • פתרונות עיבוד נתונים טכניים לחשבונאות פיננסית ושכר
  • שירותי גיבוי נתונים, בין אם דרך שרתים פיזיים או בענן
  • איסוף נתונים או דיגיטציה באמצעות ספק שירות חיצוני
  • סילוק חומרה ישנה המכילה מידע רגיש

במקרים מסוימים, הסדרה הכללית להגנה על מידע יכולה לדרוש DPAs עבור חברות מחוץ לאירופה. דרישה זו נכנסת לתוקף בכל פעם שמעורבים נתונים של האיחוד האירופי. לדוגמה, חברה הממוקמת בקנדה עשויה להיות כפופה לדרישת ניהול נתונים (DPA) אם היא מטפלת במידע הנוגע לאזרחי האיחוד האירופי.

מתי אין צורך באישור DPA?

מתי לא נדרש DPA, טבלה הכוללת שותפויות, שירותי פורטל, סוכנויות גבייה וניהול נתונים משותף מחברות מרובות.

מספר תרחישים ספציפיים אינם דורשים DPA. יש להם הגנות מובנות שהופכות את הגנת DPA למיותרת. שקול את הדברים הבאים כדי שתוכל להבין טוב יותר את חובות החברה שלך בנסיבות אלה:

  1. שותפויות עם קבוצות מקצועיות המחייבות דרישות סודיות: במקצועות רבים, שיטות עבודה מומלצות הן שספקי שירותים יהיו בעלי הסכמי סודיות מותאמים אישית ספציפיים לתעשייה, המכסים את כל אמצעי האבטחה ודרישות הפרטיות ש-DPA ידרוש. כמה מקצועות המשתמשים בדרך כלל בהסכמי סודיות אלה כוללים משפטים, ייעוץ מס וביקורת פיננסית. שירותי בריאות רבים מגיעים בדרך כלל גם עם הבטחות סודיות קפדניות משלהם.
  2. שירותי פורטל: שירותים המחברים אך ורק אנשים או ישויות פטורים בדרך כלל מדרישות ניהול נתונים. שירותי שידוכים מקצועיים אלה הם כה זמניים עד כי ל-DPA תהיה תועלת מועטה. מגייסים, למשל, נופלים תחת הקטגוריה הזו. הם פשוט מחברים אנשים המחפשים עבודה עם חברות המחפשות חברי צוות חדשים ומוכשרים. תרחיש זה מיותר את הסכם שיתוף הפעולה עם המגייס.
  3. עבודה עם סוכנויות גביית חובות: סוכנויות גביית חובות מקבלות גישה למידע פיננסי אישי ומידע רפואי. מכיוון שסוכנויות גבייה נפרדות מהנושים המקוריים וגובות את החוב למען רווח עצמי, הן פטורות מדרישות DPA. אם הם היו פועלים מטעם הנושים המקוריים, סוכנויות הגבייה היו צריכות לחתום על הסכמי DPA.
  4. ניהול נתונים משותף מחברות מרובות: במקרים מסוימים, חברות עובדות כקבוצה כדי לנהל אוסף נתונים. תרחיש זה מתרחש לעתים קרובות כאשר לחברות יש גישה משותפת לנתונים מספקים, מוצרים או לידים למכירות. למרות שהחברות עשויות להיות מתחרות, הן משתמשות באותם נתונים לאותן מטרות כלליות. היקף השימוש בנתונים זה בדרך כלל אומר ש-DPA אינו חובה.
  5. ניסויים קליניים: ניסויים קליניים בקנה מידה גדול של תרופות אינם משתמשים בדרך כלל בהסכמי הגנה על נתונים (DPAs) בגלל התורמים הרבים שהם כוללים. לרופאים, מרכזי מחקר וספונסרים יש גישה לנתוני הנבדק, וכולם מעבדים אותם בצורה שונה בהתאם לצרכיהם. הנתונים שנאספו משמשים בדרך כלל גם למטרות שונות לאורך הניסוי הקליני. בנסיבות אלה, בדרך כלל הסכמי הגנה על מידע אינם חלים.

מי הוא בעל האחריות למידע?

כל הסכם DPA מתקיים בין בקר נתונים למעבד נתונים. בעל השליטה בנתונים הוא הארגון או האדם שקובע כיצד ומדוע לעבד נתונים אישיים. אם החברה שלך מחליטה לשלוח נתונים לצד שלישי לצורך גיבוי בשרתים שלה, החברה שלך היא האחראית על בקרת הנתונים.

המאפיין המגדיר של בעל שליטה במידע הוא סמכות קבלת החלטות. בעל האתר מקבל החלטות מקיפות לגבי הסיבות לאיסוף הנתונים והדרכים בהן יש לעבד את הנתונים האישיים.

ברוב המקרים, חברה או ארגון הם בעלי האחריות על עיבוד הנתונים. מעבד הנתונים הוא ישות נפרדת אשר מתקשרת עם החברה. אדם פרטי כגון עצמאי או בעל עסק יחיד עשוי להיות גם הוא בעל אחריות על מידע אם הוא מקבל החלטות בנוגע לאיסוף ועיבוד מידע אישי.

מי מעבד הנתונים?

מעבד הנתונים הוא הצד השלישי שמעבד את הנתונים עבור בקר נתונים. בתרחיש שלעיל, אם החברה שלכם מחליטה לשלוח את הנתונים שלכם לגיבוי, החברה המספקת את שירותי הגיבוי היא מעבדת הנתונים.

מעבד הנתונים יכול ללבוש צורות רבות. זה יכול להיות חברה, אדם פרטי או רשות ציבורית. הקריטריון הרלוונטי הוא האם אותו אדם או ישות מעבדים נתונים מטעם בעל שליטה בנתונים.

מה כולל מסמך DPA?

סעיפים 28-36 של הסדרה הכללית להגנה על מידע מפרטים אילו התחייבויות חוזיות הן חובה עבור מעבד הנתונים תחת הסדרה הכללית להגנה על כללי ה-DPA של מידע. להלן כמה מסעיפי ה-DPA הנדרשים:

1. פירוט מעמיק של פרטי הטיפול בנתונים

על רשות המידע האישי (DPA) לספק פרטים מקיפים לגבי אופן עיבוד הנתונים. על הסכם עיבוד המידע לכלול מידע ברור בנושאים כמו:

  • סוג הנתונים האישיים שיעובדו
  • נושא הנתונים
  • קטגוריות נושאי הנתונים
  • מטרת ואופי העיבוד
  • משך הזמן הצפוי של עיבוד הנתונים
  • הבסיס המשפטי לעיבוד נתונים אישיים
  • החזרה או מחיקה של נתונים אישיים בסיום העיבוד

2. זכויות וחובות של בעל הנתונים ומעבד הנתונים

חוק הגנת המידע מבטיח בהירות לגבי מי שולט בטיפול בנתונים.

על ידי ציון הזכויות והחובות של שני הצדדים, אישור המידע מבטיח בהירות לגבי מי שולט בטיפול בנתונים.

על הסכם הגנת המידע לציין במפורש כי מעבד הנתונים חייב לבצע את העיבוד בהתאם לרצונותיו ומפרטיו של בעל הנתונים. יש לציין כי הבקר, ולא המעבד, שומר על שליטה מלאה על הנתונים ועל מה שקורה להם.

על רשות המידע להורות למעבד הנתונים לעבד את הנתונים אך ורק בהתאם להוראותיו הישירות של בעל הנתונים, ולסטות מהוראות אלה רק כאשר חוקי האיחוד האירופי או חוקי אחת המדינות החברות דורשים זאת.

3. אמצעי סודיות נדרשים עבור מעבד הנתונים

על משרד עורכי הדין לפרט את הפרוטוקולים שעל מעבד הנתונים לפעול על מנת להבטיח סודיות הנתונים האישיים.

לדוגמה, על מעבד הנתונים לדרוש מעובדים קבועים, עובדים זמניים וקבלני משנה לחתום על הסכמי סודיות לפני שיוכלו להתחיל לעבד נתונים אישיים. הפעם היחידה שהסכם סודיות הופך למיותר היא כאשר חובה סטטוטורית כבר מחייבת את המעבד להבטיח סודיות.

4. פרוטוקולים טכניים וארגוניים נדרשים לאבטחת מידע

על ה-DPA לפרט את אמצעי האבטחה שעל מעבד הנתונים ליישם, כולל אמצעים כגון אלה במידת הצורך:

  • הצפנת נתונים
  • פסאודו-ניזציה של נושא הנתונים
  • פרוטוקולים להבטחת סודיות, זמינות, חוסן ואבטחת נתונים של כל מערכות עיבוד הנתונים
  • תהליכים לשחזור גישה למידע אישי לאחר מתקפה או פרצה
  • תוכנית קבועה לבדיקה והערכת יעילותם של כל אמצעי האבטחה

מעבדים רבים עשויים לרצות להשיג הסמכות רשמיות או לנסח כללי התנהגות רשמיים המעידים על הפרוטוקולים המיושמים. אמצעים כמו אלה עוזרים לספק הבטחות שעיבוד הנתונים שלהם תואם באופן מלא את הסדרה הכללית להגנה על מידע.

5. תנאים לכל חוזי קבלני משנה

על הסכם הגנת המידע לפרט גם את הדרישות שעל מעבד הנתונים להטיל על קבלני המשנה שלו. לדוגמה, על המעבד לוודא שהוא פועל לפי הכללים ושיטות העבודה המומלצות הבאות:

  • העסקת קבלני משנה רק בהסכמה מפורשת ובאישור של בעל הנתונים
  • ניסוח וחתימה על חוזים המטילים על קבלן המשנה את אותן דרישות אבטחת מידע שמעבד הנתונים עצמו חייב לעמוד בהן
  • הבטחת עמידה בדרישות הגנת המידע של קבלן המשנה
  • הודעה לבקר הנתונים על כל שינוי הקשור לקבלני משנה ומתן זמן לבקר להגיב

6. חובות שיתוף פעולה עבור מעבד הנתונים

על מעבד הנתונים גם לאפשר לבקר הנתונים לבצע ביקורות תאימות במהלך העיבוד.

על הסכם הגנת המידע לציין מתי וכיצד על מעבד הנתונים לשתף פעולה עם בעל הנתונים. לדוגמה, על מעבד הנתונים לשתף פעולה כדי לסייע בפתרון בקשות לגישה לנתונים. על המעבד לשתף פעולה גם בהגנה על פרטיותם וזכויותיהם של נושאי המידע, ובפרט על ידי עמידה בדרישות הבאות:

  • הבטחת אבטחת מידע אישי
  • הודעה מיידית לרשויות ולנושאי נתונים על פרצות מידע אישי
  • ביצוע הערכות השפעה על הגנת מידע (DPIA) לפי הצורך
  • התייעצות עם הרשויות הרלוונטיות כאשר מתעוררים סיכוני נתונים חמורים

על מעבד הנתונים גם לאפשר לבקר הנתונים לבצע ביקורות תאימות במהלך העיבוד. במהלך ביקורת, על המעבד לספק מיידית לבקר את כל המידע הרלוונטי כדי להראות שהוא עמד בהתחייבויות התאימות שלו לפי סעיף 28 של האסדרה הכללית להגנה על מידע.

שיטות עבודה מומלצות הן גם שהמעבד ישמור תיעוד של פעילויות העיבוד שלו כדי להוכיח תאימות עם הסדרה הכללית להגנה על מידע.

מה קורה לאחר פרצת נתונים במסגרת חוק הגנת מידע (DPA)?

אם מתרחשת פרצת נתונים, החברות המעורבות צריכות לנקוט בפעולות ספציפיות ומיידיות. על החברה שלך להודיע לרשות המפקחת הרלוונטית תוך 72 שעות אם ההפרה מהווה סיכונים חמורים.

אם הפריצה מהווה סיכון גבוה מאוד לאנשים שנפגעו, החברה שלך חייבת בדרך כלל להודיע גם לאותם אנשים. עם זאת, אם לחברה שלך כבר יש פרוטוקולים טכניים וארגוניים יעילים, ייתכן שלא יהיה צורך בהודעה.

לדוגמה, דמיינו שחברת כרטיס אשראי סבלה מפריצת נתונים עקב מתקפה על השרתים שבהם היא אחסן את הנתונים שלה. המידע הפיננסי האישי של לקוחותיה נפרץ. שמותיהם, כתובות ביתם, פרטי קשר נוספים, פרטיהם הפיננסיים ופרטי סוגי התשלומים שביצעו בכרטיסי האשראי שלהם, כולם הפכו לציבוריים.

החברה המארחת את השרתים תצטרך להודיע לרשויות על הפריצה תוך 72 שעות. כמו כן, יהיה צורך להודיע לחברת כרטיס האשראי.

סביר להניח שהחברה תצטרך ליידע את הצרכנים, שכן חשיפת המידע האישי המזהה שלהם עלולה לסכן אותם. ההפרה עלולה להוביל גם לחשיפת מידע בריאותי רגיש ומוגן של הצרכנים אם ביצעו תשלומים רפואיים בכרטיסי האשראי שלהם.

מהם העונשים על אי ציות להסדרה הכללית להגנה על מידע? 

אם מתרחשת פרצת נתונים, החברה שיימצאה לא עומדת בדרישות תיטול צעדים משמעתיים. עבירה סבירה מקבלת רק אזהרה. אירועים שאושרו בנוגע לאי-ציות עשויים להיות כפופים לאחד או יותר מהעונשים הבאים:

  1. נזיפה רשמית
  2. איסור זמני או קבוע על עיבוד נתונים
  3. קנס של עד20 מיליון אירואו 4 אחוזים מסך ההכנסות השנתיות הגלובליות של החברה.

שכור אנשי מקצוע בתחום אבטחת מידע לצווה שלך עם G-P

כשאתם בונים צוותים בינלאומיים המתמקדים באבטחת מידע, עבדו עם G-P. צוותי המומחים שלנו יכולים לעזור לכם להבין את תקנות הסכם עיבוד הנתונים החלות על החברה שלכם.

נוכחותם של קציני הגנת מידע ואנשי מקצוע משפטיים אחרים בצוות שלכם חיונית להישארותם במסגרת חוק הגנת המידע. כעובד סיווג עולמי), G-P עוזר לך לגייס ולשלם את הכישרון הבינלאומי שאתה צריך להצלחה. אנו מתייחסים לפרטיות הנתונים ברצינות רבה, ואנחנו יכולים לעזור לך לציית לדיני העבודה המקומיים ולאבטח את המידע הסודי שלך כאשר אתה מגדיל את החברה שלך ברמה בינלאומית.

ב- G-P, אנו עוזרים לכם לזרז את תהליכי הגיוס שלכם. באמצעות פלטפורמת שירותי העסקה גלובלית המלאה שלנו, תוכל להעסיק ולהצטרף לחברי צוות החדשים שלך בכמה קליקים בלבד, תוך חיסכון בזמן ולייעל את הגישה שלך לאתגרים של צמיחת חברה בינלאומית.

בקשו הצעה עוד היום, או צרו איתנו קשר כדי ללמוד על גיוס אנשי מקצוע בתחום אבטחת מידע דרך הפלטפורמה שלנו.