ליווי ויישום GDPR בארגון – שירות ציות GDPR מבית Infoguard

אם הארגון שלכם פועל מול השוק האירופי, מציע שירותים לתושבי האיחוד האירופי, או מבצע ניטור/אנליטיקה על משתמשים באירופה – סביר ש-GDPR רלוונטי אליכם, גם אם אתם יושבים בישראל.
ב-Infoguard אנחנו מלווים אתכם מקצה לקצה: עושים סדר במידע, בתהליכים ובבקרות – ומתרגמים את דרישות הרגולציה לתוכנית עבודה מעשית, מותאמת לארגון שלכם (לא “עוד מסמך יפה”, אלא תהליך שעובד ביום-יום).

מה זה GDPR

GDPR (General Data Protection Regulation) הוא תקן/רגולציה מחייבת של האיחוד האירופי להגנה על מידע אישי, שנכנסה לתוקף ב-25 במאי 2018 והחליפה את הדירקטיבה האירופית משנת 1995 כדי להתאים את כללי הפרטיות לעידן הדיגיטלי. הרגולציה חלה גם על ארגונים מחוץ לאיחוד האירופי כאשר הם מציעים מוצרים/שירותים לתושבי האיחוד או מנטרים את התנהגותם, ולכן היא רלוונטית גם לחברות ישראליות רבות.

GDPR מבוססת על עקרונות כמו חוקיות, הוגנות ושקיפות, צמצום מידע למינימום הנדרש, הגבלת שמירה, דיוק, אבטחה ואחריותיות (Accountability) – כלומר לא מספיק “לעשות”, צריך גם להוכיח בתיעוד ותהליכים שהארגון שולט במידע ומנהל סיכונים.

מתי GDPR חל על ארגון ישראלי

ה-GDPR חל לא רק על ארגונים שמבוססים באיחוד האירופי, אלא גם על ארגונים מחוץ לאיחוד כאשר מתקיים אחד מאלה:

• הצעת מוצרים/שירותים לתושבים שנמצאים באיחוד האירופי (גם אם השירות בחינם).

• ניטור התנהגות של אנשים באיחוד (למשל מעקב באתר/אפליקציה, פרופיילינג, פרסום ממוקד).

דוגמאות נפוצות בישראל: SaaS, מסחר אלקטרוני, אפליקציות, שירותי מרקטינג/דיוור, אנליטיקה, שירותי HR וגיוס עבור חברות אירופאיות, ועוד.

GDPR וישראל: ציות כפול, ממשל אחד

ה-GDPR לא מחליף את החוק הישראלי, רוב הארגונים צריכים לתכנן עמידה לשניהם במקביל.

לארגונים בישראל חשוב להבין שהחובה לעמוד ב-GDPR לא מחליפה את חוק הגנת הפרטיות הישראלי – וברוב המקרים צריך לנהל ציות כפול. אם אתם מעבדים מידע אישי של תושבי האיחוד האירופי (לקוחות, משתמשים, מועמדים לעבודה וכו’) ה-GDPR עשוי לחול עליכם גם אם אתם יושבים בישראל; במקביל, חוק הגנת הפרטיות בישראל (ותיקון 13) ממשיך לחול על פעילות עיבוד המידע בישראל.

בפועל יש חפיפה בעקרונות כמו אבטחה, שקיפות, צמצום מידע וניהול ספקים – אבל גם הבדלים מהותיים במונחים, בחובות ספציפיות ובאכיפה. לכן מומלץ לתכנן את הממשל, התיעוד והבקרות כך שיעמדו בדרישות ה-GDPR מבלי ליצור סתירה או פער מול הדרישות הישראליות.

מה באמת בודקים ב-GDPR

GDPR נשען על עקרונות בסיס (כמו שקיפות, צמצום מידע, שמירת מידע לזמן מוגבל, ואחריותיות), ומצפה שתוכלו להוכיח שליטה וניהול מתמשך – לא רק “כיסוי משפטי”.

בדרך כלל מוקדי הבדיקה הם:

• בסיס חוקי לעיבוד מידע (למה אתם רשאים לעבד את המידע – חוזה/הסכמה/אינטרס לגיטימי וכו’).
• שקיפות והודעות פרטיות (מה אומרים למשתמש/לקוח ומתי).
• רישום פעילויות עיבוד (RoPA) ותיעוד שוטף.
• הסכמים עם ספקים ומעבדים (Data Processing Agreements) ומה חייב להופיע בהם.
• אבטחת מידע מותאמת-סיכון (אמצעים טכניים וארגוניים).
• פרטיות כברירת מחדל ובתכנון (Privacy by Design & Default).
• DPIA – הערכת השפעה לפרטיות כשיש עיבוד בסיכון גבוה.
• ניהול אירועי דליפה/אבטחה כולל חובת דיווח (במקרים הרלוונטיים) בתוך 72 שעות מרגע “מודעות” לאירוע.
• מינוי DPO כאשר מתקיימים התנאים הרגולטוריים (למשל ניטור שיטתי בהיקף גדול או עיבוד נרחב של מידע רגיש).

DPIA – הערכת השפעה על הגנת מידע (Data Protection Impact Assessment)

כלי חובה ב-GDPR לעיבודים “בסיכון גבוה” – כדי להוכיח שליטה, לצמצם פגיעה בפרטיות ולהימנע מהפתעות.

DPIA הוא תהליך מובנה שה-GDPR מחייב לבצע לפני שמתחילים עיבוד מידע שעלול ליצור סיכון גבוה לזכויות וחירויות של אנשים, למשל פרופיילינג והערכה שיטתית בהיקף נרחב, עיבוד רחב של מידע רגיש, או ניטור שיטתי בהיקף גדול.
במסגרת ה-DPIA מתעדים את העיבוד והמטרות, בוחנים צורך ומידתיות, ממפים סיכונים (כולל תרחישי דליפה/שימוש לרעה), ומגדירים צעדי צמצום כמו בקרות אבטחה, צמצום נתונים, הגבלות גישה ותקופות שמירה, וכן נדרשת מעורבות ה-DPO אם מונה.

כשגם אחרי צעדי ההפחתה, נשאר סיכון גבוה, ייתכן שתידרש התייעצות עם רשות הפיקוח.
ובדיוק כאן הליווי של Infoguard הופך את ה-DPIA למסמך שמוביל החלטות ותכנית פעולה ישימה, לא רק “עוד טופס”.

NIST כבסיס תפעולי לתוכנית GDPR

מסגרת וולונטרית שמתרגמת דרישות פרטיות לניהול סיכונים, תהליכים ושגרות בקרה.

בפרויקטי GDPR אנחנו לעיתים משתמשים במסגרת ה NIST Privacy Framework כדי לבנות שכבת ממשל פרטיות שמבוססת ניהול סיכונים, כולל זיהוי סיכוני פרטיות, תיעוד החלטות ותעדוף פעולות לצמצום סיכון.

המסגרת אינה רגולציה ואינה מחליפה את GDPR, אבל היא מסייעת להפוך את הדרישות לתהליך עבודה עקבי עם בעלות אחריות ברורה ומדידה. במקביל, אפשר לחבר את ניהול אבטחת המידע תחת NIST CSF לתחום הפרטיות, כדי ליישר קו בין בקרות סייבר לבין דרישות שקיפות, מינימיזציה ושליטה בעיבוד מידע

מה Infoguard עושה בפועל – תהליך ליווי מסודר

1. בדיקת תחולה והגדרת גבולות הפרויקט
   נמפה האם/איפה ה-GDPR חל, נחדד תפקידים (Controller/Processor), מדינות יעד, סוגי נתונים, מערכות ומעורבות ספקים/שותפים.
2. מיפוי מידע ובניית RoPA (רישום פעילויות עיבוד)
   נבנה תמונת מצב של “איפה המידע חי”: מקורות, מטרות, נמענים, העברות, שמירה ומחיקה – ונייצר RoPA לפי דרישות התקן.
3. GAP Analysis מול דרישות GDPR (ומה “כואב” באמת)
   נזהה פערים בתהליכים, בתיעוד, בהסכמים, בהודעות פרטיות, בזכויות נושאי מידע, ובאבטחת מידע.
4. הקמת סט תהליכים ומסמכים שמחזיק ביום-יום
   לדוגמה:
   מדיניות פרטיות/Privacy Notice (אתר, אפליקציה, לקוחות, מועמדים).
   נוהל טיפול בבקשות זכויות (Access/Erasure/Portability ועוד).
   תבניות/נספחים להסכמי ספקים ומעבדים (DPA).
   נוהל אירועי אבטחה ודליפות + טפסי החלטה/דיווח.
5. התאמות אבטחת מידע “תומכות-GDPR”
   נעזור לתרגם דרישות לפעולות: הרשאות, לוגים, הצפנה היכן שנדרש, הקשחות, בקרות ספקים, ועוד – לפי גישת סיכון.
6. הטמעה, הדרכה ושגרות ניהול
   נבנה שגרות בקרה ויכולת פנימית (כדי שלא תהיה תלות מתמדת ביועץ), כולל הדרכות לצוותים רלוונטיים ו-Tabletop לתרחישי דליפה כשצריך.

מה תקבלו בסוף הפרויקט

• מפת זרימות מידע + RoPA עדכני לארגון.
• Register לבסיסים חוקיים לעיבוד (Lawful Basis) והחלטות מרכזיות.
• סט מסמכי שקיפות: הודעות פרטיות/נוסחים/הצהרות חובה.
• DPA / נספחי עיבוד נתונים לספקים (או בדיקת קיימים).
• DPIA לפרויקטים/עיבודים בסיכון גבוה (כשנדרש).
• Incident Playbook לניהול אירועי דליפה + תבניות דיווח.
• תוכנית הטמעה ושגרות בקרה (Governance) שמחזיקות לאורך זמן.

למי השירות מתאים במיוחד

• ארגונים ישראליים עם לקוחות/משתמשים באירופה (B2B / B2C).
• חברות SaaS, אפליקציות ומוצרי דיגיטל עם אנליטיקה/פרופיילינג.
• מסחר אלקטרוני ושירותי מרקטינג/דיוור הפועלים לשוק האירופי.
• ארגונים שמבצעים עיבוד מידע רגיש/רפואי/פיננסי בהיקפים משמעותיים.
• חברות שרוצות לסגור פערים לפני ביקורת לקוח, Due Diligence, או הרחבת פעילות לאירופה.

למה לעבוד עם Infoguard

• לא ספקים. שותפים. אנחנו נכנסים לתהליך יחד אתכם, ומחברים בין רגולציה לתפעול.
• Tailor-Made: התאמה לגודל הארגון, לתעשייה, לסיכונים ולשיטות העבודה שלכם.
• שקיפות ואחריות מקצועית: תוצרים ברורים + הסבר “למה” מאחורי החלטות.
• טכנולוגיה + אנשים: כשצריך – נתרגם דרישות גם לבקרות אבטחה ותהליכי IT, לא רק למסמכים.
• ניסיון בליווי רגולציה ותקינה (כולל GDPR) ויכולת לבנות שגרה שמחזיקה לאורך זמן.

שאלות נפוצות בנושא תקינת GDPR

האם ISO 27001 אומר שאנחנו “מסודרים” ב-GDPR?
ISO 27001 יכול לתת בסיס חזק לבקרות אבטחת מידע, אבל GDPR כולל גם שכבות של שקיפות, זכויות נושאי מידע, בסיסים חוקיים, הסכמים ותיעוד – ולכן לרוב נדרש יישור קו ייעודי.

מתי חייבים למנות DPO?
כאשר מתקיימים תנאים כמו ניטור שיטתי בהיקפים גדולים או עיבוד נרחב של מידע רגיש (וגם בגופים ציבוריים).

מה זה RoPA ולמה זה קריטי?
זהו “רישום פעילויות עיבוד” שמוכיח שליטה ותיעוד: מטרות, קטגוריות מידע, נמענים, אבטחה ועוד.

מתי צריך DPIA?
כאשר עיבוד צפוי ליצור סיכון גבוה לזכויות וחירויות של אנשים (למשל פרופיילינג נרחב, עיבוד מידע רגיש בהיקף גדול, ניטור שיטתי).

מה המשמעות של “72 שעות” בדיווח דליפה?
כאשר הדיווח נדרש, יש לדווח לרשות הרלוונטית “ללא דיחוי”, ובמידת האפשר לא יאוחר מ-72 שעות מרגע שהארגון נחשב “מודע” לאירוע.

מה הסיכון באי-ציות?
לרשויות יש מגוון סנקציות אפשריות, כולל קנסות שיכולים להגיע עד ‎20 מיליון אירו או ‎4% מהמחזור השנתי העולמי (הגבוה מביניהם), לצד צעדי אכיפה נוספים.

רוצים להבין מהר אם GDPR חל עליכם ומה הפערים המרכזיים?

השאירו פרטים או קבעו שיחת אבחון ראשונית עם צוות הפרטיות והרגולציה של Infoguard – ונבנה יחד תוכנית עבודה ברורה, פרקטית ומותאמת.