כדי לשמור על אבטחת נתוני הצרכנים, האיחוד האירופי (EU) יישמה חוק פרטיות ואבטחה קפדני הידוע בשם  התקנה הכללית להגנה על נתונים  (GDPR). ה-GDPR מגדיר ואוכף את זכויותיהם של אזרחי האיחוד האירופי בנוגע לנתונים  האישיים שלהם. הוא מיישם סטנדרטים של אחריות, אבטחה ושקיפות בשימוש בנתונים אלה.

חברות גלובליות הפועלות באיחוד האירופי או מטפלות בנתונים אישיים מהאיחוד האירופי צריכות להבין  כיצד ה-GDPR ישפיע עליהן  וכיצד לשמור על ציות ל-GDPR.

היבט אחד של ציות זה הוא יישום הסכם עיבוד  נתונים  (DPA). הסכם עיבוד נתונים של  GDPR  מפרט את הפרטים, הכללים, הזכויות וההתחייבויות הקשורים לפעילויות עיבוד נתונים. היא מסייעת להבטיח את הציות של החברה, לאבטח נתונים ולשמור על הצרכנים מוגנים ומרוצים.

מדריך זה מספק מבט מקרוב על אופן הפעולה של DPA  ומה לכלול ב- DPA.

מהו DPA  תחת GDPR?

הסכם עיבוד נתונים הוא חוזה שנחתם בין בקרי הנתונים למעבדי  הנתונים  שיטפלו בנתונים שלהם. הוא נדרש לצורך ציות מלא ל-GDPR.

DPA מפרט את האופי, המטרה ומשך פעילויות העיבוד שיתקיימו. הוא גם מפרט את סוג הנתונים האישיים שיש לעבד ואת קטגוריות האנשים שהנתונים שייכים להם. הוא מגדיר את הזכויות והחובות שיהיו לבקר. הוא יכול לציין את השימוש באמצעי אבטחה טכניים, כגון רמה מסוימת של הצפנה, שחייבים להיות במקומם.

DPA מחייב מבחינה משפטית, ועל בקר הנתונים והמעבד לציית לו או לסכן עונשים חמורים.

היתרון העיקרי של DPA הוא שהוא מבטיח את הכישורים והאמינות של מעבד הנתונים. חברות צריכות לדעת שהנתונים שלהן בידיים טובות ושהם פרטיים ומאובטחים מפני עיניים חטטניות. DPA עוזר לספק הבטחות אלה.

ל-GDPR ולדרישות ה -DPA שלו  עשויות להיות השפעות משמעותיות על הפעילות העסקית בעתיד. עסקאות עסקיות עשויות להשתנות ככל שאיסוף הנתונים האישיים הופך להיות מוגבל יותר, התקשורת על איסוף ואחסון הנתונים הופכת לחיונית, וקשרי ספקים מצד שלישי דורשים חוזים קפדניים יותר.חברות  אינדיבידואליות ומחלקות משאבי האנוש שלהן ירגישו השפעות נרחבות ככל שהן מתאימות את התהליכים שלהן כדי לעמוד בדרישות ה-GDPR.

היתרון של דרישות ה-GDPR הוא שהאמון עשוי לפרוח בעסקים כאשר אנשים הופכים בטוחים יותר בפרטיות הנתונים שלהם ובהגנה עליהם.

מתי נדרש הסכם עיבוד נתונים?

האם אתה זקוק להסכם עיבוד נתונים? תוכל אם תטפל בנתונים אישיים באיחוד האירופי או ממנו.

על פי ה-GDPR, מסמך  DPA  הוא חובה בכל פעם שאדם או ארגון מוסרים נתונים אישיים לספק שירות צד שלישי עבור שירות שיתופי. כל גורם הפועל כמעבדי נתונים חייב לחתום על DPAs עם בקרי  הנתונים.

לדוגמה, באיחוד האירופי, שירות המארח אתר אינטרנט חייב לחתום על DPA עם החברה שהאתר שייך לה. חברה המעבדת נתונים אישיים כדי לספק שיווק ממוקד לצרכן חייבת גם היא לחתום על DPA.

להלן מספר שירותים עסקיים נפוצים אחרים ותרחישים הדורשים DPAs:

  • מיקור חוץ של ניהול דוא"ל
  • פתרונות עיבוד נתונים טכניים עבור חשבונאות פיננסית ומשכורות
  • שירותי גיבוי נתונים, באמצעות שרתים פיזיים או בענן
  • איסוף או דיגיטציה של נתונים באמצעות ספק שירות חיצוני
  • סילוק חומרה ישנה המכילה נתונים רגישים

במקרים מסוימים, ה-GDPR עשוי לדרוש DPA  עבור חברות מחוץ לאירופה. דרישה זו נכנסת לתוקף בכל פעם שנתוני האיחוד האירופי מעורבים. לדוגמה, חברה הממוקמת בקנדה עשויה להיות כפופה לדרישת DPA אם היא מטפלת בנתונים הנוגעים לאזרחי האיחוד האירופי.

מתי אין צורך ב-DPA?

מספר תרחישים ספציפיים אינם דורשים DPAs. יש להם הגנות מובנות שהופכות את הגנת DPA ללא נחוצה. שקול את הדברים הבאים כדי שתוכל להבין טוב יותר את התחייבויות החברה שלך בנסיבות אלה:

  1. שותפויות עם קבוצות מקצועיות שיש להן דרישות סודיות: במקצועות רבים, שיטות העבודה המומלצות הן שלספקי שירות יהיו הסכמי סודיות מותאמים אישית ספציפיים לתעשייה, המכסים את כל אמצעי האבטחה ודרישות הפרטיות שיידרשו על ידי DPA. כמה מקצועות שבדרך כלל משתמשים בהסכמי סודיות אלה כוללים חוק, ייעוץ מס וביקורת פיננסית. שירותי בריאות רבים מגיעים בדרך כלל גם עם הבטחות סודיות קפדניות משלהם.
  2. שירותי פורטל: שירותים שפשוט מחברים בין אנשים או ישויות פטורים בדרך כלל מדרישות DPA. אלה שירותי שידוכים מקצועיים הם כל כך חולפים כי DPA יהיה יתרון קטן. המגייסים נופלים בקטגוריה זו, למשל. הם פשוט מחברים בין אנשים המחפשים עבודה לחברות המחפשות חברי צוות מוכשרים חדשים. תרחיש זה הופך DPA עם המגייס ללא נחוץ.
  3. עבודה עם סוכנויות גביית חוב: סוכנויות גביית חוב לקבל גישה למידע פיננסי אישי ומידע רפואי. בגלל סוכנויות איסוף נפרדים מן הנושים המקוריים לאסוף את החוב עבור הרווח שלהם, הם פטורים מדרישות DPA. אם הם היו עובדים בשם הנושים המקוריים, סוכנויות האיסוף היו צריכות לחתום על DPAs.
  4. ניהול נתונים משותף מחברות מרובות: במקרים מסוימים, חברות פועלות כקבוצה לניהול אוסף נתונים. תרחיש זה מתרחש לעתים קרובות כאשר לחברות יש גישה משותפת לנתונים מספקים, מוצרים או מובילי מכירות. למרות שהחברות עשויות להיות מתחרות, הן משתמשות באותם נתונים לאותן מטרות כלליות. המשקל של שימוש זה בנתונים בדרך כלל פירושו ש-DPA אינו חובה.
  5. ניסויים קליניים: ניסויים קליניים בקנה מידה גדול אינם משתמשים בדרך כלל ב- DPAs בגלל התורמים הרבים שהם כרוכים בהם. לרופאים, למרכזי מחקר ולנותני החסות יש גישה לנתוני הנבדק, וכולם מעבדים אותו בצורה שונה בהתאם לצרכיהם. הנתונים שנאספו משרתים בדרך כלל גם מטרות שונות לאורך הניסוי הקליני. בנסיבות אלה, DPAs בדרך כלל לא חלים.

מיהו בקר הנתונים?

כל הסכם DPA מתקיים בין בקר נתונים למעבד נתונים. בקר הנתונים הוא הארגון או האדם שקובע כיצד ומדוע לעבד נתונים אישיים. אם החברה שלך מחליטה לשלוח נתונים לצד שלישי לצורך גיבוי בשרתים שלה, החברה שלך היא בקר הנתונים.

המאפיין המגדיר של בקר נתונים הוא כוח קבלת החלטות.בקר  הנתונים מבצע קביעות מקיפות בנוגע לסיבות לאיסוף הנתונים ולדרכים  שבהן עיבוד הנתונים האישיים  צריך להתרחש.

ברוב התרחישים, חברה או ארגון הם בעלי השליטה במידע. מעבד הנתונים הוא ישות נפרדת המתקשרת בחוזה עם החברה. אדם כגון בעל עסק יחיד או עובד עצמאי עשוי גם הוא להיות בעל שליטה במידע אם אותו אדם מקבל החלטות לגבי איסוף ועיבוד נתונים אישיים.

מיהו מעבד הנתונים?

מעבד הנתונים הוא הצד השלישי המעבד את הנתונים עבור בקר נתונים. בתרחיש לעיל, אם החברה שלך מחליטה לשלוח את הנתונים שלך לגיבוי, החברה המספקת את שירותי הגיבוי היא מעבד הנתונים.

מעבד הנתונים יכול ללבוש צורות רבות. זה יכול להיות חברה, אדם או רשות ציבורית. הקריטריון הרלוונטי הוא האם אותו אדם או ישות מעבדים נתונים בשם מבקר נתונים או לא.

מה כולל מסמך DPA?

תקנון 28-36 ה-GDPR מציין אילו התחייבויות חוזיות הן חובה עבור מעבד הנתונים  על פי כללי ה -DPA של ה-GDPR. להלן כמה מסעיפי ה- DPA הנדרשים:

1. פירוט יסודי של פרטי הטיפול בנתונים

על ה-DPA לספק פרטים מקיפים על האופן שבו יתרחש כל היבט של עיבוד הנתונים. על ה-DPA לכלול מידע ברור על נושאים כגון:

  • סוג הנתונים האישיים שיש לעבד
  • נושא הנתונים
  • הקטגוריות של נושאי הנתונים
  • המטרה והאופי של העיבוד
  • משך עיבוד הנתונים הצפוי
  • הבסיס המשפטי לעיבוד נתונים אישיים
  • החזרה או מחיקה של נתונים אישיים בסוף העיבוד

2. הזכויות ותחומי האחריות של בקר הנתונים והמעבד

בקביעת הזכויות ותחומי האחריות עבור שני הצדדים, ה-DPA מבטיח בהירות לגבי מי שולט בטיפול בנתונים.

על ה-DPA לציין במפורש כי מעבד הנתונים חייב לבצע את העיבוד בהתאם לרצונות ולמפרטים של בקר הנתונים. יש לציין כי הבקר, ולא המעבד, שומר על שליטה מלאה על הנתונים ועל מה שקורה להם.

על ה-DPA להורות למעבד הנתונים לעבד את הנתונים רק בהתאם להוראות הישירות של מבקר הנתונים, החורגות מהוראות אלה רק כאשר חוקי האיחוד האירופי או אחד מחוקי המדינות החברות דורשים זאת.

3. אמצעי סודיות נדרשים עבור מעבד הנתונים

על ה-DPA לציין את הפרוטוקולים שמעבד הנתונים צריך לפעול לפיהם כדי להבטיח חיסיון של הנתונים האישיים.

לדוגמה, על מעבד הנתונים לדרוש מעובדים קבועים, מעובדים זמניים ומקבלני משנה לחתום על הסכמי סודיות לפני שיוכלו להתחיל לעבד נתונים אישיים. הפעם היחידה שבה הסכם סודיות הופך לבלתי נחוץ היא כאשר התחייבות סטטוטורית כבר דורשת מהמעבד להבטיח חיסיון.

4. פרוטוקולים טכניים וארגוניים נדרשים לאבטחת מידע

על ה-DPA לתאר את אמצעי האבטחה שמעבד הנתונים חייב ליישם, כולל אמצעים כגון אלה כאשר הדבר מתאים:

  • הצפנת נתונים
  • פסאודונימיזציה של מושא הנתונים
  • פרוטוקולים להבטחת חיסיון, זמינות, חוסן ואבטחה של כל מערכות עיבוד הנתונים
  • תהליכים לשחזור גישה לנתונים אישיים לאחר התקפה או הפרה
  • תוכנית קבועה לבדיקה ולהערכה של היעילות של כל אמצעי האבטחה

מעבדים רבים עשויים לרצות לקבל אישורים רשמיים או לצייר קודי התנהגות רשמיים המעידים על הפרוטוקולים המיושמים שלהם. אמצעים כגון אלה מסייעים לספק הבטחות לכך שעיבוד הנתונים שלהם תואם באופן מלא ל-GDPR.

5. תנאים עבור חוזי קבלן משנה כלשהם

ה-DPA צריך גם לתאר את הדרישות שמעבד הנתונים חייב להטיל עבור קבלני המשנה שלו. לדוגמה, על המעבד להקפיד לציית לכללים ולשיטות העבודה המומלצות הבאות:

  • העסקת קבלני משנה רק בהסכמתו המפורשת ובאישורו של מבקר הנתונים
  • ניסוח וחתימה על חוזים המטילים על קבלן המשנה את אותן דרישות אבטחת נתונים שמעבד הנתונים עצמו חייב לפעול לפיהן
  • הבטחת עמידתו של קבלן המשנה בדרישות הגנת המידע
  • הודעה למבקר הנתונים על כל שינוי המערב קבלני משנה ומתן זמן למבקר להגיב

6. התחייבויות לשיתוף פעולה עבור מעבד הנתונים

על ה-DPA לציין מתי וכיצד מעבד הנתונים חייב לשתף פעולה עם בקר הנתונים. לדוגמה, מעבד הנתונים חייב לשתף פעולה כדי לסייע בפתרון בקשות לגישה לנתונים. המעבד חייב גם לשתף פעולה בהגנה על פרטיותם וזכויותיהם של נושאי הנתונים, במיוחד על ידי עמידה בדרישות אלה:

  • הבטחת אבטחת מידע אישי
  • הודעה מיידית לרשויות ולנשואי המידע על הפרות של נתונים אישיים
  • ביצוע הערכות השפעה על הגנת נתונים (DPIAs) לפי הצורך
  • ייעוץ לרשויות הרלוונטיות כאשר מתעוררים סיכוני נתונים חמורים

מעבד הנתונים חייב גם לאפשר לבקר הנתונים לבצע ביקורות ציות במהלך העיבוד. במהלך ביקורות, המעבד חייב לספק ללא דיחוי לבקר את כל המידע הרלוונטי כדי להראות שהוא עמד בהתחייבויות הציות שלו לפי סעיף 28 ה-GDPR.

שיטות העבודה המומלצות הן גם שהמעבד ישמור רשומות של פעילויות העיבוד שלו כדי להדגים ציות ל-GDPR.

מה קורה לאחר פריצת נתונים תחת DPA?

אם מתרחשת פריצת נתונים, החברות המעורבות צריכות לנקוט פעולות ספציפיות ומיידיות. על החברה שלך  להודיע לרשות הפיקוח הרלוונטית תוך 72 שעות  אם ההפרה מהווה סיכונים חמורים.

אם ההפרה מהווה סיכון גבוה מאוד לאנשים המושפעים, החברה שלך חייבת בדרך כלל להודיע לאנשים אלה גם כן. עם זאת, אם לחברה שלך כבר קיימים פרוטוקולים יעילים להפחתת סיכונים טכניים וארגוניים, ייתכן שלא יהיה צורך בהודעה.

לדוגמה, דמיינו שחברת כרטיסי אשראי סבלה מפריצת נתונים בגלל התקפה על השרתים שבהם היא מאוחסנת את הנתונים שלה. המידע הפיננסי האישי של לקוחותיה נפגע. שמותיהם, כתובות הבית שלהם, פרטי קשר נוספים, פרטים פיננסיים ופרטי סוגי התשלומים שהם ביצעו בכרטיסי האשראי שלהם הפכו כולם לציבוריים.

החברה המארחת את השרתים תצטרך להודיע לרשויות על ההפרה בתוך 72 שעות. כמו כן, יש להודיע לחברת כרטיסי האשראי.

סביר להניח שהחברה תצטרך ליידע את הצרכנים, שכן חשיפת המידע המזהה האישי שלהם עלולה לסכן אותם. ההפרה עלולה להוביל גם לגילויים של מידע בריאותי רגיש ומוגן של הצרכנים אם הם היו מבצעים תשלומים רפואיים בכרטיסי האשראי שלהם.

מהם העונשים על אי-ציות ל-GDPR? 

אם מתרחשת פריצה לנתונים, החברה שנמצאה כבלתי תואמת תהיה כפופה לצעדים משמעתיים. עבירה אפשרית מקבלת רק אזהרה. אירועי אי-ציות מאושרים עלולים להיות כפופים לאחד או יותר מהעונשים הבאים:

  1. נזיפה רשמית
  2. איסור זמני או קבוע על עיבוד נתונים
  3.  קנס של עד מיליון אירו20 או 4 אחוז מסך ההכנסות הגלובליות השנתיות של החברה

להעסיק אנשי מקצוע בתחום אבטחת המידע לצוות שלך עם Globalization Partners

כאשר אתה בונה צוותים בינלאומיים המתמקדים באבטחת נתונים, עבוד עם Globalization Partners . צוותי אנשי המקצוע שלנו יכולים לעזור לך להבין את תקנות הסכם עיבוד  הנתונים  החלות על החברה שלך.

העסקת קציני הגנת נתונים ואנשי מקצוע משפטיים אחרים בצוות שלך חיונית כדי להישאר בציות ל- DPA. כמעסיק גלובלי של רשומות (EOR), Globalization Partners עוזרים לך לשכור ולשלם את הכישרון הבינלאומי הדרוש לך להצלחה. אנו מתייחסים לפרטיות המידע ברצינות רבה, ואנו יכולים לעזור לך לציית לחוקי העבודה המקומיים ולאבטח את המידע הסודי שלך תוך כדי התרחבות החברה שלך ברחבי העולם.

ב-Globalization Partners אנו עוזרים לך לזרז את תהליכי הגיוס שלך. באמצעות  Global Employment Platform המלאה שלנו, תוכלו לשכור ולהשתלב עם חברי הצוות החדשים שלכם במספר קליקים בלבד, לחסוך זמן ולהגביר את הגישה שלכם לאתגרים של צמיחת החברה הבינלאומית.

בקשו הצעה  היום, או צרו  עימנו קשר  כדי ללמוד על העסקת אנשי מקצוע בתחום אבטחת המידע באמצעות הפלטפורמה שלנו.

 

נהנים לקרוא את זה?
צרו קשר איתנו