Presentation is loading. Please wait.

Presentation is loading. Please wait.

חוק הגנת הפרטיות בהשוואה ל GDPR

Published byAlexander Sims Modified over 6 years ago

Similar presentations

Presentation on theme: "חוק הגנת הפרטיות בהשוואה ל GDPR"— Presentation transcript:

1 חוק הגנת הפרטיות בהשוואה ל GDPR
אייל שגיא, עו"ד

2 מסגרת חוקית לחברה ישראלית
רוב המסגרת החוקית כבר חלה הGDPR קשה לקריאה (undertaking, data subject) אבל העקרונות מוכרים Data Processing Agreement

3 עקרונות בסיס עיבוד חוקי והוגן למטרה מוגבלת דיוק ועדכניות
זכות עיון ותיקון אבטחת מידע מינימליות (אי שמירת מידע עודף) שקיפות סודיות אחריותיות בישראל: בקשר לאבטחת מידע, מיקור חוץ, PIA...

4 מהו מידע GDPR ישראל כל מידע מזוהה או ניתן לזיהוי מידע בסעיף 7
וכל ענייניו האישיים של אדם וכל סוגי המידע שמופיעים בתקנות אבטחת מידע וכל מה שאפשר לגלות בהצלבה: "כאשר פרטי מידע אינם עונים להגדרה, אך ניתן להצליבם עם מידע נוסף בשים לב ליכולות העיבוד וההצלבה הקיימות בעידן הדיגיטלי הנוכחי, המאפשר להפוך נתונים חסרי חשיבות כשלעצמם למידע פרטי, הנתונים יחשבו כמידע."

5 מידע מסתתר כתובת IP מערכת שכר מצב סוללה דגם מכשיר נייד
דגם מכשיר נייד הזמנת ארוחה בטיסה

6 מתי מותר לעבד מידע GDPR ישראל בהסכמה מדעת מפורשת כשהעיבוד נדרש
מרצון חופשי כללי סבירות והוגנות כשהעיבוד נדרש לביצוע חוזה עם נושא המידע לקיום חובות משפטיות לצורך אינטרסים לגיטימיים של המעבד לאינטרס ציבורי בהסכמה מדעת מפורשת מרצון חופשי סבירות, קיפוח בהסכמה מדעת משתמעת ביצוע חוזה עם נושא המידע כשיש הגנה קיום חובות משפטיות אינטרסים לגיטימיים של "הפוגע" אינטרס ציבורי

7 ניהול מערך ניהול הסכמות
GDPR ישראל רק סוג הסכמה אחד הסכמה מפורשת אבל יש עיבוד ללא הסכמה עם זכות להתנגד ולפעמים אין אפשר לחזור מהסכמה אם לא נשאר בסיס אחר לעיבוד – יש להפסיק ניהול הסכמות שיווק (e-privacy) גם לדיוור ישיר / profiling (GDPR) כמה סוגי הסכמות Opt-in (מפורשת) Opt-out (משתמעת) יידוע (משתמעת) אפשר לחזור מהסכמה אם לא נשאר בסיס אחר לעיבוד – יש להפסיק ניהול הסכמות שיווק (חוק הספאם) גם לדיוור ישיר / profiling (חוק הגנת הפרטיות)

8 הזכות להתנגד GDPR ישראל קיימת קיימת לגבי החלטות משמעותיות אוטומטיות
חלה אם הבסיס לעיבוד הוא אינטרס ציבורי או אינטרס לגיטימי אלא אם מוכח אינטרס גובר, או לצרכים משפטיים קיימת לגבי החלטות משמעותיות אוטומטיות למעט ההחלטה אם להתקשר בחוזה אם בסיס העיבוד הוא הסכמה – אפשר למשוך לא קיימת בשם זה אבל בעיבוד מבוסס הסכמה משתמעת (כמו אינטרס לגיטימי) יש opt out אלא אם יש אינטרס גובר או צרכים משפטיים ואז מספיק יידוע אין התייחסות להחלטות אוטומטיות שימו לב לחוק נתוני אשראי אם בסיס העיבוד הוא הסכמה – אפשר למשוך

9 חובת מיפוי מידע ועיבוד GDPR ישראל
לצורך זיהוי הבסיס החוקי לעיבוד כדי שיבהיר מהן הזכויות הקמות לנושא המידע לצורך אבטחת מידע אבטחת מידע זה לא רק עניינים טכניים וניירת תקנה 2(ג) מחייבת דיון שנתי במידע עודף שמחייב בדיקה של נושאים שבליבת דיני הפרטיות אי מחיקה = הפרה של 17 לחוק

10 הזכות להישכח / לדרוש מחיקה
GDPR ישראל זכות מפורשת כשהמידע לא נדרש עוד לטובת המטרות שלשמן נאסף אין עילה המאפשרת שמירה המידע עובד באופן בלתי חוקי מחייב יכולת טכנית למחיקה חלקית מותר להמשיך לשמור מידע נדרש לתפעול, צורך משפטי לגבי מעבדי מידע אחרים (מנועי חיפוש) – חובת מחיקה זכות מפורשת רק לגבי מידע שיווקי מאפיין אבל בעל המאגר חייב למחוק מיוזמתו כשהמידע לא נדרש עוד לטובת המטרות שלשמן נאסף אם המידע עובד באופן לא חוקי מחייב יכולת טכנית למחיקה חלקית מותר להמשיך לשמור מידע נדרש לתפעול, צורך משפטי מעבדי מידע אחרים (מנועי חיפוש) – אין חובת מחיקה

11 זכות לניידות המידע GDPR ישראל יש וגם זכות עיון אין (בשם הזה)
במגבלות טכניות למידע שנושא המידע בעצמו מסר כשהבסיס החוקי הוא הסכמה או חוזה וגם זכות עיון שימו לב להנחיה בעניין ניידות אין (בשם הזה) הנחיית העיון מעניקה זכויות דומות

12 תנאים למיקור חוץ GDPR ישראל ניתוח סיכונים
הסכם כתוב בין ה controller ל processor הגדרת משך העיבוד, מחיקת מידע או החזרתו בסיום ההתקשרות הגבלת מטרה, סוגי מידע אבטחת מידע מעקב ובקרה, דיווחים על אירועים שמירת תיעוד תהליכי העיבוד נהלים למימוש זכויות נושאי המידע איסור העברה למעבד משנה בלי הסכמה עזרה לcontroller לקיים את חובותיו, דיווח לcontroller על פעולה שמפרה את הרגולציה ניתוח סיכונים הסכם כתוב בין בעל המאגר למחזיק / קבלן הגדרת משך ההתקשרות והגבלת שמירת המידע בסוף ההתקשרות הגבלת מטרה, הגדרות העיבוד אבטחת מידע מעקב ובקרה, דיווחים על אירועים תיעוד קבלת ההחלטות שקשורות במיקור חוץ נהלים למימוש זכויות נושאי המידע איסור על העברת מידע ועל שימוש אחר בלי הסכמה שיתוף פעולה עם בעל המאגר

13 ייצוא מידע GDPR ישראל מנגנון קביעת Adequacy מערך הסכמי + מיקור חוץ
The effect of such a decision is that personal data can flow from the EU (and Norway, Liechtenstein and Iceland) to that third country without any further safeguard being necessary. In others words, transfers to the country in question will be assimilated to intra-EU transmissions of data. Privacy Shield להעברות לארה"ב מערך הסכמי Standard Contractual Clauses Binding Corporate Rules + מיקור חוץ תקנות העברת מידע למאגרי מידע מחוץ לגבולות המדינה למדינה שרמת ההגנה בה הולמת / adequate לפי הסכם להחיל את דיני ישראל "בשינויים המחוייבים" בהסכמת נושא המידע למדינות החתומות על האמנה האירופית / למדינות האיחוד האירופי למדינות המקבלות מידע מהאיחוד האירופי "לפי אותם תנאי קבלה" Safe Harbour / Privacy Shield? איסור העברה הלאה / למדינה אחרת = מיקור חוץ

14 אבטחת מידע GDPR ישראל פסאודונימיזציה הצפנה אמצעים טכניים הולמים
בדיקות ובקרות זמינות ועמידות גבוהה יכולות שיקום ושחזור נתונים לאחר אירוע אבטחה בדיקה והערכה שוטפת של רמת ההגנה על המידע ניהול הרשאות גישה חובת דיווח על אירועי אבטחה מיפוי מאגרים מיון עובדים / בדיקות רקע הצפנה אמצעים טכניים הולמים בדיקות ובקרות זמינות ועמידות גבוהה יכולות שיקום ושחזור נתונים לאחר אירוע אבטחה בדיקה והערכה שוטפת של רמת ההגנה על המידע ניהול הרשאות גישה חובת דיווח על אירועי אבטחה

15 דיווח על אירועי אבטחה GDPR ישראל קיימת בכל מאגר דיווח "ללא דיחוי"
(חשש מבוסס ל)גישה או עיבוד לא מורשה של מידע, או פגיעה בשלמות אלא אם לא קיים חשש לפגיעה בנושאי המידע דיווח גם לנושאי המידע – אם יש חשש גבוה לפגיעה בזכויותיהם אי זמינות כאירוע אבטחה אם קיים חשש לפגיעה בנושאי המידע דיווח "ללא דיחוי" אך לא יותר מ72 שעות "במידת האפשר" קיימת רק במאגרים ברמת אבטחה בינונית או גבוהה (חשש מבוסס ל)שימוש בלא הרשאה או בחריגה מהרשאה או פגיעה בשלמות אלא אם בחלק לא מהותי במאגר ברמה בינונית דיווח גם לנושאי המידע לפי החלטת הרשם / ראש רשות הסייבר אי זמינות כאירוע אבטחה אם נפגעה שלמות המידע דיווח "מיד" תוך 24 ולא יאוחר מ-72 שעות מאותו מועד, "ככלל"

16 הצהרת פרטיות GDPR ישראל נדרש כולל: נדרש (סעיף 11) כולל: רב שכבתי
האם חלה חובה חוקית למסור את המידע או לא סוגי מידע, מקור המידע, מקבלי המידע, העברה למדינה שלישית מטרת העיבוד, הבסיס החוקי, האינטרס הלגיטימי (אם קיים), החלטות אוטומטיות משך שמירת המידע או הקריטריונים שיקבעו אותה קיומן של זכויות נושא המידע והזכות למשוך הסכמה בנסיבות מסוימות הזכות להתלונן לרשות הרלוונטית, פרטי DPO ההשלכות של אי מסירת המידע נדרש (סעיף 11) "מדעת" (ברור, שקוף, נגיש) כולל: אם חלה על אותו אדם חובה חוקית למסור את המידע או לא למי יימסר המידע ומטרות המסירה המטרה אשר לשמה מבוקש המידע

17 DPIA GDPR ישראל חובה לבצע כשהעיבוד מוביל לסיכון גבוה לזכויות וחירויות של נושא המידע מיקור חוץ מומלץ לבצע בכל העיבודים שכרוכים בהיבטי פרטיות משמעותיים אי ביצוע הוא בעל פוטנציאל להשפעה שלילית המלצה שאי אפשר לסרב לה? מיקור חוץ

18 נושאי תפקידים GDPR ישראל DPO מנהל המאגר ממונה אבטחת מידע נציג באירופה
נדרש אם ליבת פעולת העיבוד היא עיבוד נרחב ושיטתי ליווי כל הנושאים שקשורים להגנת המידע, ייעוץ, פיקוח על קיום הוראות GDPR, סיוע ב DPIA, תיעדוף פעילויות בהתאם לרמת הסיכון איש קשר מול הרשויות ומול נושאי המידע לא חייב להיות עובד הארגון שמירת נתוני הגיבוי שיש לתעד פועל באופן עצמאי, מוגן מסנקציות ארגוניות, מקבל משאבים, איסור ניגוד עניינים, בכיר נציג באירופה לחברות שאינן באירופה (אלא אם העיבוד הוא occasional) אחראי לציות, תיעוד, קשר מול רשויות ונושאי המידע נציג יכול להיתבע ולחוב באופן אישי בקנסות פועל לפי ההוראות של הcontroller או הprocessor ולכן לא עצמאי מנהל המאגר יש תמיד (אם לא מונה – המנכ"ל הוא המנהל) אחראי על אבטחת מידע וסודיות תקנה 24 לתקנות החדשות ביטלה את תקנה 3 לתקנות תנאי החזקת מידע ושמירתו עובד של הארגון יכול לחוב אישית פועל באופן עצמאי, איסור ניגוד עניינים, בכיר ממונה אבטחת מידע נדרש אצל מחזיק בחמישה מאגרים, בנקים וכו' אבל אפשר גם וולנטרי איסור ניגוד עניינים (לא יכול להיות גם מנהל מאגר) מקבל משאבים יכול לפעול לפי ההוראות של בעל המאגר לא חייב להיות עובד הארגון

19 סנקציות GDPR ישראל קנסות מנהליים עד 4% מהמחזור העולמי השנתי או 20 מיליון אירו הפרת עקרונות הגנת המידע הפרת זכויות נושאי המידע הפרת הוראות בעניין העברת המידע מחוץ לגבולות האיחוד חצי קנס: הסכם מיקור חוץ לא תקין חוסר יישום במערכות של אמצעים טכנולוגיים (PBD) ואי יישום DPIA חוסר יישום של אמצעים לאבטחת מידע, אי דיווח על פריצות למידע אי מינוי קצין הגנת מידע הליכים אזרחיים פלילי מחיקת הרישום (!) מנהלי צנוע אבל מצטבר + תיקון 13 (!) אזרחי פיצוי ללא הוכחת נזק ייצוגיות (!)

20 מסקנות דיני הפרטיות בישראל זה לא מה שהיה פעם
אין הבדלים גדולים בין דיני הפרטיות בישראל לדיני הפרטיות באירופה יש פערי ציות (אבל גם באירופה) גם בישראל סנקציות כואבות כדאי לנצל את ההזדמנות וליישר קו עם הדין הישראלי ולהרוויח גם ציות לרוב GDPR ממילא יפרשו את הדין בישראל בהשפעת ה GDPR

21 Panic mode Don’t Panic מאי 2018 הוא אבן דרך – לא סוף הדרך תיעדוף:
תהליך ארוך טווח ותמידי תיעדוף: מיפוי, מיפוי, מיפוי נהלים עדכון מדיניות והצהרות פרטיות, טפסים עדכון הסכמי ספקים התנעת תהליכי DPIA DPO / מנהל מאגר / ממונה אבטחת מידע: פרגמטי > נודניק

22 תודה רבה http://www.ayr.co.il/practice- areas/פרטיות-ועיבוד-נתונים
המצגת היא כללית ואינה תחליף לייעוץ משפטי

Download ppt "חוק הגנת הפרטיות בהשוואה ל GDPR"

Similar presentations

EU Privacy Directive. What is a directive? A piece of European legislation, passed by bureaucrats, addressed to member states Member states must ensure.

EU Privacy Directive. What is a directive? A piece of European legislation, passed by bureaucrats, addressed to member states Member states must ensure.
Transborder Data Flows & Privacy Contractual clauses in the practice Tanguy Van Overstraeten Washington DC October 16, 2007.

Transborder Data Flows & Privacy Contractual clauses in the practice Tanguy Van Overstraeten Washington DC October 16, 2007.
Sarah Branam Mehmet MunurDino Tsibouris

Sarah Branam Mehmet MunurDino Tsibouris
Anomalous Aspects of Transfer of Personal Data from the E.U. to the U.S. Stephen R. Bell Willkie Farr & Gallagher ABA Section of International Law New.

Anomalous Aspects of Transfer of Personal Data from the E.U. to the U.S. Stephen R. Bell Willkie Farr & Gallagher ABA Section of International Law New.
Data Protection: International. Data Protection: a Human Right Part of Right to Personal Privacy Personal Privacy : necessary in a Democratic Society.

Data Protection: International. Data Protection: a Human Right Part of Right to Personal Privacy Personal Privacy : necessary in a Democratic Society.
From European to international standards on data protection (1/2)

From European to international standards on data protection (1/2)
Class 13 Internet Privacy Law European Privacy.

Class 13 Internet Privacy Law European Privacy.
Privacy Codes of Conduct as a self- regulatory approach to cope with restrictions on transborder data flow Dr. Anja Miedbrodt Exemplified with the help.

Privacy Codes of Conduct as a self- regulatory approach to cope with restrictions on transborder data flow Dr. Anja Miedbrodt Exemplified with the help.
Issues Related to Global Information Systems A business can’t just worry about its home- country laws, rules and regulations. If a business has global.

Issues Related to Global Information Systems A business can’t just worry about its home- country laws, rules and regulations. If a business has global.
Privacy, Data Protection and Lex Informatica -- lecture 7 Dr. Lee A. Bygrave, 3.3.2006.

Privacy, Data Protection and Lex Informatica -- lecture 7 Dr. Lee A. Bygrave,
Data Protection Philip Reed. Introduction What is data? What is data protection? Who needs your data? Who wants your data? Who does not need your data?

Data Protection Philip Reed. Introduction What is data? What is data protection? Who needs your data? Who wants your data? Who does not need your data?
1 Agencia Española de Protección de Datos The Use of Contracts and BCRs to Transfer Personal Data The European Union – United States Safe Harbor framework:

1 Agencia Española de Protección de Datos The Use of Contracts and BCRs to Transfer Personal Data The European Union – United States Safe Harbor framework:
1 TAIEX JHA 52182 - Workshop on data protection and cloud computing Data transfers to third countries and standard contractual clauses Skopje, 29 May 2014.

1 TAIEX JHA Workshop on data protection and cloud computing Data transfers to third countries and standard contractual clauses Skopje, 29 May 2014.
The EU General Data Protection Regulation Frank Rankin.

The EU General Data Protection Regulation Frank Rankin.
Data protection—training materials [Name and details of speaker]

Data protection—training materials [Name and details of speaker]
Key Points for a Privacy Programme for Multinationals Steve Coope.

Key Points for a Privacy Programme for Multinationals Steve Coope.
Your Code of Conduct: Data Protection & Compliance Your Code of Conduct: Data Protection & Compliance for Charities.

Your Code of Conduct: Data Protection & Compliance Your Code of Conduct: Data Protection & Compliance for Charities.
 Privacy as a legal concept Warren & Brandies., Harv.L.R., Vol 4 (1890) The right to be let alone.

 Privacy as a legal concept Warren & Brandies., Harv.L.R., Vol 4 (1890) The right to be let alone.
TRANSBORDER DATA FLOWS INA MEIRING. THE PROTECTION OF PERSONAL INFORMATION ACT (“POPI”) > 'personal information' means information relating to an identifiable,

TRANSBORDER DATA FLOWS INA MEIRING. THE PROTECTION OF PERSONAL INFORMATION ACT (“POPI”) > 'personal information' means information relating to an identifiable,
EU-US Data Transfers for Payroll:

EU-US Data Transfers for Payroll:

Similar presentations

Ads by Google