top of page

מדיניות - מדיניות הגנת נתונים של GDPR

 

עליך לקרוא מדיניות זו מכיוון שהיא מספקת מידע חשוב על:

 

  • עקרונות הגנת המידע עליהם על המשרד לעמוד;

  • מה הכוונה במידע אישי (או נתונים) ומידע אישי רגיש (או נתונים);

  • כיצד אנו אוספים, משתמשים ו(בסופו של דבר) מוחקים מידע אישי ומידע אישי רגיש בהתאם לעקרונות הגנת המידע;

  • היכן ניתן למצוא מידע פרטיות מפורט יותר, למשל אודות המידע האישי שאנו אוספים ומשתמשים אודותיך, אופן השימוש, האחסון וההעברה שלו, לאילו מטרות, הצעדים שננקטו כדי לשמור על מידע זה מאובטח ולמשך כמה זמן הוא נשמר;

  • הזכויות והחובות שלך ביחס להגנת מידע; ו

  • ההשלכות של אי עמידה במדיניות זו.

 

  1. מבוא

 

  1. המשרד משיג, שומר ומשתמש במידע אישי (המכונה גם נתונים) על מועמדים לעבודה ועל עובדים בהווה ובעבר, עובדים זמניים ומשכירים, קבלנים, מתמחים, מתנדבים וחניכים למספר מטרות חוקיות ספציפיות, כמפורט בסעיף הודעות הפרטיות של המשרד להגנת מידע בנוגע לגיוס והעסקה.

 

  1. מדיניות זו מפרטת כיצד אנו עומדים בהתחייבויות הגנת המידע שלנו ומבקשים להגן על מידע אישי הקשור לכוח העבודה שלנו. מטרתו היא גם להבטיח שהצוות מבין את הכללים המסדירים איסוף, שימוש ומחיקה של מידע אישי שאליו עשויה להיות להם גישה במהלך עבודתם ויצייתם.

 

  1. אנו מחויבים לעמוד בהתחייבויות הגנת המידע שלנו, ולהיות תמציתיים, ברורים ושקופים לגבי האופן שבו אנו משיגים ומשתמשים במידע אישי הקשור לכוח העבודה שלנו, וכיצד (ומתי) אנו מוחקים מידע זה ברגע שהוא אינו נדרש עוד.

 

  1. ממונה הגנת המידע של המשרד, אחראי ליידע ולייעץ למשרד ולצוותיו על חובותיו להגנת המידע, ולפקח על עמידה בחובות אלו ובמדיניות המשרד. אם יש לך שאלות או הערות לגבי התוכן של מדיניות זו או אם אתה זקוק למידע נוסף, עליך ליצור קשר עם דוא"ל קצין הגנת הנתונים:dpo@confirmsend.co.

 

  1. תחום

 

  1. מדיניות זו חלה על המידע האישי של מועמדים לעבודה ושל עובדים בהווה ובעבר, לרבות עובדים, עובדים זמניים ועובדים בסוכנות, מתמחים, מתנדבים וחניכים.

 

  1. הצוות צריך להתייחס להודעת הפרטיות של המשרד להגנת נתונים, ובמידת הצורך, למדיניות הרלוונטית האחרת שלו, לרבות ביחס לאינטרנט, דואר אלקטרוני ותקשורת, ניטור, מדיה חברתית, אבטחת מידע, שמירת נתונים ופרטי רישום פלילי, המכילים מידע נוסף לגבי ההגנה על מידע אישי בהקשרים אלה.

 

  1. אנו נסקור ונעדכן מדיניות זו באופן קבוע בהתאם לחובותינו להגנה על מידע. הוא אינו מהווה חלק מחוזה העסקה של עובד כלשהו ואנו עשויים לתקן, לעדכן או להשלים אותו מעת לעת. אנו נפיץ כל מדיניות חדשה או שונה לצוות לפני אימוץ.

 

  1. הגדרות

 

  1. מידע על רישום פלילי

פירושו מידע אישי הנוגע להרשעות ועבירות פליליות, האשמות, הליכים ואמצעי אבטחה קשורים;

 

  1. הפרת נתונים

פירושו הפרת אבטחה המובילה להרס מקרי או בלתי חוקי, אובדן, שינוי, חשיפה בלתי מורשית של מידע אישי או גישה אליו;

 

  1. נושא הנתונים

פירושו האדם שאליו מתייחס המידע האישי;

 

  1. מידע אישי

(המכונה לפעמים נתונים אישיים) פירושו מידע המתייחס לאדם שניתן לזהות (במישרין או בעקיפין) מאותו מידע;

 

  1. מעבד מידע

פירושו השגה, הקלטה, ארגון, אחסון, תיקון, אחזור, חשיפה ו/או השמדת מידע, או שימוש או עשיית דבר איתו;

 

  1. בעל שם בדוי

פירושו התהליך שבו מידע אישי מעובד באופן שלא ניתן להשתמש בו לזיהוי אדם ללא שימוש במידע נוסף, הנשמר בנפרד ובכפוף לאמצעים טכניים וארגוניים כדי להבטיח שלא ניתן לייחס את המידע האישי ל אדם שניתן לזהות;

 

  1. מידע אישי רגיש

(המכונה לפעמים 'קטגוריות מיוחדות של נתונים אישיים' או 'נתונים אישיים רגישים') פירושה מידע אישי על גזעו של אדם, מוצא אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, חברות באיגוד מקצועי (או אי-חברות), מידע גנטי, מידע ביומטרי (כאשר הוא משמש לזיהוי אדם) ומידע הנוגע לבריאותו, חיי המין או הנטייה המינית של אדם.

 

  1. עקרונות הגנת מידע

 

  1. המשרד יעמוד בעקרונות הגנת המידע הבאים בעת עיבוד מידע אישי:

 

  1. אנו נעבד מידע אישי באופן חוקי, הוגן ושקוף;

 

  1. נאסוף מידע אישי למטרות מוגדרות, מפורשות ולגיטימיות בלבד, ולא נעבד אותו באופן שאינו תואם את אותן מטרות לגיטימיות;

 

  1. אנו נעבד רק את המידע האישי הולם, רלוונטי והכרחי למטרות הרלוונטיות;

 

  1. אנו נשמור מידע אישי מדויק ועדכני, וננקוט בצעדים סבירים כדי להבטיח שמידע אישי לא מדויק יימחק או יתוקן ללא דיחוי;

 

  1. אנו נשמור מידע אישי בצורה המאפשרת זיהוי של נושאי מידע ללא יותר מהנדרש למטרות שלשמן מעובד המידע; ו

 

  1. אנו ננקוט באמצעים טכניים וארגוניים מתאימים כדי להבטיח שהמידע האישי יישמר מאובטח ומוגן מפני עיבוד לא מורשה או בלתי חוקי, ומפני אובדן, הרס או נזק מקרי.

 

  1. בסיס לעיבוד מידע אישי

 

  1. ביחס לכל פעילות עיבוד נבצע, לפני תחילת העיבוד בפעם הראשונה, ולאחר מכן באופן קבוע תוך כדי המשך:

 

  1. סקור את המטרות של פעילות העיבוד המסוימת, ובחר את הבסיס החוקי (או הבסיסים) המתאימים ביותר לעיבוד זה, כלומר:

 

  1. כי נושא הנתונים הסכים לעיבוד;

 

  1. כי העיבוד הכרחי לקיום חוזה שהנושא המידע צד לו או על מנת לנקוט בצעדים לבקשת נשוא המידע טרם התקשרות בחוזה;

 

  1. כי העיבוד הכרחי לעמידה בהתחייבות משפטית עליה כפוף המשרד;

 

  1. שהעיבוד הכרחי להגנה על האינטרסים החיוניים של נושא המידע או אדם טבעי אחר;

 

  1. כי העיבוד הכרחי לביצוע משימה שבוצעה לטובת הציבור

 

  1. כי העיבוד הכרחי למטרות אינטרסים לגיטימיים של המשרד או של צד שלישי, למעט כאשר אינטרסים אלה עולים על ידי האינטרסים של זכויות יסוד וחירויות של נושא המידע - ראה סעיף 5.2 להלן.

 

  1. למעט כאשר העיבוד מבוסס על הסכמה, נוודא שהעיבוד נחוץ למטרת הבסיס החוקי הרלוונטי (כלומר שאין דרך סבירה אחרת להשיג מטרה זו);

 

  1. לתעד את החלטתנו באיזה בסיס חוקי חל, כדי לעזור להוכיח את עמידתנו בעקרונות הגנת הנתונים;

 

 

  1. לכלול מידע הן על מטרות העיבוד והן על הבסיס החוקי לו בהודעת הפרטיות הרלוונטית שלנו;

 

  1. כאשר מידע אישי רגיש מעובד, זהה גם תנאי מיוחד חוקי לעיבוד מידע זה (ראה סעיף 6.2.2 להלן), ותעד אותו; ו

 

  1. במקום שבו מעובד מידע על עבירה פלילית, לזהות גם תנאי חוקי לעיבוד מידע זה ולתעד אותו.

 

  1. בעת קביעה האם האינטרסים הלגיטימיים של המשרד הם הבסיס המתאים ביותר לעיבוד חוקי, אנו:

 

  1. לערוך הערכת אינטרסים לגיטימיים (LIA) ולנהל תיעוד שלה, כדי להבטיח שנוכל להצדיק את החלטתנו;

 

  1. אם ה-LIA מזהה השפעה משמעותית על הפרטיות, שקול אם עלינו לערוך גם הערכת השפעה על הגנת נתונים (DPIA)

 

  1. לשמור על ה-LIA בבדיקה, ולחזור עליו אם הנסיבות משתנות; ו

 

  1. לכלול מידע על האינטרסים הלגיטימיים שלנו בהודעת הפרטיות הרלוונטית שלנו.

 

  1. מידע אישי רגיש

 

  1. מידע אישי רגיש מכונה לפעמים 'קטגוריות מיוחדות של נתונים אישיים' או 'נתונים אישיים רגישים'.

 

  1. המשרד עשוי להזדקק מעת לעת לעבד מידע אישי רגיש. אנו נעבד מידע אישי רגיש רק אם:

 

  1. יש לנו בסיס חוקי לעשות זאת כמפורט בסעיף 5.1.1 לעיל, למשל זה הכרחי לקיום חוזה העבודה, כדי לעמוד בהתחייבויות המשפטיות של המשרד או למטרות האינטרסים הלגיטימיים של המשרד; ו

 

  1. חל אחד מהתנאים המיוחדים לעיבוד מידע אישי רגיש, למשל:

 

  1. נושא הנתונים נתן הסכמה מפורשת;

 

  1. העיבוד הכרחי למטרות מימוש זכויות או חובות דיני העבודה של המשרד או נשוא המידע;

 

  1. העיבוד הכרחי כדי להגן על האינטרסים החיוניים של נושא המידע, ונושאי המידע אינו מסוגל פיזית לתת הסכמה;

 

  1. העיבוד מתייחס לנתונים אישיים אשר מפורסמים בעליל על ידי נושא המידע;

 

  1. העיבוד הכרחי לביסוס, מימוש או הגנה של תביעות משפטיות; או

 

  1. העיבוד הכרחי מסיבות של אינטרס ציבורי מהותי.

 

  1. לפני עיבוד מידע אישי רגיש, על הצוות להודיע לקצין הגנת המידע על העיבוד המוצע, על מנת שמנהל הגנת המידע יוכל להעריך האם העיבוד עומד בקריטריונים שצוינו לעיל.

 

  1. מידע אישי רגיש לא יעובד עד:

 

  1. ההערכה האמורה בסעיף 6.3 התקיימה; ו

 

  1. הפרט קיבל מידע נאות (באמצעות הודעת פרטיות או בדרך אחרת) לגבי אופי העיבוד, המטרות שלשמן הוא מתבצע והבסיס המשפטי לו.

 

  1. המשרד לא יבצע קבלת החלטות אוטומטית (לרבות פרופילים) על סמך מידע אישי רגיש של כל אדם.

 

  1. הודעת הפרטיות של המשרד להגנת מידע מפרטת את סוגי המידע האישי הרגיש שהמשרד מעבד, לשם מה הוא משמש והבסיס החוקי לעיבוד.

 

  1. ביחס למידע אישי רגיש, המשרד ימלא אחר הנהלים המפורטים בסעיפים 6.8 ו-6.9 להלן כדי לוודא שהוא עומד בעקרונות הגנת המידע המפורטים בסעיף 4 לעיל.

 

  1. במהלך תהליך הגיוס: מנהל הקצין, בהנחיית קצין הגנת המידע, יוודא כי (למעט היכן שהחוק מתיר אחרת):

 

  1. בשלבי הרשימה הקצרה, הראיונות וקבלת ההחלטות, לא נשאלות שאלות הנוגעות למידע אישי רגיש, כגון גזע או מוצא אתני, חברות באיגוד מקצועי או בריאות;

 

  1. אם מתקבל מידע אישי רגיש, למשל המבקש מספק אותו מבלי שהתבקש זאת בקורות החיים שלו או במהלך הראיון, לא נשמר כל רישום וכל התייחסות אליו נמחקת או נמחקת מיד.

 

  1. כל טופס ניטור שוויון הזדמנויות שלם נשמר בנפרד מטופס הבקשה של הפרט, ואינו נראה על ידי מי שמרימה רשימה קצרה, מראיין או מקבל את החלטת הגיוס;

 

  1. בדיקות 'זכות לעבודה' מבוצעות לפני קבלת הצעת עבודה ללא תנאי, ולא בשלבי הרשימה, הראיונות או קבלת ההחלטות המוקדמים יותר;

 

  1. לא נשאל שאלות בריאות בקשר לגיוס או רק נשאל שאלות בריאות לאחר שתוגש הצעה לעבודה.

 

  1. במהלך העבודה: מנהל המשרד, בהנחיית קצין הגנת המידע, יעבד:

 

  1. מידע בריאותי למטרות ניהול דמי מחלה, שמירת רישומי היעדרות ממחלה, מעקב אחר נוכחות הצוות והקלה על דמי בריאות ומחלה הקשורים לתעסוקה;

 

  1. מידע אישי רגיש למטרות ניטור שוויון הזדמנויות ודיווח על שוויון בשכר. במידת האפשר, מידע זה יהיה אנונימי; ו

 

  1. מידע על חברות באיגודים מקצועיים למטרות ניהול צוות וניהול 'סימון'.

 

 

  1. מידע על רישום פלילי

 

  1. מידע על רישומים פליליים יעובד בהתאם למדיניות המידע על רישומים פליליים של המשרד.

 

  1. הערכות השפעה להגנה על נתונים (DPIAs)

 

  1. כאשר עיבוד עשוי לגרום לסיכון גבוה לזכויות הגנת המידע של אדם (למשל כאשר החברה מתכננת להשתמש בטכנולוגיה חדשה), אנו נבצע DPIA כדי להעריך, לפני תחילת העיבוד:

 

  1. האם העיבוד הכרחי ומידתי ביחס לתכליתו;

 

  1. הסיכונים ליחידים; ו

 

  1. אילו אמצעים ניתן לנקוט כדי לטפל בסיכונים אלה ולהגן על מידע אישי.

 

  1. לפני הצגת כל צורה חדשה של טכנולוגיה, על המנהל האחראי ליצור קשר עם קצין הגנת המידע על מנת שניתן יהיה לבצע DPIA.

 

  1. במהלך כל DPIA, השותף יבקש את עצתו של קצין הגנת המידע ואת דעותיהם של ומבעלי עניין רלוונטיים אחרים.

 

  1. תיעוד ורישומים

 

  1. אנו נשמור רישומים כתובים של פעילויות עיבוד שהן בעלות סיכון גבוה, כלומר שעלולות להוביל לסיכון לזכויות ולחירויות של יחידים או לכלול מידע אישי רגיש או מידע רישום פלילי, לרבות:

 

  1. השם והפרטים של ארגון המעסיק (ואם רלוונטי, של בקרים אחרים, נציג המעסיק וה-DPO)

 

  1. מטרות העיבוד;

 

  1. תיאור של קטגוריות של אנשים וקטגוריות של נתונים אישיים;

 

  1. קטגוריות של מקבלי נתונים אישיים;

 

  1. כאשר רלוונטי, פרטים על העברות למדינות שלישיות, לרבות תיעוד של אמצעי ההגנה של מנגנון ההעברה הקיים;

 

  1. במידת האפשר, לוחות זמנים לשמירה; ו

 

  1. במידת האפשר, תיאור של אמצעי אבטחה טכניים וארגוניים.

 

  1. כחלק מהתיעוד שלנו של פעילויות עיבוד אנו מתעדים, או מקשרים לתיעוד, ב:

 

  1. מידע הנדרש להודעות פרטיות;

 

  1. רישומי הסכמה;

 

  1. חוזי בקר-מעבד;

 

  1. מיקום המידע האישי;

 

  1. DPIAs; ו

 

  1. תיעוד של פרצות מידע.

 

  1. אם אנו מעבדים מידע אישי רגיש או מידע על רישום פלילי, נשמור רישומים כתובים של:

 

  1. המטרה/המטרות הרלוונטיות שלשמן מתבצע העיבוד, לרבות (כאשר נדרש מדוע זה נחוץ למטרה זו;

 

  1. הבסיס החוקי לעיבוד שלנו; ו

 

  1. האם אנו שומרים ומוחקים את המידע האישי בהתאם למסמך המדיניות שלנו, ואם לא, הסיבות לאי ציות למדיניות שלנו.

 

  1. אנו נבצע ביקורות שוטפות של המידע האישי שאנו מעבדים ונעדכן את התיעוד שלנו בהתאם. זה עשוי לכלול:

 

  1. ביצוע ביקורת מידע כדי לברר איזה מידע אישי מחזיק המשרד;

 

  1. הפצת שאלונים ושיחה עם הצוות ברחבי המשרד כדי לקבל תמונה מלאה יותר של פעילויות העיבוד שלנו; ו

 

  1. סקירת המדיניות, הנהלים, החוזים וההסכמים שלנו כדי לטפל בתחומים כמו שמירה, אבטחה ושיתוף נתונים.

 

  1. הודעת פרטיות

 

  1. המשרד יפרסם מעת לעת הודעות פרטיות, שיודיעו לך על המידע האישי שאנו אוספים ומחזיקים בנוגע אליך, כיצד תוכל לצפות בשימוש במידע האישי שלך ולאילו מטרות.

 

  1. אנו ננקוט באמצעים מתאימים כדי לספק מידע בהודעות פרטיות בצורה תמציתית, שקופה, מובנת ונגישה בקלות, תוך שימוש בשפה ברורה וברורה.

 

  1. זכויות הפרט

 

  1. יש לך (במשותף עם נושאי מידע אחרים) את הזכויות הבאות ביחס למידע האישי שלך:

 

  1. לקבל מידע על האופן שבו, מדוע ועל סמך מה המידע הזה מעובד - ראה הודעת הפרטיות של המשרד להגנת נתונים;

 

  1. כדי לקבל אישור שהמידע שלך מעובד ולקבל גישה אליו ולמידע מסוים אחר, על ידי הגשת בקשת גישה בנושא - ראה מדיניות בקשות גישה בנושא גישה של המשרד;

 

  1. לתקן נתונים אם הם לא מדויקים או לא שלמים;

 

  1. למחוק נתונים אם הם אינם נחוצים עוד למטרה שלשמה הם נאספו/עובדו במקור, או אם אין עילות לגיטימיות גוברות על העיבוד (זה מכונה לפעמים 'הזכות להישכח');

 

  1. להגביל את העיבוד של מידע אישי כאשר דיוק המידע שנוי במחלוקת, או שהעיבוד אינו חוקי (אך אינך רוצה שהנתונים יימחקו), או כאשר המעסיק אינו זקוק עוד למידע האישי אך אתה דורש מהנתונים להקים, לממש או להגן על תביעה משפטית; ו

 

  1. להגביל את עיבוד המידע האישי באופן זמני במקום שבו אתה לא חושב שהוא מדויק (והמעסיק מוודא אם הוא מדויק), או כאשר התנגדת לעיבוד (והמעסיק שוקל אם העילות הלגיטימיות של הארגון גוברות על האינטרסים שלך ).

 

  1. אם ברצונך לממש אחת מהזכויות בסעיפים 11.1.3 עד 11.1.6, אנא צור קשר עם קצין הגנת המידע.

 

  1. התחייבויות אישיות

 

  1. יחידים אחראים לעזור למשרד לשמור על עדכניות המידע האישי שלהם. עליך ליידע את Office Manager אם המידע שמסרת למשרד משתנה, למשל אם אתה עובר דירה או משנה את פרטי חשבון הבנק או חברת הבניין שאליו אתה מקבל תשלום.

 

  1. ייתכן שתהיה לך גישה למידע האישי של חברי צוות אחרים, ספקים ולקוחות של המשרד במהלך העסקתך או התקשרותך. אם כן, המשרד מצפה ממך לעזור לעמוד בהתחייבויות הגנת המידע שלה כלפי אותם אנשים. לדוגמה, עליך להיות מודע לכך שהם עשויים ליהנות גם מהזכויות המפורטות בסעיף 11.1 לעיל

 

 

  1. אם יש לך גישה למידע אישי, עליך:

 

  1. לגשת רק למידע האישי שיש לך סמכות לגשת אליו, ורק למטרות מורשות;

 

  1. לאפשר לצוות אחר של החברה לגשת למידע אישי רק אם יש להם הרשאה מתאימה;

 

  1. לאפשר לאנשים שאינם צוות החברה לגשת למידע אישי רק אם יש לך סמכות ספציפית לעשות זאת מהקצין להגנת המידע;

 

  1. לשמור על מידע אישי מאובטח (למשל על ידי ציות לכללים על גישה למתחם, גישה למחשב, הגנה באמצעות סיסמה ואחסון והשמדת קבצים מאובטחים ואמצעי זהירות אחרים המפורטים במדיניות אבטחת המידע של המשרד;

 

  1. לא להסיר מידע אישי, או מכשירים המכילים מידע אישי (או שניתן להשתמש בהם כדי לגשת אליו), משטחי המשרד, אלא אם כן נקבעו אמצעי אבטחה מתאימים (כגון פסבדונימיזציה, הצפנה או הגנה באמצעות סיסמה) כדי לאבטח את המידע והמכשיר; ו

 

  1. לא לאחסן מידע אישי בכוננים מקומיים או במכשירים אישיים המשמשים למטרות עבודה;

 

  1. עליך לפנות לקצין הגנת המידע אם אתה מודאג או חושד שאחד מהדברים הבאים התרחש (או מתקיים או צפוי להתקיים):

 

  1. עיבוד נתונים אישיים ללא בסיס חוקי לעיבודם או, במקרה של מידע אישי רגיש, מבלי שהתקיים אחד מהתנאים בסעיף 6.2.2;

 

  1. כל הפרת נתונים כמפורט בסעיף 15.1 להלן;

 

  1. גישה למידע אישי ללא הרשאה מתאימה;

 

  1. מידע אישי שלא נשמר או נמחק בצורה מאובטחת;

 

  1. הסרה של מידע אישי, או מכשירים המכילים מידע אישי (או שניתן להשתמש בהם כדי לגשת אליו), משטחי המשרד ללא אמצעי אבטחה מתאימים;

 

  1. כל הפרה אחרת של מדיניות זו או של כל אחד מעקרונות הגנת הנתונים המפורטים בסעיף 4.1 לעיל.

 

  1. אבטחת מידע

 

  1. המשרד ישתמש באמצעים טכניים וארגוניים מתאימים בהתאם למדיניות אבטחת המידע של המשרד על מנת לשמור על אבטחת המידע האישי, ובפרט על מנת להגן מפני עיבוד בלתי מורשה או בלתי חוקי ומפני אובדן, הרס או נזק מקרי. אלה עשויים לכלול:

 

  1. לוודא שבמידת האפשר המידע האישי יהיה בדוי או מוצפן;

 

  1. הבטחת הסודיות המתמשכת, היושרה, הזמינות והחוסן של מערכות ושירותי עיבוד;

 

  1. להבטיח שבמקרה של אירוע פיזי או טכני, זמינות וגישה למידע אישי ניתנות לשחזור בזמן; ו

 

  1. תהליך לבדיקה, הערכה והערכת יעילותם של אמצעים טכניים וארגוניים להבטחת אבטחת העיבוד באופן שוטף.

 

  1. כאשר המשרד משתמש בארגונים חיצוניים לעיבוד מידע אישי מטעמה, יש ליישם הסדרי אבטחה נוספים בחוזים עם אותם ארגונים כדי להגן על אבטחת המידע האישי. בפרט, חוזים עם ארגונים חיצוניים חייבים לספק כי:

 

  1. הארגון רשאי לפעול רק לפי הנחיות המשרד בכתב;

 

  1. המעבדים את הנתונים כפופים לחובת אמון;

 

  1. ננקטים אמצעים מתאימים כדי להבטיח את אבטחת העיבוד;

 

  1. קבלני משנה מועסקים רק בהסכמה מראש של המשרד ועל פי חוזה בכתב;

 

  1. הארגון יסייע למשרד במתן גישה לנושא ולאפשר לאנשים לממש את זכויותיהם ביחס להגנת מידע;

 

  1. הארגון יסייע למשרד לעמוד בהתחייבויותיו ביחס לאבטחת העיבוד, הודעה על פרצות מידע והערכות השפעה על הגנת מידע;

 

  1. הארגון ימחק או יחזיר את כל המידע האישי למשרד כפי שיתבקש בסוף החוזה; ו

 

  1. הארגון יגיש ביקורת ובדיקות, יספק למשרד כל מידע שהוא צריך כדי לוודא ששניהם עומדים בהתחייבויות הגנת המידע שלהם, ויודיע למשרד מיד אם הוא יתבקש לעשות משהו שמפר את חוק הגנת המידע.

 

  1. לפני שנכרת כל הסכם חדש הכרוך בעיבוד מידע אישי על ידי ארגון חיצוני, או שינוי הסכם קיים, על הצוות הרלוונטי לבקש את אישור תנאיו על ידי קצין הגנת המידע;

 

  1. אחסון ושמירה של מידע אישי

 

  1. מידע אישי (ומידע אישי רגיש) יישמר בצורה מאובטחת בהתאם למדיניות אבטחת המידע של המשרד.

 

  1. אין לשמור מידע אישי (ומידע אישי רגיש) למשך זמן רב מהנדרש. משך הזמן שבו יש לשמור את הנתונים יהיה תלוי בנסיבות, כולל הסיבות שבגללן המידע האישי הושג. הצוות צריך לעקוב אחר מדיניות שמירת הרישומים של המשרד, אשר קובעת את תקופת השמירה הרלוונטית, או את הקריטריונים שיש להשתמש בהם כדי לקבוע את תקופת השמירה. כאשר קיימת אי ודאות כלשהי, על הצוות להתייעץ עם [קצין הגנת המידע;

 

  1. מידע אישי (ומידע אישי רגיש) שאינו נדרש עוד יימחק לצמיתות ממערכות המידע שלנו וכל עותקים מודפסים יושמדו בצורה מאובטחת.

 

  1. פרצות נתונים

 

  1. הפרת נתונים עשויה ללבוש צורות שונות, למשל:

 

  1. אובדן או גניבה של נתונים או ציוד שעליהם מאוחסן מידע אישי;

 

  1. גישה בלתי מורשית למידע אישי או שימוש בו על ידי חבר צוות או צד שלישי;

 

  1. אובדן נתונים כתוצאה מכשל בציוד או במערכות (כולל חומרה ותוכנה);

 

  1. טעות אנוש, כגון מחיקה בשוגג או שינוי נתונים;

 

  1. נסיבות בלתי צפויות, כגון שריפה או שיטפון;

 

  1. התקפות מכוונות על מערכות IT, כגון פריצה, וירוסים או הונאות דיוג; ו

 

  1. עבירות 'התלהמות', שבהן מידע מתקבל על ידי הונאת הארגון המחזיק בו.

 

  1. המשרד יבצע:

 

  1. להעביר את הדיווח הנדרש על פריצת מידע ללשכת נציב המידע ללא דיחוי מיותר ובמידת האפשר תוך 72 שעות מיום שנודע לה, אם היא עלולה לגרום לסיכון לזכויות ולחירויות של יחידים; ו

 

  1. להודיע לאנשים המושפעים אם הפרת נתונים עלולה לגרום לסיכון גבוה לזכויותיהם וחירויותיהם, וההודעה נדרשת על פי חוק.

 

  1. העברות בינלאומיות

 

  1. המשרד רשאי להעביר מידע אישי מחוץ לאזור הכלכלי האירופי (EEA) (הכולל את המדינות באיחוד האירופי ואיסלנד, ליכטנשטיין ונורבגיה) על בסיס שאותה מדינה, טריטוריה או ארגון מוגדרים כבעלי רמת הגנה נאותה או שהארגון המקבל את המידע סיפק אמצעי הגנה נאותים בדרך של כללים תאגידיים מחייבים או סעיפי הגנה על נתונים סטנדרטיים או של עמידה בקוד התנהגות מאושר, או בהסכמה מפורשת של הלקוח.

 

  1. הדרכה

 

  1. המשרד יוודא שהצוות מקבל הכשרה נאותה לגבי אחריותם להגנת המידע. אנשים שתפקידיהם דורשים גישה קבועה למידע אישי, או שאחראים ליישום מדיניות זו או להגיב לבקשות גישה של נושאים במסגרת מדיניות זו, יקבלו הדרכה נוספת כדי לעזור להם להבין את חובותיהם וכיצד לעמוד בהן.

 

  1. ההשלכות של אי עמידה בדרישות

 

  1. המשרד מתייחס ברצינות רבה לעמידה במדיניות זו. אי עמידה במדיניות:

 

  1. מסכנת את האנשים שהמידע האישי שלהם מעובד; ו

 

  1. נושאת בסיכון של סנקציות אזרחיות ופליליות משמעותיות עבור הפרט והפירמה; ו

 

  1. עלול, בנסיבות מסוימות, להגיע לעבירה פלילית של הפרט.

 

  1. בשל חשיבותה של מדיניות זו, אי עמידה של עובד בכל דרישה ממנה עלולה להוביל להליכים משמעתיים על פי הנהלים שלנו, ופעולה זו עלולה לגרום לפיטורין בשל התנהגות בלתי הולמת. אם מי שאינו עובד מפר מדיניות זו, ייתכן שהחוזה שלו יבוטל בתוקף מיידי.

 

  1. אם יש לך שאלות או חששות לגבי משהו במדיניות זו, אל תהסס לפנות לקצין הגנת המידע;

 

 

 

קראתי והבנתי מדיניות זו ואני מסכים לציית לתנאיה.

 

חתם................................................. ................................................................ .

bottom of page