LOGO FAV

שאלות ותשובות בנושא מיקור חוץ

בעמוד זה תמצאו תשובות לשאלות נפוצות בנושא שימוש במיקור חוץ עבור עיבוד ושמירה על מידע במאגרי מידע.
נדון בהגדרות והחרגות בתקן, דרישות מהסכמים עם ספקי שירות, והבחנה בין "מחזיק" ל"גורם חיצוני" לצורך אבטחת מידע וניהול מאגרי מידע.
כניסה

שימוש במיקור חוץ לעיבוד מידע ואחסונו הוא פרקטיקה נפוצה בעידן המודרני, במיוחד בקרב ארגונים המבקשים להתמקד בפעילויות הליבה שלהם ולהשאיר את ניהול המידע בידי ספקים חיצוניים. עם זאת, כאשר ארגון מעביר מידע לגורם חיצוני, האחריות על אבטחת המידע והשמירה על פרטיותו אינה נעלמת, אלא מחייבת הקפדה רבה יותר על עמידה בדרישות החוק והתקנות. בעמוד זה תמצאו תשובות לשאלות מרכזיות העוסקות בהיבטי מיקור חוץ וניהול מאגרי מידע.

בין הנושאים המודגשים בעמוד זה נכללים ההבדלים בין "מחזיק" ל"גורם חיצוני". בעוד "מחזיק" מוגדר כמי שניתן לו הרשאה להשתמש במידע לצורך מוגדר, "גורם חיצוני" יכול להיות כל מי שמקבל גישה למאגר המידע או למערכותיו לצורך מתן שירות – אפילו אם הגישה אינה חלק מרכזי מהשירות הניתן. לדוגמה, ספק שירותי ענן או תמיכה טכנית עשוי להיחשב "גורם חיצוני" המחייב פיקוח מחמיר.

נושא חשוב נוסף הוא ניסוח הסכמים מול ספקי השירות. התקנות דורשות שבעל המאגר יפרט בהסכם עם הגורם החיצוני את חובותיו של אותו ספק, כולל אמצעים טכנולוגיים ונהלי עבודה שיבטיחו עמידה בדרישות האבטחה. הדבר נכון במיוחד כאשר מדובר במאגרים המחויבים ברמות אבטחה בינוניות או גבוהות, בהם הסיכונים מוגברים.

עמוד זה גם מתמקד בחריגים לתקנות, כמו התקשרות עם פרילנסרים או יחידים המשולבים בשגרת הארגון ואינם מחויבים בכללים המחמירים של מיקור חוץ. עם זאת, גם במקרה זה מומלץ לנקוט אמצעי זהירות ולוודא שהעברת המידע נעשית בצורה מאובטחת ומפוקחת.

לבסוף, תמצאו בעמוד זה דגשים על אחריות הארגון במקרים בהם מאגר המידע נשמר לחלוטין בידי ספק חיצוני, כגון אחסון בענן. בעל המאגר חייב לוודא שהספק עומד בסטנדרטים הרלוונטיים ושכל המידע מוגן מפני סיכונים כמו פריצות או דליפות מידע.

עמוד זה נועד לספק מענה ברור לכל שאלה העולה בנושא מיקור חוץ, תוך מתן כלים מעשיים לעמידה בתקנות והבטחת פרטיות המידע האישי שבידי הארגון.

מיקור חוץ

האם התקשרות של חברה עם יחיד באמצעות חברה שבבעלותו נכללת במסגרת תקנה 15(ג)?

תקנה 15 נועדה להסדיר את חובות בעל המאגר בעת התקשרות במיקור חוץ, כאשר מדובר במתן גישה למאגר המידע לגורם חיצוני. תקנה 15(ג) קובעת כי התקנה לא תחול על התקשרות של בעל מאגר עם יחיד המשולב בשגרת העבודה של הארגון וכפוף לאמצעי הבקרה שלו, כגון פרילנסר. עם זאת, כאשר היחיד אינו משולב בארגון ואינו כפוף לנהליו הפנימיים, התקנה תחול.

האם העברת מידע בתוך קבוצת חברות נחשבת כהוצאה מחוץ לארגון?

כן, כל שימוש באישיות משפטית נפרדת (כגון חברה בת או חברת אם) לצורך עיבוד מידע נחשב כהוצאה מחוץ לארגון, וכפוף לחוק הגנת הפרטיות והתקנות.

האם הוראות תקנה 15 יחולו על הסכמים עם ספקי שירות שנחתמו לפני מאי 2018?

כן, על הסכמים שנחתמו לפני מאי 2018 להתעדכן בהתאם לתקנות החדשות. התקנות נכנסו לתוקף לאחר תקופת היערכות של שנה מיום פרסומן, ולכן יש להתאים את ההסכמים הקיימים לכלל הדרישות החדשות.

מה ההבדל בין "גורם חיצוני" לפי תקנה 15 לבין "מחזיק" לפי חוק הגנת הפרטיות?

המונח "גורם חיצוני" בתקנה 15 כולל כל גורם שמקבל גישה למערכות מאגר המידע בעת מתן שירות, אף אם הגישה אינה הכרחית לביצוע השירות. הגדרה זו רחבה מהמונח "מחזיק" בחוק, אך ישנה חפיפה כאשר מדובר בגורם חיצוני שמקבל הרשאה לעיבוד או אחסון מידע.

האם חובה לעדכן הסכמים קיימים עם ספקי שירות במיקור חוץ?

כן, נדרשת התאמה ועדכון של הסכמים קיימים עם ספקי שירות במיקור חוץ בהתאם לתקנות החדשות.

מה נדרש מבעל המאגר כאשר מאגר המידע נשמר בענן בבעלות המחזיק?

בעל המאגר אחראי על אבטחת המידע, גם כאשר המידע נשמר אצל ספק ענן. יש ליישם מודל אחריות משותפת עם ספק הענן, המגדיר מי אחראי על כל רכיב במערכות, בהתאם לסוג השירות (IaaS, PaaS, SaaS) ולמודל הפריסה (פרטי, ציבורי, היברידי).

DPO - הגנת פרטיות באינטרנט – המומחים שלך לפרטיות מידע.
מדיניות פרטיות

© 2024 Fly Guy | Digitale