מדיניות כלכלת הנתונים הכללית (GDPR)
1. הצהרת מדיניות
בכל יום עסקנו יקבל, ישתמש וישמור מידע אישי אודות לקוחותינו, ספקים, מועמדים לראיון ועמיתים. חשוב שהמידע הזה ייטופל באופן חוקי והולם עפ"י דרישות חוק ההגנה על המידע (2018) ותקנות ההגנה הכלליות על הנתונים (ביחד מתוך המופעלות כ"דרישות ההגנה על המידע").
אנו לוקחים את חובות ההגנה על המידע שלנו ברצימה, כי אנו מכבדים את האמון שניתן לנו להשתמש במידע אישי באופן הולם ואחראי.
2. אודות מדיניות זו
מדיניות זו, וכל מסמכים אחרים שמתייחסים אליה, מציינים את הבסיס שעליו נעבד כל מידע אישי שאנו אוספים או מעבדים.
מדיניות זו אינה חלק מהחוזה האישי של כל עובד וניתן לשנותה בכל עת.
אלכס סמית הוא רכז ההגנה על המידע (DPO) שלנו, ואחראי להבטיח את העמידה של החברה בדרישות ההגנה על המידע ובמדיניות זו. כל שאלות בנוגע לפעולת מדיניות זו או כל דאגות שלא נעקב במדיניות זו, יש לפנות בראש וראשונה לרכז ההגנה על המידע, או לדווח על פי מדיניות התלונות של החברה שלנו (יש לעיין במדריך העובדים).
3. מהו מידע אישי?
מידע אישי מתייחס למידע (בין אם מאוחסן באופן אלקטרוני או מבוסס על נייר) המתייחס לאדם חי אשר ניתן לזיהוי ישיר או עקרוני מהמידע הזה (או מהמידע הזה וממידע אחר ברשותנו).
עיבוד הינו כל פעילות הכוללת שימוש במידע אישי. זה כולל רכישת, רישום או אחסון של המידע, ארגון, שינוי, גישה, שימוש, חשיפה, מחיקה או השמדתו. עיבוד כולל גם העברת מידע אישי לצדדים שלישיים.
נתונים אישיים רגישים כוללים נתונים אישיים אודות שורש רצופי או אתני, דעות פוליטיות, אמונות דתיות או פילוסופיות, חברות באיגוד או בתא המקצועי, גנטיים, ביומטריים, מצב בריאותי פיזי או נפשי, סמכות מינית או חיים מיניים. זה יכול גם לכלול נתונים אודות עבירות פליליות או רשיונות. נתונים אישיים רגישים ניתן לעבד רק בתנאים מאוד מחמירים, כולל בהסכמת האדם.
4. עקרונות הגנת הנתונים
כל מי שעובד נתונים אישיים, חייב לוודא כי הנתונים הם:
a. מעובדים באופן הוגן, חוקי ובאופן שקוף.
b. מאוחסנים למטרות ספציפיות, ברורות וחוקיות וכל עיבוד נוסף מתרחש למטרה התואמת.
c. מספיקים, רלוונטיים ומוגבלים למה שנחוץ למטרות המיועדות.
d. מדוייקים, ובמידת הצורך, מתעדכנים באופן תדיר.
e. מתוייגים בצורה שמתירה זיהוי לפרק זמן לא ארוך מאשר הדרוש למטרות המיועדות.
f. נעודדים בהתאם לזכויות האדם ובאופן שמבטיח אבטחה הולמת של הנתונים האישיים, כולל הגנה נגד עיבוד לא רשות או לא חוקי ונגד אובדן כמויות מיותרות או נזק, באמצעים טכניים או ארגוניים רלוונטיים.
g. לא יעברו לאנשים או ארגונים השהותם במדינות בלי הגנה מתאימה ומבלי להיות הורידו ידע לאדם בראשון.
5. עיבוד הוגן וחוקי
דרישות ההגנה על המידע לא מיועדות למניעת עיבוד של מידע אישי, אלא להבטיח כי זה יתבצע באופן הוגן ולא יפגע בזכויות האדם.
בהתאם לדרישות ההגנה על המידע, נעבד מידע אישי רק כאשר זה נדרש למטרה חוקית. המטרות החוקיות כוללות (בין היתר): האם האדם נתן את הסכמתו, העיבוד נחוץ לביצוע חוזה עם האדם, לצורך עמיתות עם חובה משפטית או לצורך העניין החוקי של העסק. כאשר מעובדים מידע אישי רגיש, עליהם לעמוד בתנאים נוספים.
6. עיבוד למטרות מוגבלות
במהלך פעילות העסק שלנו, ייתכן שנאסוף ונעבד את הנתונים האישיים. הדבר עשוי לכלול מידע שנקבל ישירות מנושה נתונים (לדוגמה, על ידי מילוי טפסים או על פי תקשורת איתנו בדרך דוא"ל, טלפון, אימייל או באופן אחר) ומידע שנקבל ממקורות אחרים (כולל מידע מיקום, שותפי עסקים, תת-קבלנים בשירותים טכניים, תשלומים ומשלוחים, סוכנויות ליווי אשראי ואחרים).
אנו נעבד נתונים אישיים רק למטרות הספציפיות המוצגות בסדר העדיפויות 1 או לכל מטרות אחרות המותרות במיוחד על פי דרישות ההגנה על המידע. אנו נודיע על המטרות אלו לנושה הנתונים בעת איסוף הנתונים לראשונה או כך האפשר בהקדם האפשרי לאחר מכן.
7. הודעה לאנשים
אם אנו אוספים נתונים אישיים ישירות מנושה נתונים, אנו נודיע להם על:
a. המטרה או המטרות שבזמן העיבוד נתונים אישיים, כמו גם הבסיס המשפטי לעיבוד זה.
b. במקרה שאנו נוסעים על ענייני העסק החוקיים כדי לעבד את המידע האישי, התנאים החוקיים המיוחדים.
c. סוגי הצדדים השלישיים, אם קיימים, איתם נשתף או נחשוף את המידע האישי ההוא.
d. איך ניתן לאנשים להגביל את השימוש והחשיפה של מידעם האישי.
e. מידע על תקופת השמירה של המידע שלהם, או הקריטריונים המשמשים להגדרת אותה תקופה.
f. הזכות שלהם לבקש מאיתנו כבעלי השליטה גישה ותיקון או מחיקת נתונים אישיים או הגבלת העיבוד.
g. הזכות שלהם להגיש ולהגיד בישויות בעיבוד והזכות שלהם לניודנות נתונים.
h. הזכות שלהם לשלול את ההסכמה שלהם בכל עת (אם כן ניתנה הסכמה) מבלי להשפיע על חוקיות העיבוד לפני שנסוגה ההסכמה.
i. הזכות להגיש תלונה למשרד המשנה להגנת המידע.
j. מקורות נוספים שבהם צמחו נתונים אישיים הנוגעים לאדם, והאם הם שייכו ממקורות נגישים לציבור.
k. האם הבאת המידע האישי היא דרישת חוק או חוזה, או דרישה הנחוצה להיכנס לחוזה, כמו גם האם האדם חייב לספק את המידע האישי וכל השלכות כשל לספק את הנתונים.
אם אנו מקבלים מידע אישי אודות אדם ממקורות אחרים, נספק להם את המידע הזה בהקדם האפשרי (בנוסף להודעה על הקטגוריות של המידע האישי המדובר) אך בהקדם תוך חודש אחד.
נודיע גם לנאשי נתונים שמידע האישי שלהם אנו מעבדים, כי אנו בעלי השליטה על מידע זה, את פרטי הקשר שלנו ומי הוא רכז ההגנה על המידע.
8. עיבוד מתאים, רלוונטי ולא מוגזם
אנו נאסוף מידע אישי באופן רק לגודל הנדרש למטרה הספציפית שהתקבלה הודאה עליה לנאשי נתונים.
9. מידע מדוייק
אנו נוודא כי מידע אישי שאנו מחזיקים הוא מדוייק ומתעדכן. אנו נבדוק את המדויקות של כל מידע אישי בנקודת הצבירה ובתדירות קבועה לאחר מכן. נקח כל צעדים סבירים להשמדת או לתיקון של מידע אי מדוייק או לא מעודכן.
10. עיבוד בזמן
אנו לא נשמור על נתונים אישיים לאורך זמן שאינו נדרש למטרה או המטרות שבשבילן נאספו. אנו נקח כל צעדים סבירים כדי להשמיד, או למחוק מהמערכות שלנו, את כל הנתונים שאינם נדרשים עוד.
11. עיבוד בהתאם לזכויות נושה הנתונים
אנו נעבד את כל הנתונים האישיים בהתאם לזכויות הנושה הנתונים, במיוחד זכותם ל:
a. אישור כגון נעשה עיבוד של נתונים אישיים אודות האדם.
b. בקשת גישה לכל המידע המוחזק עליהם על ידי בעלי השליטה בנתונים.
c. בקשת תיקון, מחיקה או הגבלה על עיבוד הנתונים האישיים שלהם.
d. הגשת תלונה עם רשות מחקרית.
e. התנגדות לעיבוד כולל עבור שיווק ישיר.
12. אבטחת המידע
אנו נקח את הצעדים האבטחתיים המתאימים נגד עיבוד לא חוקי או לא מורשה של נתונים אישיים, ונגד השמדה אקראית או לא חוקית, נזק, אובדן, שינוי, חשיפה לא מורשית או גישה לנתונים אישיים המועברים, מאוחסנים או מעובדים בכל דרך אחרת. אם יתרחש עבירה לא חוקית של העברת נתונים, תתבצע חקירה על ידי הצוות המתאים ופעולות הדיסציפלינה של החברה תחול.
אנו נקים ונניח במקום להליך וטכנולוגיות כדי לשמור על אבטחת כל הנתונים האישיים מהנקודת הקביעה של כלי העיבוד ונקבלת נתונים, ועד נקודת ההשמדה. נתונים אישיים יועברו רק למעבד נתונים אם הוא מסכים לעמוד בליכודים והמדיניות האלה, או אם הוא מונה צעדים רלוונטיים בעצמו.
אנו נשמור על אבטחת הנתונים על ידי הגנת סודיות, שקיפות וזמינות של הנתונים האישיים, הוגדרים כמטה:
a. הסודיות משמעת כי רק אנשים שמורשים להשתמש בנתונים יכולים לגשת אליהם.
b. השלמות משמעת כי נתונים אישיים צריכים להיות מדוייקים וראויים למטרה לה נעבדים.
c. הזמינות משמעת כי משתמשים מורשים צריכים להיות מסוגלים לגשת לנתונים אם זה נחוץ להם למטרות מורשות. נתונים אישיים צריכים להיות מאוחסנים במערכת המחשב המרכזית של החברה שלנו במקום במחשבים אישיים.
להלן לוח הנחיות אבטחה:
a. בקרת כניסה. כל זר שרואה באזורים הנמצאים תחת שליטת כניסה צריך להידווח עליו.
b. שולחנות וארונות נעוצים ומאובטחים. שולחנות וארונות צריכים להישאר נעוצים כאשר הם מכילים מידע סודי של סוג כלשהו. (מידע אישי מוחשב תמיד כסודי.)
c. צמצום נתונים.
d. שיטות השלכה. מסמכי נייר צריכים להיות קטועים. התקנים לאחסון דיגיטלי צריכים להיות מושמדים פיזית כאשר אינם נדרשים יותר.
e. ציוד. צוות חייב לוודא כי המסכים האישיים אינם מציגים מידע סודי לעוברי אורח ושהם מתנתקים מהמחשב שלהם כאשר הוא נשאר לא משמש.
13. בקשות גישה לנושה הנתונות
אנשים חייבים להגיש בקשה רשמית לגבי המידע שאנו מחזיקים עליהם. עובדים שמקבלים בקשה צריכים להעביר את זאת לרכז ההגנה על המידע או לחבר צוות במשאבי אנוש מיד.
כאשר אנו מקבלים שאילתות טלפוניות, נחשוף מידע אישי שאנו מחזיקים במערכותינו רק במקרים הבאים:
a. נבדוק את זהות הקורא כדי לוודא שהמידע יינתן רק לאדם שזכאי לו.
b. נציע לקורא להעביר את בקשתו בכתב אם אנו לא בטוחים בזהות הקורא ובמקרים בהם אין אפשרות לבדיקת הזהות של הקורא.
במקרה של בקשה אלקטרונית, הנתונים יינתנו באופן אלקטרוני ככל האפשר.
עובדינו יפנו בקשה למנהל קו העבודה שלהם לעזרה במקרים קשים.
14. שינויים במדיניות זו
אנו שומרים לעצמנו את הזכות לשנות מדיניות זו בכל עת. לפי המקרה, נודיע על השינויים באמצעות באנר באתר האינטרנט.