השאלון נועד להעריך את עמידת הארגון בדרישות תיקון 13 לחוק הגנת הפרטיות בישראל, התיקון המחייב ביותר בתחום הגנת הפרטיות ואבטחת המידע בעידן הדיגיטלי. באמצעות מענה על השאלות, תוכלו לקבל תמונת מצב עדכנית על עמידתו של הארגון שלכם בדרישות הרגולציה, ולזהות תחומים הדורשים שיפור.
תוצאות השאלון מספקות תובנות מעשיות שיסייעו לארגון להימנע מסיכונים משפטיים וכספיים, לשפר את ההגנה על המידע האישי, ולחזק את אמון הלקוחות והשותפים העסקיים.
(השאלון אינו מהווה ייעוץ משפטי ואינו מחליף את הדרישות הקבועות בחוק).
האם הארגון שלך עומד בחוקי הגנת הפרטיות?
השאלון הוא בסגנון מבחן אמריקאי, כולל שלוש אפשרויות תשובה לכל שאלה ומפתח לחישוב הציון.
1. האם הארגון מינה ממונה על הגנת המידע (DPO)?
א. כן, הממונה עבר את ההכשרות הנדרשות ומשתתף בהכשרות נוספות.
ב. לא, אך הארגון מתכנן למנות ממונה בקרוב.
ג. לא, ואין תוכנית למנות ממונה.
2. האם קיימת מדיניות פרטיות כתובה ועדכנית בארגון?
א. כן, מדיניות פרטיות כתובה, מעודכנת ומפורסמת לכלל העובדים.
ב. יש מדיניות פרטיות, אך היא לא עודכנה לאחרונה.
ג. אין מדיניות פרטיות כתובה בארגון.
3. האם הארגון מבצע הערכות סיכונים תקופתיות בתחום הגנת הפרטיות ואבטחת המידע?
א. כן, הארגון מבצע הערכות סיכונים תקופתיות ונוקט בפעולות למזעור הסיכונים.
ב. הארגון מבצע הערכות סיכונים רק לאחר אירועים משמעותיים.
ג. לא, הארגון לא מבצע הערכות סיכונים בתחום זה.
4. האם הארגון משתמש באמצעים טכנולוגיים להגנת מידע אישי?
א. כן, הארגון משתמש באמצעי אבטחה מתקדמים ונבחנים באופן שוטף.
ב. ישנם אמצעי אבטחה, אך הם לא מתעדכנים באופן סדיר.
ג. הארגון לא משתמש באמצעי אבטחה מיוחדים.
5. האם הארגון מספק שקיפות מלאה ללקוחותיו לגבי עיבוד המידע האישי שלהם?
א. כן, המידע נגיש ללקוחות באופן שקוף וברור.
ב. הארגון מספק חלק מהמידע, אך לא את כולו.
ג. המידע אינו נגיש ללקוחות בצורה שקופה.
6. האם הארגון נוקט בתהליכים למזעור המידע הנאסף והמעובד?
א. כן, נאסף רק המידע ההכרחי למטרות מסוימות, ותהליכים אלו מתעדכנים.
ב. הארגון ממעיט במידע הנאסף, אך אין תהליכים רשמיים לכך.
ג. הארגון אינו מבצע פעולות למזעור המידע הנאסף.
7. האם קיימים נהלים לדיווח על אירועי פריצת מידע בארגון?
א. כן, נהלים ברורים קיימים ומיושמים במקרה של פריצת מידע.
ב. ישנם נהלים, אך הם לא מופעלים בכל מקרה.
ג. אין נהלים לדיווח על פריצות מידע.
8. האם הארגון מבצע הדרכות לעובדים בתחום הגנת הפרטיות?
א. כן, הדרכות תקופתיות מתקיימות ומעודכנות.
ב. הדרכות מתקיימות לעיתים רחוקות.
ג. אין הדרכות לעובדים בתחום זה.
9. האם הארגון מפקח על ספקי צד שלישי המקבלים גישה לנתונים אישיים?
א. כן, קיימים תהליכים לפיקוח על ספקים והתניית עבודה בהסכמים מתאימים.
ב. יש פיקוח חלקי על ספקים, אך אין תהליכים מסודרים.
ג. אין פיקוח על ספקי צד שלישי.
10. האם הארגון עומד בדרישות החוק בנוגע להעברת מידע אישי מחוץ לגבולות ישראל?
א. כן, המידע מועבר בהתאם לדרישות החוק, לאחר בדיקות מקדימות.
ב. העברת מידע מתקיימת, אך אין תהליך ברור לבדיקת החוקיות.
ג. הארגון מעביר מידע ללא בדיקה מעמיקה.
תשובה א' לכל שאלה = 3 נקודות
תשובה ג' לכל שאלה = 1 נקודה
תשובה ב' לכל שאלה = 2 נקודות
סך הנקודות האפשרי = 30 נקודות
שים לב, השאלון הזה הוא כלי פשוט ואינו מכסה את כל הדרישות האפשריות של עמידה בחוקי הגנת הנתונים והפרטיות. עליך להמשיך לסקור ולעדכן את הנהלים שלכם בהתאם לחוקים ולתקנות המשתנים.
- 25-30 נקודות: הארגון עומד בדרישות תיקון מס' 13 לחוק הגנת הפרטיות בצורה מצוינת. יש להמשיך בעדכונים שוטפים ולשמור על רמה גבוהה של עמידה בחוק.
- 18-24 נקודות: הארגון נמצא ברמת עמידה טובה, אך ישנם תחומים מסוימים בהם נדרשת תשומת לב ושיפור. מומלץ לבדוק את התהליכים הקיימים ולעדכן אותם בהתאם לדרישות החוק.
- 10-17 נקודות: הארגון צריך לשפר בצורה משמעותית את עמידתו בדרישות החוק. יש לעבור על כל השאלות ולבצע התאמות והתארגנויות נחוצות כדי להימנע מסיכונים משפטיים וכספיים.
על בסיס הציון שהתקבל, הנה כמה המלצות לשיפור:
אם הציון נמוך מ-18 נקודות: יש לבצע סקירה מקיפה של כלל הפעולות והנהלים הקיימים בארגון בנושא הגנת הפרטיות, ולבנות תוכנית פעולה מפורטת לשיפור העמידה בדרישות תיקון מס' 13.
אם הציון בין 18-24 נקודות: מומלץ לבצע בדיקות תקופתיות נוספות, לעדכן את הנהלים וההדרכות, ולוודא שכל המערכות הטכנולוגיות מעודכנות להגנה על המידע.
אם הציון גבוה מ-25 נקודות: יש להמשיך לשמר את הרמה הגבוהה, לעדכן את המערכות באופן קבוע ולהבטיח שכלל העובדים והספקים מודעים ומחויבים לנהלים.
השאלון מהווה כלי פנימי לבחינת עמידת הארגון בדרישות החוק, ומטרתו לעזור למנהלים להבין את רמת העמידה הנוכחית ולהצביע על תחומים בהם נדרש שיפור, אך אינו מהווה ייעוץ משפטי ואינו מחליף את הדרישות הקבועות בחוק.