דיווח על הפרות נתונים במסגרת GDPR

למד כיצד Microsoft מזהה ומגיבה להפרה של נתונים אישיים, ומודיעה לך במסגרת ה- GDPR.

תקנת GDPR קובעת דרישות דיווח עבור בקר‏י נתונים ומעבדי נתונים במקרה שבו מתרחשת הפרה של נתונים אישיים. המידע להלן מתאר את הדרישות הללו, את האופן שבו Microsoft מנסה למנוע הפרות מלכתחילה, את האופן שבו Microsoft מזהה הפרות, ואת האופן שבו Microsoft מגיבה במקרה של הפרה ומדווחת לך על כך כבקר נתונים.


תיעוד בנושא הפרות נתונים עבור השירותים המקוונים

חטיבת השירותים המקצועיים של Microsoft

כלי ניהול

ציין את איש הקשר לנושאי פרטיות בארגון שלך. מנהלי דיירים יכולים להשתמש בפורטל הניהול של Azure Active Directory כדי לציין את איש הקשר לנושאי פרטיות בארגון שלך, למקרה ש- Microsoft תצטרך ליצור איתו קשר.

שאלות נפוצות בנושא דיווח על הפרות נתונים

להלן כמה שאלות ותשובות חשובות בנושא הפרות נתונים:
|

נתונים אישיים כוללים מידע הקשור לאדם כלשהו אשר ניתן להשתמש בו כדי לזהות אדם זה באופן ישיר או עקיף. הפרה של נתונים אישיים היא "הפרת אבטחה הגורמת לפעולות בלתי מכוונות או בלתי חוקיות של השמדה, אובדן או שינוי של נתונים אישיים אשר משודרים, מאוחסנים או מעובדים באופן אחר, גילוי בלתי מורשה שלהם או גישה אליהם".

במקרה של הפרה של נתונים אישיים אשר עלולה לסכן באופן משמעותי את הזכויות והחירויות של אנשים (כגון אפליה, גניבת זהות, הונאה, הפסד פיננסי או נזק למוניטין), תקנת GDPR דורשת ממך לבצע את הפעולות הבאות:
  • לדווח לרשות המתאימה להגנה על נתונים (DPA) תוך 72 מהמועד שבו גילית את ההפרה – לדוגמה, לאחר שמתקבל דיווח מ- Microsoft. אם לא תדווח על כך ל- DPA במסגרת זמן זו, תצטרך לספק ל- DPA את הסיבה לכך. הדיווח ל- DPA נדרש גם אם הסיכון הטמון בהפרה עבור אנשים לא יהפוך לסיכון משמעותי.
  • לדווח לנושאי הנתונים על ההפרה ללא עיכובים מיותרים.
  • לתעד את ההפרה, לרבות תיאור של אופי ההפרה – כגון מספר האנשים שהושפעו, מספר רשומות הנתונים שהושפעו, ההשלכות של ההפרה וכן פעולות תיקון שהארגון שלך מציע או ביצע.

לאחר שאנו מגלים הפרה של נתונים אישיים, תקנת GDPR דורשת מאיתנו לדווח לך על כך ללא עיכובים מיותרים. במקרים שבהם Microsoft היא מעבד הנתונים, המחויבויות שלנו משקפות הן את הדרישות של GDPR והן את ההתחייבויות החוזיות הסטנדרטיות שלנו ברחבי העולם. מבחינתנו, כל ההפרות המאושרות של נתונים אישיים נמצאות בטווח שלנו; אין סף של סיכון לנזק. אנו מדווחים ללקוחותינו אם הפרת הנתונים התרחשה אצל Microsoft ישירות או אצל אחד ממעבדי המשנה שלנו. יצרנו תהליכים במטרה לזהות את אנשי הקשר לנושאי תקריות אבטחה בארגון שלך וליצור איתם קשר במהירות. בנוסף, כל מעבדי המשנה מחויבים בחוזה לדווח על ההפרות שלהם ל- Microsoft ולספק ערבויות לצורך כך.

כל השירותים והעובדים שלנו פועלים בהתאם להליכים פנימיים של ניהול תקריות, כדי לוודא שאנו נוקטים אמצעי זהירות מתאימים שימנעו הפרות נתונים מלכתחילה. בנוסף, השירותים המקוונים כוללים אמצעי אבטחה ספציפיים בכל הפלטפורמות שלנו, כדי לזהות הפרות נתונים שהתרחשו למרות הסיכוי הנמוך לכך.

כדי לתמוך בך במקרה של הפרה של נתונים אישיים, Microsoft:
  • מעסיקה מומחי אבטחה שקיבלו הדרכה לגבי ההליכים הספציפיים שיש לבצע.
  • קבעה מדיניות, הליכים ואמצעי בקרה כדי לוודא שהיא שומרת רשומות מפורטות. בכך נכללים תיעוד שמתאר את עובדות התקרית, ההשפעות שלה ופעולות התיקון וכן מעקב אחר מידע ואחסון מידע במערכות ניהול התקריות שלנו.

Microsoft קבעה מדיניות והליכים במטרה לדווח לך על כך באופן מיידי. כדי לאפשר לך לעמוד בדרישות הדיווח ל- DPA, נספק תיאור של התהליך שבו השתמשנו כדי לקבוע אם התרחשה הפרה של נתונים אישיים, תיאור של אופי ההפרה ותיאור של האמצעים שנקטנו כדי לנטרל את ההפרה.