.jpg)
המחשב לא יחליט עלי! - חלק 22
פסוק 22 מצהיר כי אין לקבל החלטות על בסיס עיבוד אוטומטי בלבד (פרופילינג).
כך, למשל, אין לסרב להעניק אשראי לאדם או לא לקבלו לעבודה על סמך ניתוח ממוחשב של התנהגות העבר שלו.
דברי ההסבר מספקים מספר דוגמאות למידע שאין לבסס עליו החלטות באופן אוטומטי:
- ביצועים במקום העבודה
- מצב כלכלי
- מצב בריאותי
- מיקום האדם
המגבלות אינן חלות על עיבוד הנדרש בכדי לעמוד בחוזה בין נשוא המידע לשולט בו או עיבוד שנעשה בהסכמתו המלאה של נשוא המידע.
ככלל, אין לעשות שימוש בקטגוריות מיוחדות של מידע (בין היתר דעות פוליטיות, דת, מצב בריאותי, נטיה מינית) כבסיס לקבלת החלטות.
במידה שנעשה עיבוד אוטומטי לגיטימי יש לנקוט באמצעים מספקים על מנת להגן על שלמות ואמינות המידע כולל היכולת לבצע התערבות אנושית בהחלטה.
מסע מחוף לחוף בתקנות הגנת הפרטיות (אבטחת מידע)
היום נחזור לחופשת מולדת קצרה בה נדבר על התקנות המקומיות שלנו.
אז לפני שנהלך בשביל ישראל, בואו נעשה רגע סדר.
1) תקנות הגנת הפרטיות (אבטחת מידע) אינן המקבילה הישראלית ל gdpr. אלה תקנות המרחיבות את חוק הגנת הפרטיות משנת 1981 ומחליפות מהדורה קודמת של התקנות משנת 1986.
2) כפי שמעידות הסוגריים, תקנות אלה עוסקות באבטחת מידע ורק באבטחת מידע. רוצים את כל הסיפור? חיזרו לעתיד וקראו את החוק המלא.
3) תקנות אלה אינן מהדורה מצומצמת של gdpr. נהפוך הוא. ב gdpr שלושה פסוקים בלבד העוסקים באבטחת מידע והם כלליים מאוד. התקנות הישראליות הינן מפורטות ורחבות וניתן לראות בהם פירוט קונקרטי של הדרישות.
4) אם מתעקשים להשוות את התקנות למשהו, מוטב להתייחס לתקן אבטחת המידע 27001 ISO ולא לחוק האירופאי.
אנחנו נמשיך לדלג בין אירופה לארצנו הקטנטונת.
מי כאן שולטט? תפקידו של השולט במידע - חלק 24
אנו מדלגים בצעד קל לפסוק 24 תוך עקיפה של פסוקים הספציפיים למחוקקים האירופאים אך פחות מעניינים את ישראל ישראלי.
מי שעוקב אחר העלילה מתחילת הדרך, זוכר בוודאי כי בסיפורנו שלושה גיבורים:
- נושא המידע - האדם הטבעי שהמידע שלו שייך לו;
- השולט במידע - הארגון שבא במגע ישיר עם המידע, אוסף אותו ומשתמש בו;
- מעבד המידע - התומך בשולט אך לא אחראי על האיסוף והשימוש במידע באופן ישיר.
הפסוק היומי שלנו עוסק בחובות השולט במידע.
פסוק זה מציג אמירות כלליות הצורכות הכרה והבנה מעמיקה של שאר הסעיפים אך גם הבנה וניסיון בניתוח סיכונים וצמצומם.
הפסוק דורש מן השולט במידע:
1. לנקוט בבקרות טכנולוגיות ותהליכיות בהתאם לאופי המידע ורמת הסיכון כי זכויות האדם הטבעי יפגעו;
2. להיות מסוגלים להוכיח בכל עת כי הבקרות השונות הנדרשות ברגולציה מבוצעות בהתאמה לדרישות;
3. להגדיר מדיניות להגנה על המידע ולישמה בהתאמה לדרישות הרגולציה;
4. לפרסם ולדבוק בקוד התנהגות ארגונית - על כך נרחיב כשננתח את פסוק 40 (יש למה לחכות);
דברי ההסבר מספקים מספר דוגמאות לסיכונים: אפליה, נזק פיננסי, נזק תדמיתי, אובדן החשאיות או כל נזק כלכלי או חברתי משמעותי אחר.
עד כאן להיום. שימרו על הפרטיות.
שלכם,
גלעד
הערה: האמור אינו מהווה חוות דעת רשמית של הכותב או מעסיקו ואינו מחליף ייעוץ משפטי
המחשב לא יחליט עלי! - חלק 22
פסוק 22 מצהיר כי אין לקבל החלטות על בסיס עיבוד אוטומטי בלבד (פרופילינג).
כך, למשל, אין לסרב להעניק אשראי לאדם או לא לקבלו לעבודה על סמך ניתוח ממוחשב של התנהגות העבר שלו.
דברי ההסבר מספקים מספר דוגמאות למידע שאין לבסס עליו החלטות באופן אוטומטי:
- ביצועים במקום העבודה
- מצב כלכלי
- מצב בריאותי
- מיקום האדם
המגבלות אינן חלות על עיבוד הנדרש בכדי לעמוד בחוזה בין נשוא המידע לשולט בו או עיבוד שנעשה בהסכמתו המלאה של נשוא המידע.
ככלל, אין לעשות שימוש בקטגוריות מיוחדות של מידע (בין היתר דעות פוליטיות, דת, מצב בריאותי, נטיה מינית) כבסיס לקבלת החלטות.
במידה שנעשה עיבוד אוטומטי לגיטימי יש לנקוט באמצעים מספקים על מנת להגן על שלמות ואמינות המידע כולל היכולת לבצע התערבות אנושית בהחלטה.
מסע מחוף לחוף בתקנות הגנת הפרטיות (אבטחת מידע)
היום נחזור לחופשת מולדת קצרה בה נדבר על התקנות המקומיות שלנו.
אז לפני שנהלך בשביל ישראל, בואו נעשה רגע סדר.
1) תקנות הגנת הפרטיות (אבטחת מידע) אינן המקבילה הישראלית ל gdpr. אלה תקנות המרחיבות את חוק הגנת הפרטיות משנת 1981 ומחליפות מהדורה קודמת של התקנות משנת 1986.
2) כפי שמעידות הסוגריים, תקנות אלה עוסקות באבטחת מידע ורק באבטחת מידע. רוצים את כל הסיפור? חיזרו לעתיד וקראו את החוק המלא.
3) תקנות אלה אינן מהדורה מצומצמת של gdpr. נהפוך הוא. ב gdpr שלושה פסוקים בלבד העוסקים באבטחת מידע והם כלליים מאוד. התקנות הישראליות הינן מפורטות ורחבות וניתן לראות בהם פירוט קונקרטי של הדרישות.
4) אם מתעקשים להשוות את התקנות למשהו, מוטב להתייחס לתקן אבטחת המידע 27001 ISO ולא לחוק האירופאי.
אנחנו נמשיך לדלג בין אירופה לארצנו הקטנטונת.
מי כאן שולטט? תפקידו של השולט במידע - חלק 24
אנו מדלגים בצעד קל לפסוק 24 תוך עקיפה של פסוקים הספציפיים למחוקקים האירופאים אך פחות מעניינים את ישראל ישראלי.
מי שעוקב אחר העלילה מתחילת הדרך, זוכר בוודאי כי בסיפורנו שלושה גיבורים:
- נושא המידע - האדם הטבעי שהמידע שלו שייך לו;
- השולט במידע - הארגון שבא במגע ישיר עם המידע, אוסף אותו ומשתמש בו;
- מעבד המידע - התומך בשולט אך לא אחראי על האיסוף והשימוש במידע באופן ישיר.
הפסוק היומי שלנו עוסק בחובות השולט במידע.
פסוק זה מציג אמירות כלליות הצורכות הכרה והבנה מעמיקה של שאר הסעיפים אך גם הבנה וניסיון בניתוח סיכונים וצמצומם.
הפסוק דורש מן השולט במידע:
1. לנקוט בבקרות טכנולוגיות ותהליכיות בהתאם לאופי המידע ורמת הסיכון כי זכויות האדם הטבעי יפגעו;
2. להיות מסוגלים להוכיח בכל עת כי הבקרות השונות הנדרשות ברגולציה מבוצעות בהתאמה לדרישות;
3. להגדיר מדיניות להגנה על המידע ולישמה בהתאמה לדרישות הרגולציה;
4. לפרסם ולדבוק בקוד התנהגות ארגונית - על כך נרחיב כשננתח את פסוק 40 (יש למה לחכות);
דברי ההסבר מספקים מספר דוגמאות לסיכונים: אפליה, נזק פיננסי, נזק תדמיתי, אובדן החשאיות או כל נזק כלכלי או חברתי משמעותי אחר.
עד כאן להיום. שימרו על הפרטיות.
שלכם,
גלעד
הערה: האמור אינו מהווה חוות דעת רשמית של הכותב או מעסיקו ואינו מחליף ייעוץ משפטי
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
