Skill בדיקת ציות ל-Claude

אם מופיעים מקומות-שמורים לא מוכרים או שאתה צריך לבדוק אילו כלים מחוברים, ראה CONNECTORS.md.

בצע בדיקת ציות על פעולה מוצעת, תכונת מוצר, קמפיין שיווקי, או יוזמה עסקית.

הערה חשובה: כלי זה מסייע בתהליכי עבודה משפטיים אך אינו מהווה ייעוץ משפטי. הערכות ציות יש לבחון עם עורך דין מוסמך. דרישות רגולטוריות משתנות; אמת תמיד את הדרישות העדכניות מול מקורות מוסמכים.

שימוש

/compliance-check $ARGUMENTS

מה אני צריך ממך

תאר מה אתה מתכנן לעשות. דוגמאות:

• "אנחנו רוצים להשיק תוכנית הפניות עם תגמולים כספיים"
• "אנחנו מוסיפים אימות ביומטרי לאפליקציה הניידת שלנו"
• "אנחנו צריכים לעבד נתוני לקוחות אירופאיים בשרתים בישראל"
• "השיווק רוצה להשתמש בהמלצות לקוחות בפרסומות"

פלט

## בדיקת ציות: [יוזמה]

### תקציר
[הערכה מהירה: להמשיך / להמשיך עם תנאים / דורש בחינה נוספת]

### תקנות ומדיניות רלוונטיים
| תקנה/מדיניות | רלוונטיות | דרישות מרכזיות |
|---------------|-----------|----------------|
| [GDPR / חוק הגנת הפרטיות / חוק החוזים וכד'] | [כיצד חל] | [מה נדרש לעשות] |

### דרישות
| # | דרישה | סטטוס | פעולה נדרשת |
|---|--------|--------|-------------|
| 1 | [דרישה] | [עומד / לא עומד / לא ידוע] | [מה לעשות] |

### אזורי סיכון
| סיכון | חומרה | הפחתה |
|-------|--------|--------|
| [סיכון] | [גבוה/בינוני/נמוך] | [כיצד לטפל] |

### פעולות מומלצות
1. [הפעולה החשובה ביותר]
2. [עדיפות שנייה]
3. [עדיפות שלישית]

### אישורים נדרשים
| מאשר | סיבה | סטטוס |
|------|------|--------|
| [אדם/צוות] | [סיבה] | [ממתין] |

### סקירה נוספת מומלצת
[תחומים שבהם מומלצת בחינה על ידי יועץ משפטי חיצוני או מומחה]

סקירת תקנות הגנת הפרטיות

חוק הגנת הפרטיות הישראלי ותקנות אבטחת מידע

תחולה: חל על עיבוד מידע אישי אודות תושבי ישראל, כולל חובות הנוגעות לבעלי מאגרי מידע.

חובות מרכזיות:

• רישום מאגר מידע: מאגרי מידע מסוימים חייבים ברישום אצל הרשות להגנת הפרטיות
• אבטחת מידע: חובה לנקוט אמצעי אבטחה מתאימים לפי תקנות אבטחת מידע (תשע"ז-2017), בהתאם לרמת הסיכון ולרגישות המידע
• זכויות נושאי המידע: זכות עיון, זכות תיקון, וזכות מחיקה בנסיבות מסוימות
• הודעה על פרצת מידע: חובת הודעה לרשות ולנושאי המידע במקרה של אירוע אבטחת מידע חמור
• העברת מידע לחו"ל: הגבלות על העברת מידע אישי למדינות שאינן מספקות הגנה מספקת

נקודות ממשק נפוצות:

• סקירת הסכמי עיבוד מידע עם ספקים
• ייעוץ לצוותי מוצר בנושא Privacy by Design
• טיפול בבקשות עיון ממשתמשים
• ניהול מנגנוני העברת מידע חוצי-גבולות

GDPR (תקנת הגנת המידע הכללית של האיחוד האירופי)

תחולה: חל על עיבוד מידע אישי של תושבי האיחוד האירופי/אזור הכלכלי האירופי, ללא קשר למיקום הארגון המעבד.

חובות מרכזיות:

• בסיס חוקי לעיבוד: זיהוי ותיעוד של הבסיס החוקי לכל פעילות עיבוד (הסכמה, חוזה, אינטרס לגיטימי, חובה חוקית, אינטרס חיוני, משימה ציבורית)
• זכויות נושאי המידע: מענה לבקשות גישה, תיקון, מחיקה, ניידות, הגבלה והתנגדות תוך 30 יום
• הערכות השפעה על פרטיות (DPIA): נדרשות לעיבוד שעלול להוות סיכון גבוה לאנשים
• הודעה על פרצת מידע: הודע לרשות הפיקוח תוך 72 שעות מרגע שנודע על פרצת מידע אישי
• תיעוד פעילויות עיבוד: ניהול רשומות פעילויות עיבוד לפי סעיף 30
• העברות בין-לאומיות: הבטחת אמצעי הגנה מתאימים להעברה מחוץ לאזור האיחוד האירופי

חוקי הגנת מידע נוספים לניטור

רשימת בדיקה להסכמי עיבוד מידע (DPA)

בעת סקירת הסכם עיבוד מידע, ודא את הפריטים הבאים:

אלמנטים חובה (סעיף 28 GDPR)

• נושא ומשך: הגדרה ברורה של היקף וטווח העיבוד
• אופי ומטרה: תיאור ספציפי של מה שיעובד ולמה
• סוג המידע האישי: קטגוריות המידע האישי שיעובד
• קטגוריות נושאי המידע: של מי המידע שיעובד
• זכויות וחובות הבקר: הוראות הבקר וזכויות פיקוח

חובות המעבד

• עיבוד רק לפי הוראות: המעבד מתחייב לעבד רק לפי הוראות הבקר
• סודיות: אנשי הצוות המאושרים לעיבוד התחייבו לסודיות
• אמצעי אבטחה: אמצעים טכניים וארגוניים מתאימים מתוארים
• דרישות מעבד-משנה:
  • דרישת הסכמה בכתב (כללית או ספציפית)
  • אם הסכמה כללית — הודעה על שינויים עם אפשרות להתנגד
  • מעבדי-משנה כפופים לאותן חובות דרך הסכם בכתב
  • המעבד נשאר אחראי לביצועי מעבד-המשנה
• סיוע בזכויות נושאי המידע: המעבד יסייע לבקר בתגובה לבקשות
• סיוע באבטחה ופרצות: המעבד יסייע בחובות אבטחה והודעה על פרצות
• מחיקה או החזרה: עם סיום — מחיקה או החזרת כל המידע האישי
• זכויות ביקורת: לבקר יש זכות לערוך ביקורות
• הודעה על פרצות: המעבד יודיע לבקר על פרצות מידע ללא עיכוב מיותר

העברות בין-לאומיות

• מנגנון העברה מזוהה: SCCs, החלטת נאותות, BCRs, או מנגנון תקף אחר
• גרסת SCCs: שימוש ב-SCCs האירופאיות הנוכחיות (גרסת יוני 2021) אם רלוונטי
• מודול נכון: נבחר מודול ה-SCC המתאים
• הערכת השפעת העברה: בוצעה להעברות למדינות ללא החלטת נאותות
• אמצעים משלימים: אמצעים לטיפול בפערים שזוהו בהערכת ההשפעה

שיקולים מעשיים

• אחריות: הוראות אחריות ה-DPA עולות בקנה אחד עם הסכם השירותים הראשי
• יישור תנאים: תקופת ה-DPA מיושרת עם הסכם השירותים
• מיקומי עיבוד מידע: מיקומי העיבוד מצוינים ומקובלים
• תקני אבטחה: תקני אבטחה ספציפיים נדרשים (SOC 2, ISO 27001 וכד')
• ביטוח: כיסוי ביטוחי נאות לפעילויות עיבוד מידע

בעיות DPA נפוצות

טיפול בבקשות נושאי מידע

קבלת הבקשה

כאשר מתקבלת בקשה מנושא מידע:

1. זהה את סוג הבקשה:

   • גישה (עותק של המידע האישי)
   • תיקון (תיקון מידע שגוי)
   • מחיקה ("הזכות להישכח")
   • הגבלת עיבוד
   • ניידות מידע (פורמט מובנה וקריא למכונה)
   • התנגדות לעיבוד
   • ביטול הסכמה למכירה/שיתוף (CCPA/CPRA)

2. זהה את הדין החל:

   • היכן מתגורר נושא המידע?
   • אילו חוקים חלים בהתאם לנוכחות ולפעילות הארגון?
   • מהן הדרישות ולוחות הזמנים הספציפיים?

3. אמת זהות:

   • אשר שהמבקש הוא מי שהוא טוען להיות
   • השתמש באמצעי אימות סבירים בהתאם לרגישות המידע
   • אל תדרוש מסמכים מוגזמים

4. תעד את הבקשה:

   • תאריך קבלה
   • סוג הבקשה
   • זהות המבקש
   • הדין החל
   • מועד תגובה
   • הגורם המטפל

לוחות זמנים לתגובה

פטורים וחריגים

לפני מילוי הבקשה, בדוק האם חלים פטורים:

פטורים נפוצים:

• הגנה על זכות תביעה משפטית
• חובות חוקיות המחייבות שמירת מידע
• אינטרס ציבורי או סמכות רשמית
• חופש הביטוי ומידע (לבקשות מחיקה)
• ארכיב לצורך אינטרס ציבורי או מחקר מדעי/היסטורי

שיקולים ארגוניים ספציפיים:

• עצירת מידע (litigation hold): לא ניתן למחוק מידע הנתון לצו עצירה
• שמירה רגולטורית: רשומות פיננסיות, רשומות העסקה, וקטגוריות אחרות עשויות לכלול תקופות שמירה חובה
• זכויות צדדים שלישיים: מילוי הבקשה עלול לפגוע בזכויות אחרים

תהליך תגובה

1. אסוף את כל המידע האישי של המבקש ממערכות שונות
2. החל כל פטור ותעד את הבסיס לכך
3. הכן תגובה: מלא את הבקשה או הסבר מדוע (כולה או חלקה) אינה ניתנת למילוי
4. אם מסרבים (כולה או חלקה): ציין את הבסיס המשפטי הספציפי לסירוב
5. הודע למבקש על זכותו להגיש תלונה לרשות המפקחת
6. תעד את התגובה ושמור רשומות הבקשה והתגובה

בסיסי ניטור רגולטורי

מה לנטר

שמור מודעות לגבי התפתחויות ב:

• הנחיות רגולטוריות: הנחיות חדשות או מעודכנות מרשויות פיקוח (הרשות להגנת הפרטיות, ICO, FTC, רשויות מדינה וכד')
• פעולות אכיפה: קנסות, צווים, ופשרות המעידים על סדרי עדיפות רגולטוריים
• שינויי חקיקה: חוקי פרטיות חדשים, תיקונים לחוקים קיימים, תקנות מכוחם
• תקני תעשייה: עדכונים ל-ISO 27001, SOC 2, מסגרות NIST, ודרישות ספציפיות למגזר
• התפתחויות בהעברה חוצי-גבולות: החלטות נאותות, עדכוני SCCs, דרישות לוקליזציית מידע

גישת ניטור

1. הירשם לתקשורת רשויות רגולטוריות (ניוזלטרים, הודעות רשמיות)
2. עקוב אחר פרסומים משפטיים רלוונטיים לניתוח התפתחויות חדשות
3. בחן עדכוני איגודי תעשייה להנחיות ספציפיות למגזר
4. נהל לוח שנה רגולטורי של מועדים ידועים קרובים, תאריכי תחולה, ואבני דרך ציות
5. עדכן את הצוות המשפטי בהתפתחויות מהותיות המשפיעות על פעילויות העיבוד של הארגון

קריטריונים להסלמה

הסלם התפתחויות רגולטוריות ליועץ משפטי בכיר או להנהלה כאשר:

• תקנה חדשה או הנחיה משפיעה ישירות על פעילות הליבה של הארגון
• פעולת אכיפה במגזר הארגון מסמנת פיקוח רגולטורי מוגבר
• מועד ציות מתקרב הדורש שינויים ארגוניים
• מנגנון העברת מידע עליו הארגון מסתמך מאותגר או מבוטל
• רשות רגולטורית פותחת פנייה או חקירה המערבת את הארגון

טיפים

1. היה ספציפי — "אנחנו רוצים לשלוח מייל לכל המשתמשים שלנו" טוב יותר מ"קמפיין שיווקי".
2. כלול את המיקום הגיאוגרפי — דרישות ציות משתנות לפי תחום שיפוט.
3. ציין את המידע — איזה מידע אישי מעורב? זה מניע את רוב דרישות הציות.