GDPR תקנות הגנת הפרטיות באירופה
יורם ליכטנשטיין 4.01.2018
יורם ליכטנשטיין

רגולצית הגנת הפרטיות באירופה – GDPR.

מה זה בכלל GDPR?

רגולצית הגנת המידע האירופאית הכללית (ה-GDPR) מחייבת עסקים להתאים את עצמם.

האיחוד האירופי אינו שוקט על שמריו, ובניגוד להרבה שרק מקטרים על מידת החדירה של גופים שונים לפרטיות שלנו התקבלה כבר לפני זמן לא מבוטל רגולצית הגנת המידע האירופאית הכללית (ה-GDPR), אשר תכנס לתוקף ב-25.5.2018. הרגולציה למעשה מאפסת את הרגולציה האירופית בנושאי הגנת הפרטיות, ומחליפה חלק מהחקיקה הקיימת באירופה.

לא נוכל בפוסט אחד לכסות את כולה, אבל בחרתי לתת כאן "טעימה": שתסביר עד כמה מדובר בשינוי בחוקי אבטחת המידע והגנת הפרטיות, ולהמליץ בכל לשון של המלצה – לבדוק האם היא חלה עלי, ואם התשובה היא כן – מומלץ להתכונן מראש. הקנסות שנקבעו בה הם הרסניים, ויוטלו גם מחוץ לאירופה.

בבסיס הרגולציה להגנת הפרטיות באירופה עומדים שני עקרונות בסיסיים: הראשון – מתן שליטה נרחבת יותר לאנשים פרטיים על המידע שנאסף עליהם במקומות שונים והשני – חיזוק רכיבי אבטחת המידע אצל אוספי ומעבדי המידע (הן טכנולוגית והן ארגונית).

חשוב להבין שהרגולציה עשויה בהחלט לחול עליך גם אם איך לך עסק באירופה. במיוחד אם יש לך אפליקציה או אתר מקוון, ומשתמשים בהם משתמשים מאירופה. הבדיקה האם ה-GDPR חלה עליך היא בדיקה ספציפית אל העסק שלך, ולמעשה גם אפליקציות, רשתות חברתיות, אתרי אינטרנט ושירותים מקוונים שאינם ממוקמים באירופה – יש סיכוי לא רע שתחול עליהם, אפילו אם הם בעברית (אם כי כאן התחולה תהיה רלוונטית לפי מיקום המשתמשים).

ה-GDPR מטילה מספר חובות רבות על הכפופים לה וכאן אציג רק חלק מהן.

מטרת האיסוף והעיבוד של המידע לפי ה-GDPR והליכי קבלת ההסכמה

על המידע להאסף אך ורק באופן חוקי. "אופן חוקי" משמעו עמידה באחד הקריטריונים הקבועים ב-GDPR או לחילופין, קבלת הסכמת נשוא המידע העומדת בדרישות הרגולציה האירופית.

כדי לקבוע אם האיסוף הוא חוקי יש להבין את מטרת האיסוף ולהשוותה למידע עצמו שנאסף; יש לדוק האם השימוש במידע, העיבוד שלו ומשך הזמן בו הם נעשים מתאימים למטרה שהוצהרה.

יש גם לבדוק האם אנחנו מקיימים את נסיבות אחד מסוגי האיסוף ה"חוקיים" שקבועים בסעיף 6 ל-GDPR האירופית.

אחד מנסיבות החוקיות היא הסכמת נשוא המידע, וגם כאן – אין מדובר בסתם "אני מסכים" אלא יש דרישות מאוד קפדניות והליכי קבלת ההסכמה החדשים הינם הליכים מורכבים.

אוסף המידע מחוייב לפרט פרטים רבים וחשובים דוגמת זהותו ופרטי הקשר שלו, מטרות העיבוד, ההיתר החוקי לעיבוד, קטגוריות המידע הנאסף ומקורותיהם, מי הם מקבלי ומעבדי המידע, תקופת שמירת המידע, זכויות הפרט השונות הקבועות ברגולציה אף הן חייבות להיות מפורטות בחלקן וכן מספר הודעות נוספות המחוייבות על פי הרגולציה.

חשוב לזכור שההסכמה צריכה להיות נפרדת מכל רכיב אחר, ברורה, מובחנת, אקטיבית, מתייחסת לכל קטגורית פעולת עיבוד בנפרד, חד משמעית ומפורשת. צריך גם לזכור שישנם כללים ספציפיים להסכמה המתייחסת לילדים מחייבת משנה זהירות והליכים ספציפיים. "ילד" נחשב כל מי שהוא בין גיל 13 ל-16. מתחת לגיל 13 אסור עיבוד כלשהו, גם אם הושגה הסכמה.

רשימת זכויות הפרט וחובות אוסף המידע לפי רגולצית הגנת הפרטיות באירופה

ה-GDPR מפרטת רשימת זכויות נרחבת בהרבה מהמקובל והיא מצטרפת לרשימת החובות.

רשימת החובות כוללת למשל חובה ליצור Privacy and data protection by design and default, חובה לספק מידע מלא, שלם, שקוף ומפורט, חובה לתיעוד נכון ומלא וכמובן – חובה לבצע את כל הכרוך בזכויות שנקבעו.

למשל בעת קבלת ההסכמה לעיבוד חובה לספק את המידע הבא: מי אוסף את המידע ומה פרטי הקשר של נציגו, המטרות לשמן נמסר המידע, מי עשוי לקבל את המידע, מדינות אליהן המידע יועבר ומתבצע בהן עיבודו של המידע, תקופת אחסון המידע וכמובן זכויות הפרט הנלוות למידע והזכות להתלונן ברשות המפקחת הרלוונטית.,

רשימת הזכויות כוללת בין היתר את את הזכויות הבאות: הזכות לגישה למידע (בין אם באמצעות מערכת השולט בו ובין אם באמצעות מסמך נפרד), הזכות לתיקון המידע, הזכות למחיקת המידע ("הזכות להשכח"), הזכות להגבלת העיבוד, הזכות לניוד המידע למקום או ספק שירות אחר וכן הזכות להתנגד לקבלת החלטות אוטומטיות ופרופיילינג.

טיפול בפריצות המאגר – Data Breach

התקנות האירופיות קובעות מנגנונים שחייבים להיות מופעלים בעת פריצה למאגרים (Data Breach), זליגת מידע, חשיפתו, שינויו או פגיעה אחרת בהם. חובות אלו כוללות גם חובות טיפול אינטנסיבי ויעיל בפריצה וגם חובות דיווח לנשואי המידע ולרשות האירופית המתאימה.

החובה למנות קצין הגנת מידע – DPO

התקנות מחייבות ארגונים מסויימים למנות קצין הגנת מידע (DPO) ומעניקות "נקודות זכות" לכאלו שאינם מחוייבים בכך אך בחרו למנות כזה בכל מקרה ולפעול לפי התקנות.

הקנסות בשל אי עמידה בדרישות הרגולציה האירופית, ה-GDPR

חמור אולי מהכל, הינם הקנסות העצומים שה-GDPR באירופה מטילה על הכפופים לה (וכאמור – גם ארגונים ישראלים רבים יהיו כפופים לה). הקנסות חלים על כל מי שיהיה כפוף ה, גם אם אינו אירופאי.

קנסות אלו נעים בין 10,000,000 אירו או 2% מהמחזור השנתי העולמי של הארגון (הגבוה בין השניים) לבין קנסות כפולים בגובהם מאלו!

 

הפחדתי אותך? יופי.

עצרו, קחו נשימה וגשו לבדוק האם הרגולציה האירופית להגנת המידע, ה-GDPR, חלה גם עליכם.

Comments

comments

יורם ליכטנשטיין

לקבלת ייעוץ ראשונישלחו פרטים



ליצירת קשר ולייעוץ ראשוני –

03-6133333
This site was created with the help of Beetle (www.beetle.net.ua)