GDPR תקנות הגנת הפרטיות באירופה

רגולצית הגנת הפרטיות באירופה – GDPR

יורם ליכטנשטיין עורך דין 04.01.2018 עודכן ב-16.08.2023

מה זה בכלל GDPR?

רגולצית הגנת המידע האירופאית הכללית (ה-GDPR) מחייבת עסקים להתאים את עצמם ולהתמודד עם פרטיותם של אנשים מבלי לפגוע בה ובהם. במאמר הזה אסביר לכם מה היא רגולצית הגנת הפרטיות האירופית, ה-GDPR, וכיצד עליכם להתכונן לקראתה. (מאמר זה נכתב טרם כניסתה לתוקף ואינו מתעדכן. עם זאת, העקרונות המפורטים בו מדוייקים. אנא התייעצו עם עורך דין בכל מקרה של תקלה ואל תסמכו עליו למעט הרחבת השכלתכם).

האיחוד האירופי אינו שוקט על שמריו, ובניגוד להרבה שרק מקטרים על מידת החדירה של גופים שונים לפרטיות שלנו התקבלה כבר לפני זמן לא מבוטל רגולצית הגנת המידע האירופאית הכללית (ה-GDPR), אשר תכנס לתוקף ב-25.5.2018. הרגולציה למעשה מאפסת את הרגולציה האירופית בנושאי הגנת הפרטיות, ומחליפה חלק מהחקיקה הקיימת באירופה.

לא נוכל בפוסט אחד לכסות את כולה, אבל בחרתי לתת כאן "טעימה": שתסביר עד כמה מדובר בשינוי בחוקי אבטחת המידע והגנת הפרטיות, ולהמליץ בכל לשון של המלצה – עליכם לבדוק האם היא חלה עליכם. אם התשובה היא כן – מומלץ להתכונן מראש. הקנסות שנקבעו בה הם הרסניים, ויוטלו גם מחוץ לאירופה.

בבסיס הרגולציה להגנת הפרטיות באירופה עומדים שני עקרונות בסיסיים: הראשון – מתן שליטה נרחבת יותר לאנשים פרטיים על המידע שנאסף עליהם במקומות שונים והשני – חיזוק רכיבי אבטחת המידע אצל אוספי ומעבדי המידע (הן טכנולוגית והן ארגונית).

חשוב להבין שהרגולציה עשויה בהחלט לחול עליך גם אם איך לך עסק באירופה. במיוחד אם יש לך אפליקציה או אתר מקוון, ומשתמשים בהם משתמשים מאירופה. הבדיקה האם ה-GDPR חלה עליך היא בדיקה ספציפית אל העסק שלך, ולמעשה גם אפליקציות, רשתות חברתיות, אתרי אינטרנט ושירותים מקוונים שאינם ממוקמים באירופה – יש סיכוי לא רע שתחול עליהם, אפילו אם הם בעברית (אם כי כאן התחולה תהיה רלוונטית לפי מיקום המשתמשים).

ה-GDPR מטילה מספר חובות רבות על הכפופים לה וכאן אציג רק חלק מהן.

מטרת האיסוף והעיבוד של המידע לפי ה-GDPR והליכי קבלת ההסכמה

על המידע להאסף אך ורק באופן חוקי. "אופן חוקי" משמעו עמידה באחד הקריטריונים הקבועים ב-GDPR או לחילופין, קבלת הסכמת נשוא המידע העומדת בדרישות הרגולציה האירופית.

כדי לקבוע אם האיסוף הוא חוקי יש להבין את מטרת האיסוף ולהשוותה למידע עצמו שנאסף; יש לדוק האם השימוש במידע, העיבוד שלו ומשך הזמן בו הם נעשים מתאימים למטרה שהוצהרה.

יש גם לבדוק האם אנחנו מקיימים את נסיבות אחד מסוגי האיסוף ה"חוקיים" שקבועים בסעיף 6 ל-GDPR האירופית.

אחד מנסיבות החוקיות היא הסכמת נשוא המידע, וגם כאן – אין מדובר בסתם "אני מסכים" אלא יש דרישות מאוד קפדניות והליכי קבלת ההסכמה החדשים הינם הליכים מורכבים.

אוסף המידע מחוייב לפרט פרטים רבים וחשובים דוגמת זהותו ופרטי הקשר שלו, מטרות העיבוד, ההיתר החוקי לעיבוד, קטגוריות המידע הנאסף ומקורותיהם, מי הם מקבלי ומעבדי המידע, תקופת שמירת המידע, זכויות הפרט השונות הקבועות ברגולציה אף הן חייבות להיות מפורטות בחלקן וכן מספר הודעות נוספות המחוייבות על פי הרגולציה.

חשוב לזכור שההסכמה צריכה להיות נפרדת מכל רכיב אחר, ברורה, מובחנת, אקטיבית, מתייחסת לכל קטגורית פעולת עיבוד בנפרד, חד משמעית ומפורשת. צריך גם לזכור שישנם כללים ספציפיים להסכמה המתייחסת לילדים מחייבת משנה זהירות והליכים ספציפיים. "ילד" נחשב כל מי שהוא בין גיל 13 ל-16. מתחת לגיל 13 אסור עיבוד כלשהו, גם אם הושגה הסכמה.

רשימת זכויות הפרט וחובות אוסף המידע לפי רגולצית הגנת הפרטיות באירופה

ה-GDPR מפרטת רשימת זכויות נרחבת בהרבה מהמקובל והיא מצטרפת לרשימת החובות.

רשימת החובות כוללת למשל חובה ליצור Privacy and data protection by design and default, חובה לספק מידע מלא, שלם, שקוף ומפורט, חובה לתיעוד נכון ומלא וכמובן – חובה לבצע את כל הכרוך בזכויות שנקבעו.

למשל בעת קבלת ההסכמה לעיבוד חובה לספק את המידע הבא: מי אוסף את המידע ומה פרטי הקשר של נציגו, המטרות לשמן נמסר המידע, מי עשוי לקבל את המידע, מדינות אליהן המידע יועבר ומתבצע בהן עיבודו של המידע, תקופת אחסון המידע וכמובן זכויות הפרט הנלוות למידע והזכות להתלונן ברשות המפקחת הרלוונטית.,

רשימת הזכויות כוללת בין היתר את את הזכויות הבאות: הזכות לגישה למידע (בין אם באמצעות מערכת השולט בו ובין אם באמצעות מסמך נפרד), הזכות לתיקון המידע, הזכות למחיקת המידע ("הזכות להשכח"), הזכות להגבלת העיבוד, הזכות לניוד המידע למקום או ספק שירות אחר וכן הזכות להתנגד לקבלת החלטות אוטומטיות ופרופיילינג.

טיפול בפרצות בהגנה על המידע – Data Breach

התקנות האירופיות קובעות מנגנונים שחייבים להיות מופעלים בעת פריצה למאגרים (Data Breach), זליגת מידע, חשיפתו, שינויו או פגיעה אחרת בהם. חובות אלו כוללות גם חובות טיפול אינטנסיבי ויעיל בפריצה וגם חובות דיווח לנשואי המידע ולרשות האירופית המתאימה.

החובה למנות קצין הגנת מידע – DPO

התקנות מחייבות ארגונים מסויימים למנות קצין הגנת מידע (DPO) ומעניקות "נקודות זכות" לכאלו שאינם מחוייבים בכך אך בחרו למנות כזה בכל מקרה ולפעול לפי התקנות.

הקנסות בשל אי עמידה בדרישות הרגולציה האירופית, ה-GDPR

חמור אולי מהכל, הינם הקנסות העצומים שה-GDPR באירופה מטילה על הכפופים לה (וכאמור – גם ארגונים ישראלים רבים יהיו כפופים לה). הקנסות חלים על כל מי שיהיה כפוף ה, גם אם אינו אירופאי.

קנסות אלו נעים בין 10,000,000 אירו או 2% מהמחזור השנתי העולמי של הארגון (הגבוה בין השניים) לבין קנסות כפולים בגובהם מאלו!

 

הפחדתי אתכם? יופי.

עצרו, קחו נשימה וגשו לבדוק האם הרגולציה האירופית להגנת המידע, ה-GDPR, חלה גם עליכם.

 

המאמר נכתב ונבדק (טרם כניסת הרגולציה לתוקף והוא אינו מתעדכן) ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-26.12.2022.

חשוב: שימו לב!
טקסט זה נכתב בינואר 2018 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.