רגולציית הגנת הפרטיות לעסקים באירופה. GDPR
יורם ליכטנשטיין
יורם ליכטנשטיין

הגנת הפרטיות GDPR

אירופה עוברת רעידת אדמה ביחס לרגולציית הגנת הפרטית. מה זה GDPR והאם היא חלה עליכם? (התשובה היא כנראה "כן").

European Data Protection Laws
CIPP-E certified.

עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע ופרטיות באירופה CIPP/E מטעם ארגון IAPP (*) ומבצע הליכי GDPR Compliance בארגונים שונים.

תוכלו למצוא מאמרים נוספים בנושא הגנת המידע באירופה למטה.

 

 

צריכים לבדוק האם העסק שלכם צריך להגן על עצמו?

אנחנו נוכל לעזור לכם בכל הקשור להערכות ל-GDPR. צרו איתי קשר בטלפון 03-6133333 או בטופס יצירת קשר.

ראו גם את הכלים אונליין שרשות הגנת הפרטיות האנגלית מעמידה לרשותכם (ה-ICO, כן כן…) ובאמצעותה תוכלו לבדוק האם העסק שלכם ערוך ומוכן לרגולציה. אנא בידקו את עצמכם.

לפני שנצלול לעומק הנושא, אתם מוזמנים לעיין במדריך ה"מקוצר" – "התאם את העסק שלך ל-GDPR ב-16 צעדים" – GDPR_16steps (הקישור באנגלית הוא ה-PDF). שימו לב שמדריך זה הינו הסבר והנחייה כללית בעוד שהיישום שלו בעסק שלכם יצריך העזרות באיש מקצוע מומחה.

 

אז מה זה GDPR?

ה-General Data Protection Regulation היא רגולציית הגנת הפרטיות האירופית מ-27.4.2016 שנכנסה לתוקף במאי 2018 והטקסט שלה (לרבות כל סעיפי ההקדמה החשובים, ה-recitals) זמין לקריאה כאן https://gdpr-info.eu/..

הרגולציה האירופית מסדירה כיצד על גופים שונים לפעול ביחס לנושאי פרטיות ואבטחת מידע שמתייחס לאנשים ואשר נשמר בידי אותם עסקים. שימו לב – הנחיות דומות, אם כי שונות במידת מה, קיימות גם בישראל כך שבכל מקרה כדאי שתתאימו את עצמכם.

הרגולציה חלה ומחייבת גם ובמיוחד ארגונים מסחריים (החל מסטארט-אפים הפועלים במחסן ביתנו וכלה בבנקים, חברות ביטוח וכדומה, כולל מי שיש לו אפליקציה דיגיטלית כלשהי וכן אחרים שמעוניינים לקבל תשלומים מאזרחים אירופיים).

לכן ההמלצה הבסיסית הינה – בידקו האם יש בין העסק שלכם לבין אירופה קשר כלשהו, ואם כן, האם ה-GDPR חלה עליכם?

תקנות GDPR מחייבות כמעט כל גוף שעוסק בנתונים המתייחסים לאירופים (או לזרים הנמצאים באירופה) או שיש לו קשר משמעותי אחר לאיחוד האירופי, להתאים את כל התנהלותו מול המידע הפרטי לדרישות ה-GDPR.

 

על מי תחול ה-GDPR?

הרגולציה תחול על שני סוגי עסקים.

האחד: כל עסק שיש לו נוכחות של קבע (Establishment) במידה כזו או אחרת באחת ממדינות האיחוד האירופי (EU).

השני: כל עסק שמעבד מידע שמתייחס למי שנמצא באחת ממדינות האיחוד האירופי, מכוון אליו מכירות או מנטר את פעילותו.

לדוגמא, אפליקציות ואתרי אינטרנט כמעט תמיד עוקבים כיצד המשתמשים עושים שימוש באתר או באפליקציה. די בכך, ובכך שחלק מהמשתמשים יהיו אירופיים, כדי ליצור מצב לפיו סביר להניח שהאתר או האפליקציה יהיו כפופים ל-GDPR ויצטרכו להתחיל בהליך של התאמה (Compliance).

כך גם אם תרצו לקבל תשלום באמצעות כרטיסי אשראי אירופים ולשמור את המידע, תגלו שסולקי הכרטיסים יסרבו לעבוד עימכם, אם לא עמדתם ברגולציה ושרשויות הגנת הפרטיות באירופה עלולות לקבוע כי אתם מחוייבים לעמוד בדרישות הרגולציה באירופה.

אלא שלא רק חברות טכנולוגיות יילכדו ברשת הרגולציה. גם בנקים, חברות ביטוח, חברות אשראי, מרפאות ושירותי מרפא שונים, עיתונים מקוונים ושאינם מקוונים, חברות המעניקות טיפולים רפואיים ואחרים ועסקים רבים אחרים עלולים אף הם להלכד ברשת ה-GDPR.

 

עקרון היסוד של ה-GDPR, רגולציית הגנת הפרטיות האירופית:

הרגולציה תוקפה כתוקפו של חוק בכל אחת ממדינות אירופה. היא חלה באופן ישיר ומחייב על כל גוף מסחרי שנמצא או פועל בקשר עם המדינות החברות באיחוד.

סעיף 2 לרגולציה מצהיר, כי:

"עקרון ההגנה על אנשים פרטיים בקשר לעיבוד מידע אישי שלהם, תהא אזרחותם ותושבותם אשר תהא, חייב לכבד את הזכויות והחירויות הבסיסיות שלהם, ובעיקר את זכותם והחירות הבסיסית להגנה על מידע אישי. רגולציה זו נועדה לתרום להשגת חופש, בטחון וצדק, ולהביא לכדי איחוד כלכלי, תוך התקדמות כלכלית וחברתית, חיזוק וליכוד הכלכלות בתוך השוק הפנימי ולדאוג לשלמותם (well being) של אנשים פרטיים."

לאור זאת, הרי שעמידה ברגולציה מצריכה שינוי מחשבתי דרמטי, שכמעט ואינו נמצא כיום בעסקים ישראלים שלא התארגנו לכך מראש.

בקצרה, ה-GDPR מטילה על העסקים חובה לאמץ שינויים מרחיקי לכת במוצרים ובתהליכים שמתקיימים בכל חברה ומיזם שיש להם נגיעה כזו או אחרת למידע על אזרחים באיחוד האירופי (לקוחות, עובדים, ספקים וכדומה).

האיחוד האירופי עדכן באמצעות הרגולציה את דרישות הגנת הפרטיות שלו ויצר כללים רגולטורים מפורטים, מורכבים ובעלי הגנה משמעותית על זכויות הפרט במידע שמתייחס אליו.

עסק שמאחסן אצלו נתונים אודות תושב אירופי או שלעסק יש רכיב הנמצא באירופה (ואולי אפילו השרתים שלו או של שירות הענן ממנו הוא נהנה), יהיה כפוף לרגולצית הפרטיות באירופה, ויהיה זה אך מומלץ להתאים את אופן התנהלותו טרם ייקנס על ידי הרשויות האירופיות או שיוגשו כנגדו תביעות.

 

אילו סוגי מידע נכללים בתקנות ה-GDPR?

למידע יש רכיבים אפשריים רבים מספור. אבל, לדוגמא בלבד, מידע שיחשב כפוף לרגולציה האירופית כולל למשל: מידע אודות מיקום, מידע אודות מאפייני מכשירים, כתובת IP, מעקב אחר התנהלות ברשת, מידע המשותף ברשתות חברתיות, היסטורית גלישה או רכישות וכדומה – כל אלו מוגנים על פי הרגולציה.

 

אילו חובות מטילות התקנות האירופיות?

התקנות חלות הן על מי שאוסף מידע והן על מי שמעבד אותו מטעמו, ומטילות עליו חובות רבות (88 עמודי טקסט זה די הרבה, לא?)

בין יתר החובות נמצא את החובות הנובעות מהעקרונות הבאים:

  • Data Protection By Design + By Default: כל מוצר או שירות חייב להיות מתוכנן מראש באופן שנותן משמעות לשאלות הפרטיות והגנת המידע. חשוב שכל מחלקות הלקוח (דוגמת מחלקת מחקר, שיווק, תמיכה טכנית, כח אדם וכדומה) יפעלו בהתאם לאותו עקרון. הרגולציה מחייבת לקבוע מגוון של אמצעי אבטחה: טכנולוגיים (כמו הצפנה ופסודונימיזציה), משפטיים (הסדרת כל ההסכמים עם כל מי שנחשף למידע או מבצע בו פעולה כלשהי) וארגוניים (כמו כללי התנהלות תאגידית, התאמה לקודי התנהגות מאושרים וכדומה). משמעות הכלל הזה, הינה שכל חובות השולט במידע וזכויות הפרט, חייבות להיות משולבות בתהליכים הארגוניים הפנימיים ובמוצר עצמו – מראש. גם מערכות המוצר (או השירות) צריכות להיות מובנות כך שברירת המחדל שלהן תהיה הגנה על הפרטיות וצמצום מידע, וכל חריגה תהיה חייבת בהסכמה ספציפית.
  • החובה לקבל הסכמת נשוא המידע המוגדרת כאינדיקציה על רצון נשוא המידע (indication) שניתנה באופן חופשי (freely given), ספציפית (specific), מיודעת (informed) וחד משמעית (unambiguous). במסגרת אינדיקציה זו, על האדם לאשר (באמצעות הצהרה או פעולה מאשרת ברורה) את הסכמתו לתהליך עיבוד המידע האישי המתייחס אליו. הן פרטי נותן השירות (named) והן פרטי כל רכיבי העיבוד והשימוש (granular) חייבים להיות כלולים במפורש בהסכמה, יחד עם כל פרטי קבוצות מקבלי המידע או הנחשפים אליו וכן מטרות (purposes) איסוף המידע והשימוש בו. על ההסכמה להיות נפרדת מכל אישור אחר ומתנאי השימוש, ולהיות חלק מתהליך הצטרפות אקטיבי. על מבקש ההסכמה להיות יכול להוכיח בדיעבד את ההסכמה ולשונה הספציפית בכל עת רלוונטית (documented and verifiable). ואם כל אלו אינם מספיקים, על ההסכמה להיות קלה לביטול (easy to withdraw), מנוסחת בלשון קריאה, מובנת ונגישה. הגבלות נוספות חלות כאשר המידע מתייחס לקטינים מתחת לגיל 16 או 13.
  • החובה לנהל הערכות סיכונים למידע ולדליפות מידע, ולעשות שימוש באמצעי הגנה טכנולוגיים, משפטיים וארגוניים לשם צמצום הסיכונים.
  • החובה לדווח לרשויות האירופיות המפקחות (ולעיתים גם לפרטים השונים) על דליפות מידע מסויימות, בדרך כלל במגבלת זמן של 72 שעות.
  • החובה למנות קצין אבטחת מידע (DPO) בהתקיים תנאים מסויימים של גודל חברה או סוגי מידע מעובדים או לכל הפחות נציג באירופה שיוסמך בהתאם לתקנות ופרטיו ימסרו בצורה בולטת וקלה.
  • איסור עיבודי מידע (רגיש) מסוגים מסויימים, דוגמת העדפות מיניות, אמונות דתיות, אתניות וכדומה.

 

זכויות הפרט:

הרגולציה מפרטת ומרחיבה את זכויות הפרטים לשליטה במידע המתייחס אליהם המצוי בידי אחרים. חלקן של זכויות אלו קיים כבר היום הזכויות שנקבעו ברגולציה כוללות את הזכויות הבאות:

  1. הזכות להיות מיודע: וצידו השני של המטבע – חובת העסק לפרט האם נאסף אצלו מידע כלשהו ביחס לאדם או לא, ואם כן –  לספק מידע שלם, מלא, ברור, חד משמעי, הוגן, שקוף וניתן להבנה ביחס למידע שנאסף אצלו או שהוא נחשף אליו (גם אם אינו נאסף).
  2. זכות הגישה למידע: זכותו של הפרט לקבל לידיו עותק מהמידע המתייחס אליו, מהר וללא תשלום, באופן קריא ונגיש.
  3. הזכות להעברת המידע לאחרים: שהיא המשכה של זכות הגישה למידע. הפרט זכאי לדרוש, והעסק חייב לאפשר, את קבלת המידע בפני הפרט ואפילו את העברתו במישרין לספק שירות אחר באופן שיאפשר מעבר קל בין פלטפורמות. את המידע יש לספק בצורה יעילה, נגישה, מלאה וניתנת לקריאת מכונה.
  4. הזכות לתיקון המידע: כשהוא לא עדכני או שגוי. כשמתבקש תיקון כאמור, יש לוודא שהוא תוקן גם אצל כל צד שלישי שהעסק מסר בידיו את המידע.
  5. הזכות למחיקת המידע ("הזכות להשכח"): כאשר הוא אינו רלוונטי עוד, כאשר הוא עומד שלא בהתאם למטרת האיסוף או כאשר הגדרות הפרטיות וההסכמה של הפרט שונו. גם כאן, כשמתבקשת מחיקה כאמור, יש לוודא שהוא נמחק גם אצל כל צד שלישי שהעסק מסר בידיו את המידע.
  6. הזכות להגבלת עיבוד המידע: חלה במיוחד כאשר קיים ויכוח בין הצדדים על אופן עיבוד המידע.
  7. הזכות להתנגד לעיבודים מסוגים שונים המפורטים ברגולציה.
  8. זכויות שונות ביחס לקבלת החלטות אוטומטיות ו"פרופיילינג" בידי אלגוריתם שאינו אנושי.

 

מה אם אני לא עומד בדרישות החוק האירופאי ולא ביצעתי GDPR compliance?

כאן כבר ה"עסק" מתחיל לכאוב.

החוק קובע קנסות על הפרות מסויימות שעשויים להגיע כדי 10 או 20 מליון יורו, או 2%-4% מהמחזור השנתי העולמי של העסק, הגבוה מבין השניים.

נוסף על פעולות אכיפה וקנסות, ה-GDPR אף מאפשרת מקום לתביעות, שיכולות אולי להופיע גם כתביעות ייצוגיות או נגד מנהלים שהתרשלו באופן אישי.

 

אז מה? אנחנו לא אירופה … לא יקרה כאן כלום

רבים מלקוחותי אומרים לי בשכנוע עצמי – "אז מה. אנחנו לא באירופה. לא יקרה כאן כלום"!

אלא שכבר ראינו שתחולת GDPR ישראל היא תחולה רחבה מהצפוי ונופתע לגלות שהתקנות ישפיעו על עסקים רבים (אונליין ושאינם אונליין).

האירופאים, נערכים לאכיפת הרגולציה גם מחוץ לגבולות אירופה ואף פרסמו את ה-EDPB Guidelines 3/2018 on the territorial scope of the GDPR שיהיו הבסיס לאכיפת הרגולציה גם על חברות מחוץ לאירופה. כפי שנראה כרגע, מדובר בעניין של זמן, ועדיף שלא נופתע לרעה בגלל גובה הסיכון…

מעבר לכך, הרי נציגי הרשות המפקחת הישראלית (הרשות להגנת הפרטיות, לשעבר רמו"ט) כבר הבהירו כי ישראל אמנם אינה כפופה במישרין לרגולצית ה-GDPR, אולם היא השיגה (במאמץ רב) מעמד של Adequacy שהרשות תפעל כמיטב יכולתה שלא לאבד אותו ולכן, די בחקיקה ובפסיקה הקיימות, שייאכפו, כדי להטיל על חברות ישראליות חובות דומות לאלו שמפורטות ברגולציה.

 

המלצה – התאימו את העסק שלכם ל-GDPR

היו compliant!

המצב המשפטי בישראל, הרחבת הרגולציה האירופית והסיכונים הכרוכים בכך, מלמדים אותנו שחשוב שנתאים את העסק שלנו לכך.

לכן, אנא קיראו היטב את המאמרים באתר ובבלוג שלי, צרו עימנו קשר ב-03-613333 והתאימו את העסק שלכם לרגולציה.

חשוב לשים לב, שלא די בעורך דין או באיש טכנולוגיה אלא נדרש השילוב בין השניים. משרדנו עובד בשיתוף פעולה עם גופים טכנולוגיים וארגוניים ורק ביחד ניתן לספק לכם את הליווי המלא והשקט הנפשי של עמידה בדרישות החוק הישראלי והאירופי.

נשמח לעזור לכם.

 

מדריכים נוספים בנושא ה-GDPR והגנת הפרטיות:

 

(*) עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע והגנת הפרטיות לפי הדין באירופה (CIPP/E), כלומר –  Certified Information Privacy Professional/Europe; והוא חבר בארגון הבינלאומי למומחי פרטיות, ה-IAPP (ה-International Association of Privacy Professionals).

סרטיפיקצית ה-CIPP/E הינה הסטנדרט העולמי המוכר ומוערך ברחבי העולם בתחום הסמכת מומחי הגנת מידע ופרטיות משפטיים לפי הדין באירופה. ההסמכה מוענקת על ידי ארגון ה-IAPP, הארגון העולמי המוביל בתחום מומחי הגנת מידע ופרטיות. ההסמכה הותאמה ספציפית לדיני האיחוד האירופי ולרגולציית ה-GDPR, לחקיקת הגנת המידע ביבשת ובמדינות השונות, למודל האכיפה האירופי של הגנת המידע והפרטיות ולציות והתאמה של עסקים לרגולציה האירופית. ההסמכה היא ANSI-accredited.

 

מאמרים שונים בנושאי הגנת הפרטיות

 

 

Comments

comments

יורם ליכטנשטיין

לקבלת ייעוץ ראשונישלחו פרטים



ליצירת קשר ולייעוץ ראשוני –

03-6133333
This site was created with the help of Beetle (www.beetle.net.ua)