רגולציית הגנת הפרטיות לעסקים באירופה. GDPR
יורם ליכטנשטיין 12.12.2017

הגנת הפרטיות GDPR

אירופה עוברת בימים אלו רעידת אדמה ביחס לרגולציית הגנת הפרטית. מה זה ה-GDPR והאם היא חלה עליכם? (התשובה היא כנראה "כן").

אם אתם מעוניינים במאמרים נוספים בנושאי הגנת הפרטיות, בתחתית עמוד זה תמצאו קישורים למאמרים בנושא זה של פרטיות והגנתה.

 רקע כללי אודות ה-GDPR

ה-GDPR) General Data Protection Regulation) היא רגולציית הגנת הפרטיות האירופית ובשמה המלא –

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016

on the protection of natural persons with regard to the processing of personal data and on the free movement

of such data, and repealing Directive 95/46/EC (General Data Protection Regulation

הרגולציה התקבלה בהחלטת הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית, והיא אוסף של כללי והוראות מחייבות בהקשר לעיבוד נתונים אישיים אודות אזרחי האיחוד האירופי.

הכללים והרגולציה עוסקים בנושאי איסוף, שמירה, אחסון, שימוש והעברת נתוני מידע שונים המתייחסים לאזרחי מדינות האיחוד האירופי. מטרתם העיקרית – העברת השליטה בנתונים מהחברות והארגונים (הפרטיים, ציבוריים וממשלתיים) האוספות לידי הפרטים.

החשיבות העיקרית לכולנו היא שהרגולציה חלה ומחייבת גם ובמיוחד ארגונים מסחריים (החל מסטארט-אפים הפועלים במחסן ביתנו וכלה בבנקים, חברות ביטוח וכדומה, כולל מי שיש לו אפליקציה בחנות כלשהי וכן אחרים שמעוניינים לקבל תשלומים מאזרחים אירופיים).

הרגולציה התקבלה בתאריך 27 באפריל 2016, פורסמה בעיתון הרשמי של האיחוד האירופי, ותהיה אכיפה החל מתאריך 28 במאי 2018.

וזו בעצם הנקודה החשובה ביותר לכולנו – להתחיל להתכונן, שכן הרגולציה מחייבת כמעט כל גוף שעוסק בנתונים כאלו, להכנס לתהליך מורכב של התאמת מאגרי המידע שלו והשימוש בהם, לכללים אלו.

הרגולציה למעשה אינה מחיייבת את המדינות האירופיות לחוקק חקיקה נוספת, משום שהיא חלה באופן ישיר ומחייב על המדינות החברות והגופים האוספים מידע ביחס לאזרחיהן.

לטקסט הרגולציה ראו כאן – http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf (קובץ PDF).

עקרון היסוד של רגולציית ה-GDPR, הגנת הפרטיות האירופית:

סעיף 2 לפתיח הרגולציה מצהיר, כי:

"עקרון ההגנה על אנשים פרטיים בקשר לעיבוד מידע אישי שלהם, תהא אזרחותם ותושבותם אשר תהא, חייב לכבד את הזכויות והחירויות הבסיסיות שלהם, ובעיקר את זכותם והחירות הבסיסית להגנה על מידע אישי. רגולציה זו נועדה לתרום להשגת חופש, בטחון וצדק, ולהביא לכדי איחוד כלכלי, תוך התקדמות כלכלית וחברתית, חיזוק וליכוד הכלכלות בתוך השוק הפנימי ולדאוג לשלמותם (well being) של אנשים פרטיים."

GDPR – האם להשאר רגוע?

אפתח בתשובה: "לא. צריך להתארגן או שתהיינה תקלות כואבות".

האיחוד האירופי אימץ תקנות מחמירות ביותר הנקראות General Data Protection Regulation, או בקצרה – ה-GDPR. רגולציה זו תכנס לתוקף במאי 2018.

אלא שהעמידה בה מצריכה שינוי מחשבתי דרמטי, ולכן כדאי להתארגן. מראש.

בקצרה, הרגולציה מטילה חובה לאמץ שינויים מרחיקי לכת במוצרים ובתהליכים המתקיימים בכל חברה ומיזם מקוונים שיש להם נגיעה כזו או אחרת לאזרחים באיחוד האירופי. ישנם מקורות שסבורים שיותר מ-90% מהתאגידים הבינלאומיים או המקוונים המבוססים בארה"ב יושפעו מה-GDPR. אם זה היחס בארה"ב, הרי גם אם בישראל הוא נמוך מעט יותר, עדיין מסתבר כי רבים מהעסקים הטכנולוגיים והאחרים בישראל יושפעו ממנו, אפילו אם אינם מודעים לכך.

ה-GDPR הוא עדכון של האיחוד האירופי את דרישות הגנת הפרטיות שלהם, באופן שנוצרו כללים רגולטורים מפורטים, מורכבים ובעלי הגנה משמעותית על זכויות הפרט במידע שלו המסתובב ברשת ובידי גורמים אחרים.

תאגיד ועסק שלא יתאים עצמו לכללים אלו, ומאחסן אצלו נתונים אישיים כלשהם אודות תושב אירופי או שהשרתים שלו מצויים באירופה (כן… אירלנד היא באירופה), גם על שרת ענן, יהיה כפוף לרגולציה.

במאמר זה אשיב לכמה שאלות מהותיות המתייחסות ל-GDPR.

על מי תחול ה-GDPR?

על כל עסק שמעבד מידע אודות תושב באחת ממדינות האיחוד האירופי או על פעולת עיבוד המבוצעת בתחומים הטריטוריאליים של האיחוד האירופי.

למעשה, מספיק שתבקשו להעלות אפליקציה שלכם לחנויות אפל או גוגל (או אמאזון), וחלק מהמורידים אותן יהיו אירופים, קיים סיכון משמעותי שהרגולציה תחול עליכם.

כך גם אם תרצו לקבל תשלום באמצעות כרטיסי אשראי אירופים ולשמור את המידע, תגלו שהכרטיסים יסרבו לעבוד עימכם, אם לא עמדתם ברגולציה.

אלא שלא רק חברות טכנולוגיות יילכדו ברשת הרגולציה. גם בנקים, חברות ביטוח, חברות אשראי, מרפאות שונות, עיתונים מקוונים ושאינם מקוונים ועסקים מסוגים שונים עשויים אף הם להכלל ברשת.

אילו סוגי מידע נכללים ב-GDPR?

מידע אודות מיקום, מידע אודות מאפייני מכשירים, כתובת IP, התנהלות מסויימת ברשת, מידע המשותף ברשתות חברתיות וכדומה – כל אלו מוגנים על פי הרגולציה.

אילו חובות מטילה ה-GDPR?

הרגולציה חלה הן על מי שאוסף מידע והן על מי שמעבד אותו מטעמו, ומטילה עליו חובות רבות (88 עמודי טקסט זה די הרבה, לא…?).

בין יתר החובות הינן החובות הבאות:

  • Data Protection By Design: כל מוצר או שירות חייב להיות מתוכנן מראש באופן שנותן משמעות לשאלות הפרטיות והגנת המידע. הרגולציה מטילה חובות לקבוע גם אמצעי אבטחה טכנולוגיים (כמו הצפנה ופסודונימיזציה) וארגוניים (כמו כללי התנהלות תאגידית, התאמה לקודי התנהגות מאושרים וכדומה). למעשה משמעות הכלל הזה, הינה שכל חובות השולט במידע וזכויות הפרט, חייבות להיות משולבות בתהליכים הארגוניים הפנימיים – מראש.
  • החובה לקבל הסכמת נשוא המידע המוגדרת כאינדיקציה (UNAMBIGUOUS INDICATION) שניתנה באופן חופשי (FREELY GIVEN), ספציפית (SPECIFIC), מיודעת (INFORMED) וחד משמעית של רצון נשוא המידע, בה הוא (באמצעות הצהרה או פעולה מאשרת ברורה) מאשר את הסכמתו לתהליך עיבוד המידע האישי המתייחס אליו. הן פרטי נותן השירות (NAMED) והן פרטי כל רכיבי העיבוד (GRANULAR) חייבים להיות כלולים במפורש בהסכמה. על ההסכמה להיות נפרדת מכל אישור אחר ומתנאי השימוש, להיות תהליך הצטרפות אקטיבי. על ההסכמה להיות מנוסחת בלשון קריאה, מובנת ונגישה. חובה להיות יכול להוכיח בדיעבד את ההסכמה לקשור אותה עם המסכים הספציפי (DOCUMERNTED AND VERIFYABLE). לבסוף גם ההסכמה חייבת להיות קלה לביטול (EASY TO WITHDRAW). הגבלות נוספות חלות כאשר המידע מתייחס לקטינים מתחת לגיל 16 או 13.
  • החובה לנהל הערכות סיכונים למידע ולדליפות מידע, ושימוש באמצעי הגנה טכנולוגיים וארגוניים לשם צמצומם.
  • החובה לדווח לרשויות המפקחות (ולעיתים גם לפרטים השונים) על דליפות מידע מסויימות, בדרך כלל במגבלת זמן של 72 שעות.
  • החובה למנות קצין אבטחת מידע (DPO) בהתקיים תנאים מסויימים של גודל חברה או סוגי מידע מעובדים.
  • איסור עיבודי מידע רגיש מסוגים מסויימים, דוגמת העדפות מיניות, אמונות דתיות, אתניות וכדומה.

זכויות הפרט ב-GDPR:

הרגולציה אף מפרטת ומרחיבה את זכויות הפרטים לשליטה במידע המתייחס אליהם המצוי בידי אחרים. הזכויות שנקבעו ברגולציה כוללות את הזכויות הבאות:

  1. הזכות להיות מיודע: ומצידה השני – חובת העסק לספק מידע שלם, מלא, ברור, חד משמעי, הוגן, שקוף, ניתן להבנה וללא תשלום.
  2. זכות הגישה למידע: זכותו של הפרט לקבל לידיו עותק מהמידע המתייחס אליו, מהר וללא תשלום, באופן קריא ונגיש.
  3. הזכות לתיקון המידע: כשהוא לא עדכני או שגוי.
  4. הזכות למחיקת המידע: כאשר הוא אינו רלוונטי עוד, כאשר הוא עומד שלא בהתאם למטרת האיסוף או כאשר הגדרות הפרטיות וההסכמה של הפרט שונו (זכות זו הינה הרחבה של הזכות להשכח שאומצה באיחוד האירופי לפני זמן מה).
  5. הזכות להגבלת עיבוד המידע: חלה במיוחד כאשר קיים ויכוח בין הצדדים על אופן עיבוד המידע.
  6. הזכות להעברת המידע לאחרים: ומצידה השני – חובת העסק לספק את המידע בידי הפרט בצורה יעילה, נגישה, מלאה וקריאת מכונה; זכות שנועדה לאפשר מעבר קל בין פלטפורמות.
  7. הזכות להתנגד לעיבודים מסוגים שונים המפורטים ברגולציה.
  8. זכויות שונות ביחס לקבלת החלטות אוטומטיות ו"פרופיילינג" בידי אלגוריתם שאינו אנושי.

מה אם אני לא עומד בדרישות ה-GDPR?

כאן כבר ה"יעסק" מתחיל לכאוב.

הרגוליה קובעת קנסות על הפרות מסויימות שעשויים להגיע כדי 10 או 20 מליון יורו, או 2%-4% מהמחזור השנתי העולמי של העסק, הגבוה מבין השניים.

אאוצ'…

אז מה. אנחנו לא אירופה…

ובכן, מעבר להשפעה הישירה של הרגולציה כמעט על כל עסק מקוון ועל הרבה עסקים שאינם מקוונים, הרי נציגי הרשות המפקחת הישראלית (הרשות להגנת הפרטיות, לשעבר רמו"ט) כבר הבהירו כי הם במהלכי עבודה לייבא ארצה רגולציה זו "לפי תנאי הארץ ותושביה" כך שבהמשך הדרך תהיה לה תחולה ישירה גם על עסקים ישראלים גרידא.

המלצה ראשונה לצרכי הגנת הפרטיות והגנתכם שלכם

להתחיל להתכונן.

בקרוב אוסיף ואעלה מאמרים המסבירים בצורה יותר מפורטת את דרישות הרגולציה, ובהמשך הדרך אף ניתן יהיה לקבל שירותי התאמת העסק שכם לרגולציה.

המלצתי: קיראו את המאמרים, התייעצו עם בעלך מקצוע מתאים והתאימו את העסק שלכם לרגולציה. שימו לב שלא די בעורך דין או באיש טכנולוגיה אלא נדרש השילוב בין השניים. משרדנו מתמחה בנושא ונשמח לסייע בעצה וליווי.

 

מדריכים נוספים בנושא ה-GDPR והגנת הפרטיות:

 

מאמרים שונים בנושאי הגנת הפרטיות

 

 

Comments

comments

יורם ליכטנשטיין

לקבלת ייעוץ ראשונישלחו פרטים



ליצירת קשר ולייעוץ ראשוני –

03-6133333
This site was created with the help of Beetle (www.beetle.net.ua)