רגולציית הגנת הפרטיות לעסקים באירופה. GDPR
יורם ליכטנשטיין 12.12.2017
יורם ליכטנשטיין

הגנת הפרטיות GDPR

אירופה עוברת בימים אלו רעידת אדמה ביחס לרגולציית הגנת הפרטית. מה זה GDPR והאם היא חלה עליכם? (התשובה היא כנראה "כן").

European Data Protection Laws
CIPP-E certified.

עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע ופרטיות באירופה CIPP/E מטעם ארגון IAPP (*)

תוכלו למצוא מאמרים נוספים שלו בנושא הגנת המידע באירופה למטה.

לפני שנצלול לעומק הנושא, כל מי מכם שהגיע לכאן כשהוא כבר מבין שחובה על העסק שלו להתאים את עצמו להוראות תקנות הגנת הפרטיות והמידע באירופה בישראל (ובעברית) מוזמן, במקום לשאול את עצמו, פשוט לעיין במדריך ה"מקוצר" בן 16 הצעדים שהכנו בנושא – "התאם את העסק שלך ל-GDPR ב-16 צעדים" – GDPR_16steps (הקישור באנגלית הוא ה-PDF). שימו לב שמדריך זה הינו הסבר והנחייה כללית שיתכן שהיישום שלו בעסק שלכם יצריך העזרות באיש מקצוע מומחה.

לשם הנוחות אני שמח להפנות אתכם לכלים אונליין שרשות הגנת הפרטיות האנגלית מעמידה לרשותכם (ה-ICO, כן כן…) ובאמצעותה תוכלו לבדוק האם העסק שלכם ערוך ומוכן לרגולציה. אנא בידקו את עצמכם.

 

רקע כללי אודות ה-GDPR

ה- General Data Protection Regulation היא רגולציית הגנת הפרטיות האירופית ובשמה המלא –

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016

on the protection of natural persons with regard to the processing of personal data and on the free movement

of such data, and repealing Directive 95/46/EC (General Data Protection Regulation

הרגולציה התקבלה בהחלטת הפרלמנט האירופי, מועצת האיחוד האירופי והנציבות האירופית, והיא אוסף של כללי והוראות מחייבות בהקשר לעיבוד נתונים אישיים אודות אזרחי האיחוד האירופי.

תקנות אבטחת המידע והפרטיות האירופיות עוסקות בנושאי איסוף, שמירה, אחסון, שימוש והעברת נתוני מידע שונים המתייחסים לאזרחי מדינות האיחוד האירופי. מטרתן העיקרית – העברת השליטה בנתונים מהחברות והארגונים (הפרטיים, ציבוריים וממשלתיים) האוספות לידי הפרטים.

החשיבות העיקרית לכולנו היא שהרגולציה חלה ומחייבת גם ובמיוחד ארגונים מסחריים (החל מסטארט-אפים הפועלים במחסן ביתנו וכלה בבנקים, חברות ביטוח וכדומה, כולל מי שיש לו אפליקציה בחנות כלשהי וכן אחרים שמעוניינים לקבל תשלומים מאזרחים אירופיים).

ה-GDPR התקבלה בתאריך 27 באפריל 2016, פורסמה בעיתון הרשמי של האיחוד האירופי ונאכפת החל מה-28 במאי 2018.

זו בעצם הנקודה החשובה ביותר לכולנו – להתחיל להתכונן, שכן תקנות GDPR מחייבות כמעט כל גוף שעוסק בנתונים כאלו, להכנס לתהליך מורכב של התאמת מאגרי המידע שלו והשימוש בהם, לכללים אלו.

הרגולציה למעשה אינה מחיייבת את המדינות האירופיות לחוקק חקיקה נוספת, משום שהיא חלה באופן ישיר ומחייב על המדינות החברות והגופים האוספים מידע ביחס לאזרחיהן.

לטקסט הרגולציה ראו כאן – http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf (קובץ PDF).

בהמשך נסביר קצת על ה-GDPR בעברית.

עקרון היסוד של רגולציית ה-GDPR, הגנת הפרטיות האירופית:

סעיף 2 לפתיח הרגולציה מצהיר, כי:

"עקרון ההגנה על אנשים פרטיים בקשר לעיבוד מידע אישי שלהם, תהא אזרחותם ותושבותם אשר תהא, חייב לכבד את הזכויות והחירויות הבסיסיות שלהם, ובעיקר את זכותם והחירות הבסיסית להגנה על מידע אישי. רגולציה זו נועדה לתרום להשגת חופש, בטחון וצדק, ולהביא לכדי איחוד כלכלי, תוך התקדמות כלכלית וחברתית, חיזוק וליכוד הכלכלות בתוך השוק הפנימי ולדאוג לשלמותם (well being) של אנשים פרטיים."

מה זה והאם להשאר רגוע?

אפתח בתשובה: "לא. צריך להתארגן או שעלולות לקרות תקלות כואבות".

האיחוד האירופי אימץ תקנות מחמירות ביותר הנקראות General Data Protection Regulation, או בקצרה – ה-GDPR. רגולציה זו נכנסה לתוקף במאי 2018 ותהיה לה משמעות לא מבוטלת.

אלא שהעמידה ברגולציה מצריכה שינוי מחשבתי דרמטי, ולכן כדאי להתארגן. מראש.

בקצרה, ה-GDPR מטילה חובה לאמץ שינויים מרחיקי לכת במוצרים ובתהליכים המתקיימים בכל חברה ומיזם מקוונים שיש להם נגיעה כזו או אחרת לאזרחים באיחוד האירופי.

המדובר בעדכון של האיחוד האירופי את דרישות הגנת הפרטיות שלהם, באופן שנוצרו כללים רגולטורים מפורטים, מורכבים ובעלי הגנה משמעותית על זכויות הפרט במידע שלו המסתובב ברשת ובידי גורמים אחרים.

תאגיד ועסק שלא יתאים עצמו לכללים אלו, ומאחסן אצלו נתונים אישיים כלשהם אודות תושב אירופי או שהשרתים שלו מצויים באירופה (כן… אירלנד היא באירופה), גם על שרת ענן, יהיה כפוף לרגולציה.

במאמר זה אשיב לכמה שאלות מהותיות המתייחסות ל-GDPR.

על מי תחול ה-GDPR?

על כל עסק שמעבד מידע אודות תושב באחת ממדינות האיחוד האירופי או על פעולת עיבוד המבוצעת בתחומים הטריטוריאליים של האיחוד האירופי.

למעשה, מספיק שתבקשו להעלות אפליקציה שלכם לחנויות אפל או גוגל (או אמאזון), וחלק מהמורידים אותן יהיו אירופים, קיים סיכון משמעותי שהרגולציה תחול עליכם.

כך גם אם תרצו לקבל תשלום באמצעות כרטיסי אשראי אירופים ולשמור את המידע, תגלו שהכרטיסים יסרבו לעבוד עימכם, אם לא עמדתם ברגולציה.

אלא שלא רק חברות טכנולוגיות יילכדו ברשת הרגולציה. גם בנקים, חברות ביטוח, חברות אשראי, מרפאות שונות, עיתונים מקוונים ושאינם מקוונים ועסקים מסוגים שונים עשויים אף הם להכלל ברשת.

אילו סוגי מידע נכללים בתקנות GDPR?

מידע אודות מיקום, מידע אודות מאפייני מכשירים, כתובת IP, התנהלות מסויימת ברשת, מידע המשותף ברשתות חברתיות וכדומה – כל אלו מוגנים על פי הרגולציה.

אילו חובות מטילות התקנות באירופה?

התקנות חלות הן על מי שאוסף מידע והן על מי שמעבד אותו מטעמו, ומטילות עליו חובות רבות (88 עמודי טקסט זה די הרבה, לא…?).

בין יתר החובות נמצא את החובות הבאות:

  • Data Protection By Design: כל מוצר או שירות חייב להיות מתוכנן מראש באופן שנותן משמעות לשאלות הפרטיות והגנת המידע. הרגולציה מטילה חובות לקבוע גם אמצעי אבטחה טכנולוגיים (כמו הצפנה ופסודונימיזציה) וארגוניים (כמו כללי התנהלות תאגידית, התאמה לקודי התנהגות מאושרים וכדומה). למעשה משמעות הכלל הזה, הינה שכל חובות השולט במידע וזכויות הפרט, חייבות להיות משולבות בתהליכים הארגוניים הפנימיים – מראש.
  • החובה לקבל הסכמת נשוא המידע המוגדרת כאינדיקציה (UNAMBIGUOUS INDICATION) שניתנה באופן חופשי (FREELY GIVEN), ספציפית (SPECIFIC), מיודעת (INFORMED) וחד משמעית של רצון נשוא המידע, בה הוא (באמצעות הצהרה או פעולה מאשרת ברורה) מאשר את הסכמתו לתהליך עיבוד המידע האישי המתייחס אליו. הן פרטי נותן השירות (NAMED) והן פרטי כל רכיבי העיבוד (GRANULAR) חייבים להיות כלולים במפורש בהסכמה. על ההסכמה להיות נפרדת מכל אישור אחר ומתנאי השימוש, להיות תהליך הצטרפות אקטיבי. על ההסכמה להיות מנוסחת בלשון קריאה, מובנת ונגישה. חובה להיות יכול להוכיח בדיעבד את ההסכמה לקשור אותה עם המסכים הספציפי (DOCUMERNTED AND VERIFYABLE). לבסוף גם ההסכמה חייבת להיות קלה לביטול (EASY TO WITHDRAW). הגבלות נוספות חלות כאשר המידע מתייחס לקטינים מתחת לגיל 16 או 13.
  • החובה לנהל הערכות סיכונים למידע ולדליפות מידע, ושימוש באמצעי הגנה טכנולוגיים וארגוניים לשם צמצומם.
  • החובה לדווח לרשויות המפקחות (ולעיתים גם לפרטים השונים) על דליפות מידע מסויימות, בדרך כלל במגבלת זמן של 72 שעות.
  • החובה למנות קצין אבטחת מידע (DPO) בהתקיים תנאים מסויימים של גודל חברה או סוגי מידע מעובדים.
  • איסור עיבודי מידע רגיש מסוגים מסויימים, דוגמת העדפות מיניות, אמונות דתיות, אתניות וכדומה.

זכויות הפרט ב-GDPR:

הרגולציה אף מפרטת ומרחיבה את זכויות הפרטים לשליטה במידע המתייחס אליהם המצוי בידי אחרים. הזכויות שנקבעו ברגולציה כוללות את הזכויות הבאות:

  1. הזכות להיות מיודע: ומצידה השני – חובת העסק לספק מידע שלם, מלא, ברור, חד משמעי, הוגן, שקוף, ניתן להבנה וללא תשלום.
  2. זכות הגישה למידע: זכותו של הפרט לקבל לידיו עותק מהמידע המתייחס אליו, מהר וללא תשלום, באופן קריא ונגיש.
  3. הזכות לתיקון המידע: כשהוא לא עדכני או שגוי.
  4. הזכות למחיקת המידע: כאשר הוא אינו רלוונטי עוד, כאשר הוא עומד שלא בהתאם למטרת האיסוף או כאשר הגדרות הפרטיות וההסכמה של הפרט שונו (זכות זו הינה הרחבה של הזכות להשכח שאומצה באיחוד האירופי לפני זמן מה).
  5. הזכות להגבלת עיבוד המידע: חלה במיוחד כאשר קיים ויכוח בין הצדדים על אופן עיבוד המידע.
  6. הזכות להעברת המידע לאחרים: ומצידה השני – חובת העסק לספק את המידע בידי הפרט בצורה יעילה, נגישה, מלאה וקריאת מכונה; זכות שנועדה לאפשר מעבר קל בין פלטפורמות.
  7. הזכות להתנגד לעיבודים מסוגים שונים המפורטים ברגולציה.
  8. זכויות שונות ביחס לקבלת החלטות אוטומטיות ו"פרופיילינג" בידי אלגוריתם שאינו אנושי.

מה אם אני לא עומד בדרישות ה-GDPR?

כאן כבר ה"יעסק" מתחיל לכאוב.

החוק קובע קנסות על הפרות מסויימות שעשויים להגיע כדי 10 או 20 מליון יורו, או 2%-4% מהמחזור השנתי העולמי של העסק, הגבוה מבין השניים.

אאוצ'…

אז מה. אנחנו לא אירופה…

לכאורה נראה כאילו GDPR ישראל יהיה חסר השפעה. הרי אנחנו איננו באירופה!

אלא שכבר הראינו שתחולת GDPR ישראל היא תחולה רחבה מהצפוי ובישראל נופתע לגלות שהתקנות ישפיעו על עסקים רבים (אונליין ושאינם אונליין).

מעבר לכך, הרי נציגי הרשות המפקחת הישראלית (הרשות להגנת הפרטיות, לשעבר רמו"ט) כבר הבהירו כי הם במהלכי עבודה לייבא ארצה רגולציה זו "לפי תנאי הארץ ותושביה" כך שבהמשך הדרך תהיה לה תחולה ישירה גם על עסקים ישראלים.

יותר מכך, החוק בישראל כבר כולל מספר לא מבוטל של רכיבים הנכללים בתקנות הגנת המידע והפרטיות באירופה ומיישם אותן כבר כיום.

 

המלצה ראשונה לצרכי הגנת הפרטיות והגנתכם שלכם

להתחיל להתכונן.

בקרוב אוסיף ואעלה מאמרים המסבירים בצורה יותר מפורטת את דרישות הרגולציה, ובהמשך הדרך אף ניתן יהיה לקבל שירותי התאמת העסק שכם לרגולציה.

המלצתי: קיראו את המאמרים, התייעצו עם בעל מקצוע מתאים והתאימו את העסק שלכם לרגולציה. שימו לב שלא די בעורך דין או באיש טכנולוגיה אלא נדרש השילוב בין השניים. משרדנו מתמחה בנושא ונשמח לסייע בעצה וליווי.

 

מדריכים נוספים בנושא ה-GDPR והגנת הפרטיות:

(*) עורך הדין יורם ליכטנשטיין הוא מוסמך הגנת מידע והגנת הפרטיות לפי הדין באירופה (CIPP/E), כלומר –  Certified Information Privacy Professional/Europe; והוא חבר בארגון הבינלאומי למומחי פרטיות, ה-IAPP (ה-International Association of Privacy Professionals).

סרטיפיקצית ה-CIPP/E הינה הסטנדרט העולמי המוכר ומוערך ברחבי העולם בתחום הסמכת מומחי הגנת מידע ופרטיות משפטיים לפי הדין באירופה. ההסמכה מוענקת על ידי ארגון ה-IAPP, הארגון העולמי המוביל בתחום מומחי הגנת מידע ופרטיות. ההסמכה הותאמה ספציפית לדיני האיחוד האירופי ולרגולציית ה-GDPR, לחקיקת הגנת המידע ביבשת ובמדינות השונות, למודל האכיפה האירופי של הגנת המידע והפרטיות ולציות והתאמה של עסקים לרגולציה האירופית. ההסמכה היא ANSI-accredited.

 

מאמרים שונים בנושאי הגנת הפרטיות

 

 

Comments

comments

יורם ליכטנשטיין

לקבלת ייעוץ ראשונישלחו פרטים



ליצירת קשר ולייעוץ ראשוני –

03-6133333
This site was created with the help of Beetle (www.beetle.net.ua)