מהן תקנות ה-GDPR?
בחודש מאי 2018 נכנסו לתוקף תקנות הגנת המידע של האיחוד האירופי: (General Data Protection Regulation (GDPR.
התקנות האירופאיות (GDPR) מתייחסות לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים, וקובעת כללים אחידים לשמירה על פרטיותם. הרגולציה חלה על כל ארגון אשר בא במגע עם מידע אישי של אזרחי האיחוד האירופאי, כאשר היא מגדירה את זכויות היסוד של תושבים אירופים ביחס למידע האישי שלהם ובהמשך לכך את השמירה עליה. על פי הרגולציה, המידע שאוסף הארגון שייך באופן בלעדי לנושאי המידע ועל החברה להתייחס לכך בעת השימוש במידע. אי עמידה בתקנות יכולה להיות כרוכה בקנסות משמעותיים.
האם תקנות ה GDPR חלות על העסק שלי?
הוראות ה-GDPR חלות לא רק על עסק וגוף שמקום מושבו באיחוד האירופי, אלא גם על בעל שליטה במידע שמספק שירותים לתושבי האיחוד האירופי או מחזיק מידע על תושבי האיחוד האירופי. במילים אחרות, מי שעושה עסקים עם לקוחות באיחוד האירופי ומחזיק עליהם מידע אישי (כפי שזה מוגדר בתקנות), כפוף ל-GDPR.
מכאן שתקנות ה GDPR חלות גם על כל חברה ישראלית המשווקת או מספקת שירותים הקשורים במידע אישי של אזרחי האיחוד האירופי.
אילו סוגי מידע נכללים בתקנות באירופה?
לפי ה GDPR, המושג מידע אישי הוא מאד רחב, ולמעשה כל מידע הקשור לאדם טבעי (natural person) – דהיינו, אדם "אמיתי" ולא תאגיד/חברה, הכולל נתונים מזהים כלשהם: תעודת זהות, מיקום, גיל, נתוני אשראי, מידע דיגיטלי כמו כתובת IP, מעקב אחר התנהלות ברשתות החברתיות ולמעשה כל מידע המאפשר זיהוי של האדם עליו מוחזק המידע. חשוב להבין את התחולה הרחבה של התקנות הללו: לדוגמא, אם האתר שלכם מאפשר גלישה לאזרחי האיחוד האירופי, ואוסף נתוני קוקיז (Cookies) על הגולשים באתר, מדובר באיסוף מידע לצורך תקנות ה-GDPR, או אם אתם רוצים לקבל תשלום באמצעות כרטיסי אשראי של אזרחים אירופאיים ולשמור את המידע – יחולו עליכם תקנות ה GDPR. אפילו עסק ש"רק" מאחסן אצלו נתונים אודות תושב אירופי או שלעסק יש רכיב הנמצא באירופה (למשל השרתים שלו או של שירות הענן שלו), יהיה כפוף לרגולציית הפרטיות באירופה.
זכויות הפרט לפי ה GDPR:
הרגולציה מפרטת ומרחיבה את זכויות הפרטים לשליטה במידע המתייחס אליהם המצוי בידי אחרים. חלקן של זכויות אלו קיים כבר היום הזכויות שנקבעו ברגולציה כוללות למשל את הזכויות הבאות:
-
הזכות להיות מיודע על המידע שנאסף לגביו.
-
זכות הגישה למידע
-
הזכות להעברת המידע לאחרים
-
הזכות לתיקון המידע.
-
הזכות למחיקת המידע ("הזכות להישכח")
-
הזכות להגבלת עיבוד המידע.
-
הזכות להתנגד לעיבודים מסוגים שונים המפורטים ברגולציה.
מה אם העסק שלי לא עומד בדרישות התקנות האירופאיות?
התקנות קובעות קנסות על הפרות מסוימות שעשויים להגיע כדי 10 או 20 מליון יורו, או 2%-4% מהמחזור השנתי העולמי של העסק, הגבוה מבין השניים.
נוסף על פעולות אכיפה וקנסות, ה-GDPR אף מאפשרת מקום לתביעות, שיכולות אולי להופיע גם כתביעות ייצוגיות או נגד מנהלים שהתרשלו באופן אישי.
ולכן חשוב מאוד להיות מודעים לכל היבט של שמירה ואבטחת המידע בעסק שלכם, ולהימנע מן הסיכון של קנסות המוטלים מכוח תקנות אלו.
בהתאם לתחום העסק, סוג המידע שנאסף והיקפו של העסק, ההיערכות היא שונה. עם זאת, חשוב לדעת שכל מוצר או שירות המוצע על ידי הגוף עליו חלות התקנות, צריך להיות מותאם לנושא של אבטחת מידע בהיבטים הנדרשים, למשל התקנה והטמעה של אמצעי אבטחה טכנולוגיים (הצפנה של המידע במידת הצורך), יישום הוראות משפטיות בהסכמים (עמידה בחובות יידוע שונות, תקנון אבטחת מידע וכדומה), והוראות ארגוניות במידת הצורך.