היכונו לכללי ה- GDPR החדשים
מה זה GDPR ?
GDPR הינם ראשי התיבות של המילים General Data Protection Regulation והכוונה היא לכללים החדשים להגנה על פרטיות במידע שאימץ האיחוד האירופי (אושרו על ידי האיחוד האירופי ביום 14 לאפריל 2016 וייכנסו לתוקף ביום 25.5.18. כאשר תחולתן של הוראות אלו הינו 25.5.18. המשמעות היא שכל ארגון, עסק, חברה שלא יעמדו בהוראות החדשות יעמדו בפני קנסות כבדים.
ה- GDPR (הוראות הגנת המידע הכלליות של האיחוד האירופי) מחליפות את הוראות הדירקטיבה האירופית להגנת המידע 95/46/EC שמטרתן הייתה ליצור הרמוניזציה של לכללי הגנת הפרטיות ברחבי האיחוד האירופי ולהגן תושבי האיחוד האירופי מפני פגיעה בפרטיותם על ידי תאגידים ועסקים שונים. מדובר בסדרה של כללים מפורטים וברורים בכל הנודע להגנת פרטיות, שימוש במידע, סודיות מידע ואופן שליטה וניטור המידע על ידי הצרכנים.
הכללים קובעים כי פרטיות המידע של אזרחי האיחוד האירופי נחשבת ל”זכות יסוד”, כלומר האיחוד האירופי מייחס חשיבות רבה ביותר לפגיעה בפרטיות וסביר להניח שינקוט בצעדים אגרסיביים יותר מאשר יתר המדינות, דוגמת ישראל וארה”ב.
איך זה קשור אלינו?
כללי ה- GDPR החדשים אומנם אינם חלים על ארגונים שממוקמים מחוץ לאיחוד האירופי, אולם הם יחולו על ארגונים שממוקמים מחוץ לאיחוד האירופי שמספקים מוצרים או שירותים לתושבי האיחוד האירופי או מנטרים מידע פרטי של תושבי האיחוד אירופי.
כללים אלו חלים למעשה על כל החברות והארגונים שמחזיקים, מחליפים או משתמשים במידע פרטי של אזרחי האיחוד האירופי.
כך למשל, אם יש לכם אתר אינטרנט שמוכר מוצרים או שירותים לתושבי האיחוד האירופי, כללי הGDPR יחולו עליכם ועל כן תצטרכו להתכונן לקראת כניסתן לתוקף בזהירות ובקפדנות. הכללים יחולו על כל העסקים, החל מאתר אינטרנט קטן , אפליקציה סלולארית, ועד לתאגיד תקשורתי ענק ללא כל אבחנה.
על כן לעסקים המספקים שירותים או מוצרים לתושבי האיחוד האירופי ישנן שתי אפשרויות:
- לחסום גישה לתושבי האיחוד האירופי
- להיערך לקראת כניסתם לתוקף של כללי ה- GDPR
על מה מגנים כללי ה- GDPR?
כללי ה- GDPR חלים על כל מידע שנאסף על צרכנים באשר הוא בכל דרך שהיא. העיקרון הבסיסי של כללים אלו הוא שאיסוף מידע ועיבודו הם חלק ממנועי הצמיחה של חברות וארגונים אולם יש להגן האדיקות על המידע הזה ולאפשר לצרכנים לשלוט במידע, על ידי מי הוא נאסף ומה נעשה עמו.
על מנת לעמוד בדרישות ה- GDPR על כל עסק לנהל פעילות של איסוף מידע בזהירות המירבית ולאפשר לצרכנים את כל הדרכים לשלוט, לנטר, לבדוק ואף למחוק כל מידע שברצונו למחוק.
להלן חלק מדרישות ועקרונות בסיסיים של הכללים:
הזכות להישכח – זכות המשתמשים למחוק מידע
תחת כללי ה- GDPR לתושבי האיחוד האירופי ישנה זכות למחוק את המידע שנאסף לגביהם.
הסכמה מפורשת לשימוש במידע
בהתאם לכלים החדשים על כל עסק המשווק מוצרים או שירותים לתושבי האיחוד האירופי חייב לבקש ולקבל הסכמה מפורשת של המשתמשים לאסוף עליהם מידע, לעשות בו שימוש ולעבד את המידע. הבקשה לשימוש במידע חייבת להיות מפורשת, ברורה, מוחשית ונגישה ללא מגבלות משפטיות מורכבות. למשתמשים חייבת להינתן הזכות אף לחזור בהם מהרשות שהם נתנו באותה הדרך שבה הסכימו לה.
חובת הודעה על הפרת הפרטיות
במקרה והמידע אודות המשתמשים נחשף על בעל העסק להודיע למשתמשים וכן לרשויות המוסמכות תוך 72 שעות ממועד ידיעתו.
פקידי הגנת פרטיות
בהתאם לכללים החדשים יש לערוך תיעוד מסודר ומפורט של כל המידע שנאסף על המשתמשים באמצעות פקידי הגנת פרטיות שזה יהיה תפקידם, מקצועיותם והשכלתם.
חיוניות המידע ואינטרס לגיטימי
בהתאם לכללים החדשים על בעלי העסקים לעשות שימוש רק במידע שהוא חיוני לפעילות העסק. כמו כן, ישנה דרישה שלמידע זה ייחשפו אך ורק בעלי התפקידים שאחראים באופן אישי לטיפול במידע זה. כמו כן, קיימת דרישה שלבעל העסק יהיה אינטרס לגיטימי לאיסופו של המידע ולשימוש שנעשה בו.
מהן הקנסות הצפויים לאי עמידה בכללי ה- GDPR?
ארגונים המשווקים מוצרים או שירותים לתושבי האיחוד האירופי יכולים להיקנס בסכומים גבוהים ביותר.
הקנס המכסימלי: עומד היום על סך של עד 4% מהמחזור העולמי של העסק או עד 20 מיליון יורו כתוצאה מהפרה של כללים אלו.
הקנס המינמילי: עומד על סך של עד 10 מיליון יורו או 2% מהמחזור העסקי הבינלאומי של העסק לשנת הכספים הקודמת, לפי הגבוה.
כך למשל, ארגון המשווק מוצרים לתושבי האיחוד האירופי באמצעות האינטרנט ואין בידו הסכמה של הלקוחות לעיבוד המידע הפרטי הקשור ללקוחות אלו או חברה שלא מחזיקה במנגנון מסודר של שמירת פרטי המידע חשופה לקנס של עד 2% מהמחזור שלה ואף יותר מכך.
זאת ועוד, במידה ואתם עובדים בשיתופי פעולה עם חברות או ארגונים אירופאים ככל הנראה להתאים את מדיניות הפרטיות ואיסוף המידע על משתמשים לכללים אלו.
איך מתכוננים?
פונים אלינו, אנו מבררים בדיוק האם העסק או החברה שלכם עומדת בתנאים הקבועים בכללי ה-GDPR ומייעצים לכם לגבי השינויים שיש לערוך בכדי להיערך כיאות לכניסתם לתוקף של כללים אלו.
אל תחכו ליום האחרון ! היערכו כבר עכשיו לכניסתם לתוקף של כללים אלו ותוכלו להמשיך ולשווק את המוצרים או השירותים שלכם באיחוד האירופי בעוד שמתחריכם ייאלצו להתעכב על כך.
כללי הגנת הפרטיות החדשים כבר אינם באחריות אנשי הIT בכל חברה. הגנת הפרטיות במידע בהתאם לכללים החדשים הינם כעת באחריות היועצים המשפטיים של כל חברה אשר להם את היכולת, הידע המקצועי, הניסיון והידע המשפטי הרלוונטי להכין כל חברה או עסק לכניסתם לתוקף של הכללים החדשים.
כללי ה- GDPR הינם כללים משפטיים המחייבים ייעוץ של עורך דין הבקיא בכללים אלו ובסיכונים הכרוכים בכניסתם לתוקף של כללים אלו על עסקים וחברות בישראל. עו”ד יוסי סיוון הינו עורך דין המתמחה בתחום האינטרנט והגנת הפרטיות ובעל ניסיון רב בייצוג חברות ועסקים מישראל ומחו”ל בנושאים של הגנת הפרטיות, בעיקר בתחום האינטרנט, אפליקציות, אתרי מסחר אלקטרוני וכו’.
פנו לעו”ד יוסי סיוון, המתמחה בהיערכות לקראת כניסה לתוקף של כללי ה- GDPR