כולם מדברים על תקנות ההגנה האירופאיות GDPR  אך לא תמיד ברור מה צריך לעשות ועל מי הן חלות. התקנות יייכנסו לתוקפן ב25/5/2018 וכדאי להיות מוכנים. הנה מידע רלוונטי שיכול לעזור לכם להתכונן בזמן.

על מי חלות תקנות ה-GDPR?

התקנות חלות על כל עסק שמחזיק ומעבד מידע אודות תושבים באחת ממדינות האיחוד האירופי או על פעולת עיבוד המבוצעת בתחומים הטריטוריאליים של האיחוד האירופי.

אם למשל אתם מפתחי אפליקציה שהעליתם לגוגל סטור או לחנות אפל וחלק מהמורידים יהיו תושבי אירופה, קיים סיכון שגם אתם תהיו תחת רגולציית הgdpr.

אם אתם סולקים באתר שלכם ומקבלים כרטיסי אשראי בינלאומיים של תושבי אירופה, גם במקרה זה- תגלו שחברות הכרטיסים מחייבות לעמוד ברגולציית הgdpr .

מהפכת הפרטיות והשפעותיה

GDPR והקשר הישראלי – כיצד מהפכת הפרטיות האירופאית תשפיע גם עלינו?

 

אילו סוגי מידע נכללים בתקנות GDPR?

תקנות הgdpr  מתייחסות למידע אודות מיקום, מידע אודות מאפייני מכשירים, כתובות IP, התנהלות, מידע המשותף ברשתות חברתיות, מידע על ילדים וכדומה.

סוגי עסקים שהרגולציה תחול עליהם

כאמור, תקנות הgdpr , או בשמם השני, gdpr compliance, חלות על כל עסק (כולל עסק הנמצא בגבולות ישראל) המעבד מידע.

 

מתי התקנות לא חלות?
GDPR לא חל כאשר קיים שימוש במידע אישי לצרכים אישיים בלבד, שימוש במידע אישי לצורכי חקירה (בכללם מניעת עבירות פליליות) ושימוש במידע אישי לצורכי ביטחון שונים.

 

עסקים רבים נוטים לחשוב כי הרגולציה לא תחול עליהם אך הדבר אינו מדוייק.

לכאורה נראה כאילו GDPR ישראל לא ישפיע על עסקים ישראליים משום שהם לא נמצאים באירופה, אך גם עסקים אונליין וגם עסקים אופליין רבים עובדים עם מאגר לקוחות נרחב ולכל ישראלי שלישי יש תעודת זהות אירופאית, לכן הסבירות שתקן GDPR  יחול עליהם היא יותר מגבוהה.

 

שיווק דיגיטלי –  אנשי שיווק דיגיטלי (online marketing) קצת מבולבלים ובצדק. בשל מורכבות ונפח המידע שנמצא בידיהם הם נדרשים ליתר תשומת לב כשאר מדובר בתקנות החוק האירופאי להגנת המידע. רבים מהאתרים מחוברים למערכת גוגל אנליטיקס וברגע שיש גולשים שמגיעים אל אתרכם ממדינות האיחוד האירופאי – אתם חשופים לתקנות.

 

גוגל אנליטיקס הודיעה שהחל מה25/5/2018 תצטרכו לקבוע במשך כמה זמן לשמור את הנתונים על המשתמשים לפני שהם ימחקו באופן אוטומטי. זאת אומרת שגוגל נותנת לכם את היכולת לשלוט בכך ומכאן שהאחריות לאיסוף המידע אודות המשתמשים היא משותפת, לכם ולגוגל כאחד. האפשרויות שעומדות לרשותכם באשר לזמן שמירת הנתונים ינועו בין 14 ל-50 חודשים, עם אפשרות נוספת שלא לשמור את הנתונים כלל. אחרי פרק הזמן הנבחר הנתונים יימחקו.
עוד כלי של משווקים דיגיטליים רבים הוא דיוור ישיר.

 

במקרה זה, תקן  GDPR דורש הסכמה אקטיבית של המשתמש לכך שהוא מוכן למסור את המידע האישי שלו ומרשה לעשות בו שימוש תוך כדי שימוש במערכת הניוזלטר. נוסח ההסכמה צריך להיות ספציפי, מפורט, ברור למשתמש, בעל הצהרה אקטיבית לפעולה וברוח החוק. הסכמה פאסיבית שבה משבצות הבחירה נבחרה מראש – לא תהווה הסכמה נאותה לצורך החוק ותהווה הפרה של התקנות. שימו לב להוריד את משבצת הבחירה מראש וכך תוכלו להפחית את הסיכון להפרה.

 

תקנות GDPR

ציות לתקנות GDPR מחייבות הבנה של עקרונות ההגנה על הפרטיות

 


בנקים-
בנקים ידועים בנפח גבוהה מאוד של מידע שנאסף והופך למצע של שירות שיווקי מסחרי.

הנחת העבודה היא שכמעט כל ישראלי (או לשם ההיגיון- כל ישראלי שלישי) הוא בעל אזרחות אירופאית ומעבר לזה, לבנקים רבים יש סניפים המשרתים ומיועדים ללקוחות בחו”ל וחלקם הגדול הוא ממדינות אירופה, לכן תקנות GDPR  רלוונטיות מאוד גם פה.


חברות ביטוח –
עיקרון ההסכמה בא לידי ביטוי גם פה. תקן ה-GDPR מחייבות לבסס כל איסוף מידע פרטי על הצדקה חוקית. הדרך הטובה ביותר להצדיק איסוף מידע פרטי היא אכן הסכמת נשוא המידע, אולם ההסכמה צריכה להיות נפרדת וספציפית לסוג האיסוף. כאשר הבקשה לאיסוף מידע היא מובנת וברורה גם למשתמש, קל יותר להשיג את הסכמתו.

 

חברות אשראי – חברות האשראי מחזיקות במידע כלכלי רגיש בעל נפח עצום ועובדות מול תושבי המדינה, תושבי חוץ, לעיתים תיירים – אשר חלקם הגדול מחזיק באזרחות אירופאית.

 

מרפאות – אין צורך להדגיש עד כמה המידע שמרפאות ושירותי בריאות שונים רגיש ובעל חשיבות.
זכויות הפרט מקבלות משנה תוקף במקרה זה. אחת מהזכויות העיקריות עליהן מרחיב מסמך הgdpr היא זכות הגישה למידע: זכותו של הפרט לקבל לידיו עותק מהמידע המתייחס אליו, מהר וללא תשלום, באופן קריא, ברור ונגיש. כמו כן, הזכות להעברת המידע לאחרים מגולמת גם היא בתקנות הפרטיות האירופאיות GDPR. האירגון מחוייב ליידע את הפרט במקרה של העברת המידע למקור אחר.

 

כמו כן, ניתן להתייחס לענפים כגון מלונאות, הייטק, אינטרנט בכלליותו ועוד כאשר מדובר על תקנות הgdpr.

 

לסיכום, ציות לתקנות GDPR  מחייבות הבנה של עקרונות ההגנה על הפרטיות והן יכולות לחול בצורה חלקית או מלאה על אירגון זה או אחר. יש לקחת בחשבון כי כל עסק פועל בצורה שונה וחוקים החלים על אירגון אחד לאו דווקא יחולו גם על אירגון אחר. גורם משפטי כגון עורך דין gdpr מוסמך יכול לספק מידע ספציפי עבורכם.

 

מאמר זה מהווה סקירה כללית, הוא אינו מלא ואינו מחליף יעוץ משפטי ואין להסתמך עליו בכל מקרה של שאלה ספציפית ביחס למאגר שלכם.

 

סקירה זו נכתבה על ידי עו”ד מיכאל גילינסקי מחברת אודיט בקרה וביקורת

 

 

 

X
זירת ההשוואות חיסכו עכשיו >