מה הן תקנות ה-GDPR ואיך הן קשורות אלינו?

מה הן תקנות ה-GDPR?

גם אתם שומעים סביבכם את רצף האותיות GDPR ולא ממש מבינים על מה מדובר? זה בסדר, אתם לא לבד.

תחשבו כמה פעמים קיבלתם SMS ממפרסם שבכלל לא נתתם לו את המספר שלכם? או שעברתם לקופת חולים אחרת, אבל כל המידע הרפואי שלכם לא נמחק מהקופה הקודמת? או שהייתם רוצים לדעת מהו כל המידע שיש לגוגל עליכם? את כל הבעיות הללו ועוד רבות אחרות, תקנות ה-  GDRP מסדירות.

האיחוד האירופי החליט, שהגיע הזמן להקשיח את התקנות הנוגעות לשמירה ואחסון של מידע אישי ורגיש על ידי גורמים מסחריים ולכן הוציא תקנות חדשות שמטרתן שמירה על פרטיות אזרחי האיחוד האירופי. ה- GDPR, או- General Data Protection Regulation הן תקנות שמשמעותן היא החזרת השליטה לידי האזרח בכל הנוגע למידע האישי שלו. לעניין זה חשיבות עצומה לאזרח הפרטי וגם לארגונים עסקיים.

למעשה מדובר בחוק הכי מקיף ומתקדם שנכתב אי פעם בנוגע להגנת הפרטיות של האזרחים. זהו דבר עצום בחשיבותו ואסור להקל ראש בעניין.

למה אכפת לנו מהתקנות החדשות של ה- GDPR? אנחנו לא חלק מהאיחוד האירופי

התפיסה הרווחת היא שהחוק מתייחס אך ורק לחברות הפועלות במדינות החברות באיחוד האירופי, ולכן התקנות אינן רלוונטיות עבור חברות ישראליות. זוהי תפיסה שגויה. החוק מתייחס לאזרחים החברים באיחוד האירופי ולכן כל חברה וגורם מסחרי, בין אם הם ממוקמים באירופה או במקום אחר, ושומרים מידע (Data) על אזרחים אירופאים, מחויבים לעמוד בתקנות ה- GDPR.
כל עוד לקוחות החברה הם אזרחי האיחוד האירופי, על החברה לעמוד בתקנות הללו ללא קשר למיקומה הגיאוגרפי.

החל מה-25 במאי, כל חברה ישראלית שלא תוכל להוכיח שהיא עומדת בתקנות הללו מסתכנת בהטלת קנסות עד לגובה של 4% מהמחזור השנתי, או 20,000,000 מליון אירו, הגבוה מבין השניים.

על מה מדברות תקנות ה- GDPR החדשות?

להלן מספר דוגמאות לחוק:

המידע האישי שלי הוא רק שלי – חלק מהתקנות החדשות מתייחסות לחשיבות השמירה על המידע האישי של האזרח / לקוח על ידי שימוש באמצעי אבטחה מתקדמים. מידע אישי, הוא כל מידע אשר בעזרתו ניתן לזהות את הפרט. מידע אישי עשוי להיות: שם פרטי ושם משפחה, פרטי חשבון בנק, כתובת, מידע רפואי, תמונות וסירטונים, כתובת אימייל אישית ועוד הוא מידע אישי.

היה נחמד, אבל אל תתקשרו אלי יותר – הזכות להישכח. במידה והלקוח מעוניין בכך, חברה המחזיקה בפרטיו האישיים של לקוח, תיאלץ למחוק אותם ממאגר הנתונים שלה, גם אם מדובר במידע שקיים אצלה במשך שנים וגם אם התהליך מאוד מורכב.

הקץ לאותיות הקטנות – הזכות להסכמה. בכל חוזה בין ארגון ללקוח חייב להיכתב בשפה ברורה ופשוטה שקל להבינה שהאדם מסכים לעיבוד של נתוניו האישיים. בנוסף, צריך להיות כתוב בהסכם לשם איזו מטרה החברה צריכה לעבד את המידע האישי.

אני רוצה לדעת הכל! הזכות לייצא ולנייד נתונים. לקוח יוכל לבקש מארגון את כל הנתונים שיש לו עליו. על הארגון למלא בקשה זו ולספק קובץ בפורמט קריא וברור. בנוסף, הלקוח יוכל להעביר את הנתונים הללו לגורם אחר.

גנבו לי את המידע! במידה ופרצו לארגון ונגנב מידע אישי של לקוח, על הארגון לדווח על כך תוך מקסימום 72 שעות.

לסיכום, בחודשים האחרונים פגשתי לא מעט מנהלי משאבי אנוש, רגולציה, סיכונים והדרכה, שמבינים שהארגון שלהם צריך להתאים את עצמו לתקנות ה-GDPR, לפני שיהיה מאוחר מדי. איפיון מפורט של תהליכי העבודה מאפשר להתאים את עצמנו במהירות גדולה יותר לתקנות החדשות. אימוץ של טכנולוגיות שונות בשילוב עם הגברת המודעות לחובות העובדים מצמצמים בצורה ניכרת את האפשרות לזליגת מידע שתוביל לקנס מהאיחוד.

ייתכן והתקנות החדשות של ה-GDPR יהוו מעמסה גדולה עבור ארגונים, מבחינת שינוי דפוס ההתנהגות והסתגלות למצב החדש. עם זאת, אם נעצור רגע ונחזור למטרת התקנות החדשות, נזכר במטרה החשובה והיא שהאזרח יהיה בשליטה על המידע שלו בעצמו והפרטיות שלו תישמר. אני מאמינה שה- GDPR הוא רק ההתחלה של שינוי גלובאלי שיקרה בעתיד בנוגע לשמירה על פרטיות של מידע ואולי מדינות נוספות יאמצו לעצמן את הכללים והתקנות החשובות הללו. כך או כך, יש עוד כחודשיים להתכונן לשינוי וכדאי לעשות זאת כבר עכשיו, ולא לחכות לרגע האחרון ולחשוב שיהיה בסדר.