יעוץ מיידי
ּ

תקנות ה-GDPR

אז מהן בעצם תקנות ה-GDPR?

ה- General Data Protection Regulation (או בקצרה GDPR) מהווה חקיקה של האיחוד האירופי בתחום הגנת המידע ונוגעת למסדי נתונים. התקנות חלות על כל בעל שליטה או מעבד מידע (חברה או עסק, קטן או גדול) אשר פעילותו כוללת את הניטור וההתנהגות של נושאי מידע (אנשים) ובלבד שהיא פונה לאזרחי האיחוד האירופי או מתרחשת בו.

במסגרת התקנות, נקבע כי הערכאות המשפטיות המתאימות של האיחוד האירופי יוכלו להטיל קנסות בשיעור של 20,000,000 אירו או 4% מהמחזור (הגבוה מבינם) גם על חברות שאינן פועלות באירופה, אך כאמור הן מנטרות נושאי מידע באירופה.

אומנם, התקנות חלות על כל מדינות האיחוד האירופי אך הן אינן נוגעות לשימוש במידע לצרכים אישיים, ביטחון ופלילים.

ראוי לציין שמסגרת התקנות האירופית בתחום הגנת המידע היא מורכבת מאד ומאמר זה מנסה להציג רק את עיקרי הדברים ומהווה, הלכה למעשה, רק את "קצה הקרחון".

העקרונות שקבעו המחוקקים האירופאים לתקנות קובעים את הדברים הבאים:

  • נדרשת חוקיות, הוגנות ושקיפות בעיבוד מידע אישי של אנשים באיחוד האירופי – על פי חוק או הסכם או אינטרס חיובי כשלא ניתן לקבל הסכמה / אינטרס ציבורי.
  • נדרש שהמידע שנאסף על ידי בעל שליטה ייאסף בהתאם למטרות מוגדרות ולגיטימיות.
  • נדרש שהיקף המידע שנאסף יהיה הולם, רלוונטי ובהתאם לצורך.
  • נדרש שהמידע הנאסף יהיה נכון ומדויק.
  • נדרש שהמידע שנאסף יישמר לתקופת הזמן הדרושה בלבד, לשם מטרותיו ושלאחר מכן הוא יימחק.
  • נדרש שהמידע יהיה מאובטח ושלם.
  • על כל ארגון רלוונטי חלה החובה להיות בעל יכולת להוכיח כי הוא עומד בתקנות.
  • על כל ארגון רלוונטי לשרשר את הדרישות של התקנות גם למנהלים, לעובדים, לספקים ולקבלני משנה.

במידה והמידע שנאסף על ידי בעל המידע נאסף על בסיס הסכמה של נושא המידע קובעות תקנות ה-GDPR כי:

  • ההסכמה נדרשת להיות חד משמעית, חיובית ואקטיבית (הסכם / הצהרה בעל פה / תיבת סימון באתר אינטרנט).
  • הסכמה נדרשת להיות ניתנת לביטול.
  • במסגרת ההסכמה נדרש להגדיר מה בדיוק המידע שנאסף ולשם איזו מטרה.
  • ההסכמה נדרשת להיות ברורה.
  • באופן כללי, נדרשת הסכמת הורים לעיבוד מידע על צעירים מתחת לגיל 16.

אז מה נדרש לעשות?

  • בודקים התאמה של פעילות הארגון לעקרונות של התקנות.
  • מעדכנים מסמכי מדיניות ופרטיות.
  • מעדכנים הודעות לנושאי מידע.
  • נערכים לאפשרות שנושא מידע יבקש מידע – איך מעבירים ואיך לא חושפים סודות מסחריים.
  • מגדירים מדיניות ומוחקים מידע לא דרוש.
  • נערכים להראות שעיבוד המידע נעשה בהתאם לתקנות.
  • בודקים התקשרויות עם ספקים (ענן, מעבדי מידע וכו') ולקוחות.
  • מוודאים את אבטחת המידע בארגון.

סיכומו של דבר

אם מורכבות ה- GDPR לא הומחשה עד עתה הרי שראוי לציין שיש לבחון, בהתאם לדרישות התקנות, גם נושאים נוספים כמו: הקמת נציגות באירופה, אופן תיעוד עיבוד מידע, תקינות נוהל אבטחה, אופן ווידוא תקינות ושלמות מידע, אופן דיווח על פריצה ועוד. משרד עו"ד אבריאן סיון ושות' יוכל לסייע רבות במורה נבוכים זה על רקע ניסיונו הייחודי בתחום ובהיותו מתבסס על עו"ד בעלי הכשרה ורקע הנדסי בתחום מסדי הנתונים ומערכות המידע.

***מאמר זה מוגן בהתאם לדיני הקניין הרוחני וזכויות יוצרים. המאמר מובא כשירות לציבור ואין לראות בו תחליף לייעוץ משפטי פרטני***

למעלה

השאר פרטים וניצור עימך קשר בהקדם

ּ