דף הבית > בלוג > החובות שנקבעו במסגרת ה – GDPR

החובות שנקבעו במסגרת ה – GDPR

מה קורה למי שלא מקיים את הרגולציה?

ה-GDPR קובע שורה של סנקציות משמעותיות וחמורות, הכוללת הטלת קנסות שיכולים להגיע ל-20 מיליון יורו או 4% מהמחזור העסקי של הגורם המפר, לפי הגבוה מבניהם.

בנוסף, מי שלא עומד בהוראות ה-GDPR יתקשה לעבוד מול גופים אירופאים שונים, כיוון שאלה מחויבים לוודא כי הספקים עימם הם עובדים אכן עומדים בתקנות הרגולציה.

 

מטרת הרגולציה

הרגולציה נועדה בעיקרון לאפשר לתושבי האיחוד האירופי לשלוט במידע שלהם בצורה טובה יותר, להיות מודעים יותר לפעולות המבוצעות במידע ואופן השמירה שלו ולקבל את הכוח להחליט בעצמם, האם המידע שלהם ייאסף ויישמר ואילו פעולות בדיוק יבוצעו בו.

ה-GDPR מתייחס למעשה לשני היבטים שונים ומקבילים הקשורים במידע האישי :

  • אבטחת מידע (Information Security)  ההגנה על המידע מפני חדירה, גניבה, פריצה ושימוש לא מורשה;
  • פרטיות (Privacy) – אופן השימוש במידע, הפעולות המבוצעות באמצעות המידע ומה בעצם "מותר ואסור" לעשות עם המידע.

 

אז מהן החובות שנקבעו במסגרת ה-GDPR?

על בעל השליטה במידע ומעבד המידע חלה אחריות מוגברת לקיים את תקנות GDPR.

בעל השליטה במידע (Data Controller) – אדם, תאגיד, רשות ממשלתית, סוכנות וכו', אשר שולט בתהליך איסוף ועיבוד המידע. בתהליך נקבע איזה מידע ייאסף, באילו אמצעים ומהי מטרתו הסופית.

מעבד המידע (Data Processor) – גורם משני המספק שירותים לבעל השליטה במידע – אוסף עבורו מידע, מעבד אותו ואף מאחסן את המידע עבורו.

 

מעוניינים לדעת על ההבדלים בין Data Controller ו- Data Processor? לחצו כאן

 

להלן החובות החלות על בעל השליטה במידע ומעבד המידע לקיום תקנות GDPR:

 

קביעת החובה לעבד מידע רק תחת "בסיס חוקי" מוגדר (Lawful Basis)

אם עד היום, ככלל, היה ניתן לשמור מידע לאסוף אותו בצורה חופשית וכמעט ללא מגבלה, ה-GDPR קובע כי עיבוד של מידע חייב להיות תמיד תחת "בסיס חוקי" מתוך הרשימה הקבועה ברגולציה. בסיס שכזה יכול להיות למשל:

  • "חוזה" – המידע נדרש לצורך קיום חוזה עם אותו אדם.
  • "חובה חוקית" – חקיקה המחייבת איסוף של המידע.
  • "הסכמה" – האדם נתן את הסכמתו לאיסוף וכו'.

 

גילוי ושקיפות בכל הקשור לאיסוף המידע

ישנה חובה לגלות לאדם שהמידע שלו נאסף כיצד המידע נאסף, לאיזה צורך, לכמה זמן, ופרטים נוספים המאפשרים לתושבי האיחוד לדעת טוב יותר מה נעשה במידע שלהם.

 

קבלת הסכמה (Consent) טרם איסוף המידע במקרים מסוימים

הרגולציה קובעת לא רק את החובה לקבל הסכמה של האדם טרם עיבוד המידע במקרים מסוימים, אלא אף מגדיר מהי הדרך הנכונה לקבל הסכמה שכזו, כך שההסכמה תהיה מודעת, מפורשת וחופשית.

 

עריכת סקר סיכונים

במקרים מסוימים, נקבעת חובתו של בקר המידע לבצע סקר סיכונים – הליך פנימי במסגרתו נבחן כלל המידע המעובד על ידי הארגון ונבחנות שאלות של אבטחת מידע ופרטיות לצורך ביצוע התאמות והטמעת תהליכים ובקרות שנועדו להבטיח שמירה ושימוש נאותים במידע האישי.

 

חובה לנקוט באמצעים ארגוניים וטכנולוגיים מתאימים

ה- GDPR אינו קובע רשימה סגורה של אמצעים כאלה, אולם קובע שעל גורם המחזיק במידע אישי לנקוט באמצעים ארגוניים וטכנולוגיים "ההולמים את הסיכון" הכרוך במידע האישי הספציפי. כמובן שהגדרה זו מחייבת בחינה של כל מקרה ומקרה בעין משפטית, והחלטה מקצועית לגבי הצעדים הנדרשים באותו מקרה.

 

קביעת זכויות שונות המוענקות לאנשים שמידע שלהם נאסף ומעובד

במסגרת הרגולציה נקבעו שורה של זכויות להן זכאי כל אדם שמידע אישי שלו נאסף ומעובד. זכויות אלו כוללות את הזכות לבקש את מחיקת המידע ("הזכות להישכח"), הזכות לקבל גילוי על המידע, עותק שלו, תיקון והגבלת השימוש בו.

 

הגבלות על העברת מידע לצדדים שלישיים ו/או גורמים מחוץ לתחומי האיחוד האירופי

ה-GDPR קובע שורה של מגבלות ותנאים לביצוע של העברות מידע לצדדים שלישיים. ראשית, קיימת החובה לוודא כי כל גורם אליו מעבירים מידע אישי עומד ומתחייב בעצמו לשורה של הוראות מתוך הרגולציה. שנית, כל העברה של מידע מחוץ לשטחי האיחוד האירופי חייבת להיות מוסדרת תחת אחת מכמה חלופות משפטיות ומגובה במסמכים משפטיים מתאימים.

מלבד חובות אלו קיימות חובות נוספות ופרטניות הנוגעות בין היתר לעיבוד של מידע רגיש (מידע רפואי, מידע גנטי, מידע על קטינים, מידע פלילי וכד'), חובות מפורטות בנוגע לאופן בו יש לציית לתקנות וכן מגבלות ייחודיות לעיבוד מידע בקנה מידה נרחב, באופן המתייחס למאפיינים ייחודיים וסיווג של אנשים בהתאם למאפיינים מוגדרים (Profiling) וקבלת החלטות אוטומטית.

חשוב לציין שקיימות חובות נוספות וכן אופן היישום של החובות השונות משתנה ממקרה למקרה. לכן, מומלץ וחשוב להתייעץ עם גורם מקצועי המבין את המשמעויות המשפטיות השונות של הסיטואציה המסוימת.

 

מעוניינים לדעת עוד על החובות החלות על בעל מאגר מידע? לחצו כאן

 

למאמרים על רגולציית הגנת הפרטיות GDPR לחצו כאן

 

למאמרים על תקנות הגנת הפרטיות לחצו כאן

 

למאמרים על ISO 27001 לחצו כאן

 

להחליט כיצד לבצע פרויקט GDPR זה לא פשוט כלל,

אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!!!

 

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה ברגולציית GDPR!

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00