דף הבית > בלוג > GDPR – רגולציית הגנת הפרטיות האירופאית – כל מה שצריך לדעת

GDPR – רגולציית הגנת הפרטיות האירופאית – כל מה שצריך לדעת

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

אז מה זה GDPR בעצם?

רגולציית GDPR, או בשמה המלא, General Data Protection Regulation הנה רגולציית הגנת הפרטיות האירופית שנכנסה לתוקף במאי 2018.

הרגולציה מכילה הוראות מחייבות על גופים שונים האוספים ומעבדים מידע המצוי ברשת אודות אזרחי האיחוד האירופי בכל נושאי פרטיות ואבטחת המידע.

מטרת הרגולציה להגן על האזרחים בכל הקשור לעיבוד וחשיפת המידע האישי הקשור לזהותם והחזרת השליטה ואפשרות הבחירה בכל הנוגע למידע האישי שחשוף ברשת הדיגיטלית.

 

מה זה "מידע אישי"?

מידע אישי מידע הנוגע לאדם פרטי (שאינו תאגיד), כגון: שם, מספר מזהה, מידע על מיקום, או למאפיין פיזי, כגון: מידע גנטי, כלכלי ואף מזהה תרבותי – חברתי.

בהתאם ל-GDPR, "מידע אישי" מוגדר כמידע המאפשר זיהוי של אדם מסוים. עם זאת, במסגרת הרגולציה ובמסמכים הנלווים לה המחוקק האירופי הבהיר כי ההגדרה רחבה ביותר ומתייחסת גם לכתובת מייל ומספר טלפון גם אם אין שום פרט נוסף עליהם.

הרגולציה מחוקקת כללים מחמירים על בעלי מאגר מידע (Controllers)  ומחזיקי מאגר מידע  (Processors) של תושבי האיחוד האירופי. במידה ויש עסקים שמקום מושבם מחוץ לאיחוד האירופי האוספים ומעבדים מידע אישי על תושבי האיחוד, יידרשו העסקים למנות נציג רשמי מטעמם באחת ממדינות האיחוד האירופי שיהיה מיופה כוח וייצג אותם מול הרגולטורים להגנת פרטיות באירופה.

 

 על מי חלות תקנות GDPR?

תקנות GDPR חלות על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו נמצא בגבולות האיחוד האירופי.

  • בעל השליטה במידע (Data controller) – הגורם אשר קובע את מטרות עיבוד המידע ומעמיד את האמצעים לשם האיסוף והעיבוד, או במילים פשוטות יותר – מי שיוזם ומבקש את איסוף ועיבוד המידע. בדרך כלל במסגרת ולצורכי הפעילות העסקית שלו.
  • מעבד המידע (Processor) –  גורם משני המספק שירותים לבקר המידע – אוסף עבורו מידע, מעבד אותו או אפילו רק מאחסן אותו עבור בעל השליטה במידע.

בנוסף, התקנות יחולו גם על כל בעל שליטה במידע ומעבד מידע אשר העסק שלו אינו נמצא בגבולות האיחוד האירופי במידה ו:

  1. העסק נושא מידע על תושבי האיחוד האירופי, זאת בעקבות שיווק ומכירת שירותים/מוצרים לתושבי האיחוד.
  2. העסק עוקב אחר התנהגות המשתמש האירופאי באתר/באפליקציה.

 

תקנות GDPR לא חלות במידה ו:

  1. השימוש במידע אישי הינו לצרכים אישיים בלבד.
  2. השימוש במידע אישי הינו לצורכי חקירה ומניעת עבירות פליליות.
  3. השימוש במידע אישי הינו לצורכי ביטחון לאומי.

 

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

מהן הזכויות של מי שפרטיו שמורים במאגר המידע?

רגולציית GDPR מבקשת להעניק לכל אזרח מהאיחוד האירופי שהמידע האישי שלו שמור במאגר, את הזכויות הבאות:

  • על העסק לידע את האזרח במידה ואסף מידע אישי אודותיו. במידה ואסף, על העסק לספק מידע שלם וברור על המידע האישי שנאסף/נחשף על ידו.
  • על העסק לספק עותק מהמידע המיוחס לאזרח בצורה נגישה ומהירה.
  • על העסק לאפשר את העברת המידע האישי של האזרח לספק שירות אחר. המידע האישי יועבר בצורה נגישה ומהירה.
  • על העסק לתקן את המידע האישי של האזרח במידה ואינו עדכני או שגוי ולוודא שעודכן גם אצל צד שלישי.
  • במידה והמידע אינו רלוונטי, או כאשר ההסכמה על ידי הפרט השתנתה, יש למחוק את המידע על הפרט.

 

אז למה רגולציה אירופאית משנה לי כאן בישראל?

ראשית, מבחינה משפטית ה GDPR – חלה בצורה ישירה על כל גורם שמעבד, מאחסן ומשתמש במידע של אזרחים אירופאים, גם אם אינו פועל מתוך שטחי האיחוד. ולכן, כל גורם ישראלי המשווק את המוצרים שלו באיחוד האירופי או מספק שירותים הקשורים במידע אישי של אזרחי האיחוד האירופי (ואפילו כמעבד מידע), כפוף למעשה לרגולציה.

בנוסף, הרגולציה קובעת את חובתו של כל בקר מידע לוודא כי כל העברה של מידע אישי מצדו, מבוצעת בכפוף לכך שהגורם אליו הוא מעביר את המידע (בדרך כלל מעבד המידע) פועל בהתאם לרגולציה ומציית לדרישות השונות החלות עליו. מצב זה יוצר בעצם "שרשרת" של התחייבויות בין גורמים עסקיים אירופים ובין גורמים עסקיים שונים בישראל, הנדרשים לעמוד גם הם בהוראות ה-GDPR.

 

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

אז מה בעצם עושים?

בין אם אתה בקר של מידע (Controller) ובין אם אתה מעבד מידע עבור אחרים (Processor), יש לבצע הליך פנים ארגוני במסגרתו יועצים מקצועיים, הן בפן המשפטי והן בפן של אבטחת מידע. בוחנים את הארגון: בחינת מצב קיים, צרכים ומגבלות ומתאימים את הפתרון המיטבי והאידאלי לסיטואציה. פתרון שכזה מורכב בדרך כלל משילוב בין אמצעים משפטיים וחוזיים, אמצעים ארגוניים (לדוגמה נהלים ומדיניות חברה) ואמצעים טכנולוגיים, שתכליתם להבטיח עבודה נכונה בהתאם לרגולציה. לאחר אפיון הפתרון, יש להטמיע את הנדרש: הכנת ניירת משפטית מותאמת, הסדרת הפעילות מול ספקים וצדדים שלישיים, קביעת בקרות פנים ארגוניות, כתיבה והטמעה של נהלים וביצוע הדרכות לפי הצורך.

הקמת פרויקט מקיף, אשר נותן מענה לכל הדרישות הקבועות ב-GDPR. הפרויקט חייב להתחיל במיפוי ארגוני וטכנולוגי לצורך איתור נקודות החשיפה והחולשות של הארגון אל מול התקנות והקמת תכנית עבודה הכוללת היבטים של ארגון ושיטות, אבטחת מידע וייעוץ משפטי. יש לבצע הליך ארגוני מקיף המשלב בין צדדים משפטיים, ארגוניים וטכנולוגיים בהתאם לצרכיו הספציפיים של הארגון והחשיפות הנובעות מפעילותו.

נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.

 

להחליט כיצד לבצע פרויקט GDPR זה לא פשוט כלל,

אבל להתקשר אלינו לקבלת מידע זה פשוט וקל!!!

 

לקבלת מידע טלפוני אודות רגולציית GDPR – לחצו כאן או התקשרו ל- 03-9550222

 

יובהר כי השימוש במידע המפורסם באתר, לרבות כל כתבה ו/או סקירה ו/או תיאור מקצועי, הינו באחריות המשתמש בלבד ובשום מקרה אינו מהווה תחליף לייעוץ מקצועי הנדרש לגופו של עניין.

 

מעוניין לגלות מדוע כדאי לך לעמוד בהוראות ה-GDPR? – לחץ כאן

 

למאמרים על רגולציית הגנת הפרטיות GDPR לחצו כאן

 

למאמרים על תקנות הגנת הפרטיות לחצו כאן

 

למאמרים על ISO 27001 לחצו כאן

כותב המאמר:

צרו איתנו קשר לקבלת מידע ללא התחייבות לעמידה ברגולציית GDPR

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00