אז מה זה GDPR?
אלו הם ראשי תיבות של General Data Protection Regulations.
מדובר ברגולציית הגנת הפרטיות האירופית שנכנסה לתוקף במאי 2018. זוהי למעשה חקיקה אירופית מרחיבה אשר עשויה בעתיד לחול על עסקים ישראלים רבים. מטרתה להגן על האזרחים בכל הקשור לעיבוד וחשיפת המידע האישי הקשור לזהותם, והחזרת השליטה ואפשרות הבחירה בכל הנוגע למידע האישי שחשוף ברשת הדיגיטלית לידי האדם נשוא המידע.
תקנות הגנת הפרטיות (אבטחת מידע) נכנסו בסמיכות לתקנות האירופאיות GDPR ונועדו לייעל את הממשק העסקי אל מול לקוחות האיחוד האירופי והאופן שבו שומרים על פרטיות אזרחי האיחוד. כתוצאה מכניסתן של התקנות, ישנה קפיצת מדרגה ברמת אבטחת המידע האישי בישראל. התקנות מסדירות את מעבר המידע האישי גם מעבר למדינות האיחוד האירופי.
אז על מי בעצם חלות התקנות ?
התקנות חלות על כל מי שהוא בעלים של מאגר מידע כלשהו, מנהל מאגר מידע כלשהו, או מחזיק במאגר מידע מכל סוג שהוא. מטרת התקנות היא להגן על אזרחים שהמידע האישי אודותיהם קיים במאגר מידע.
תקנות אלה מאלצות את בעלי החברות, העסקים ומאגרי המידע הנזכרים לעיל לבחון את השפעת החקיקה החדשה בישראל ובאירופה על העסק שלהם. מדובר באחריות אישית של מנהלי החברות והדירקטורים לוודא שהנושא נבחן ומטופל בצורה נכונה ולוודא שבמידה ונדרשת התאמה היא תחול.
תקנות ה GDRP קובעות כי יש לשקול שיקולי פרטיות והגנת מידע כבר משלב תכנון העסק, הווי אומר ששיקולים אלה אמורים להיות בליבם של תהליכי הארגון והפיתוח, כבר מהשלבים הראשוניים. במסגרת הרגולציה נקבע מתווה לפיו בעתיד, יפורסמו כללים מנחים שיאפשרו לגופים כדוגמת מכון התקנים (ISO) ודומיהם, לבצע מבדקי הסמכה אובייקטיביים ורשמיים, ולהעניק תעודה מסודרת.
ומה קורה עם הרגולציה הישראלית?
בישראל קיים חוק הגנת הפרטיות כבר משנת 1981. במסגרתו, ובמסגרת תיקונים, רפורמות, חוות דעת והנחיות שונות של רשות הגנת הפרטיות, נקבעה כבר בעבר קבוצת כללים המתייחסת להיבטים שונים של עיבוד מידע, רישום וניהול מאגרי מידע, זכויות הקשורות במידע (זכות עיון והזכות להישכח) ועוד שורה של חובות והנחיות שונות.
בנוסף, קיימים בארץ הסדרים חוקיים אחרים המשפיעים וקשורים לשאלות של פרטיות ושימוש במידע, כמו למשל התיקון לחוק הבזק "חוק הספאם" הקובע כללים לעניין שליחת הודעות שיווקיות.
כמו כן, במאי 2018 פורסמו גם תקנות הגנת הפרטיות הישראליות (אבטחת מידע), התשע"ז-2017, הקובעות שורה של הסדרים מחייבים הקשורים בעיקר לאבטחת מאגרי מידע. הסדרים אלו חלים כמובן על כל גורם ישראלי.
במסגרת ההסדרה של נושא ה- GDPR, רצוי וכדאי לתת את הדעת גם על ההיבטים הכרוכים בחוק הישראלי ולבצע גם אותם, על מנת להימנע מחשיפות מיותרות ועבודה מיותרת.
Comments