רגולציית GDPR, או בשם המלא שלה: General Data Protection Regulation היא רגולציית הגנת הפרטיות האירופאית אשר נכנסה לתוקף בחודש מאי בשנת 2018. הרגולציה המדוברת מכילה הוראות מחייבות על גופים שונים אשר אוספים וכן מעבדים מידע אישי שמצוי ברשת, אודות אזרחי האיחוד האירופאי וזאת בכל הנוגע לנושאי אבטחת מידע ופרטיות. המטרה היא למעשה להגן על האזרחים הללו מפני עיבוד וחשיפה של המידע האישי שלהם וכן להעניק להם את השליטה והיכולת לבחור בכל הנוגע להחזרת השליטה למידע האישי שלהם אשר חשוף ברשת הדיגיטלית. ישנם ארגונים שונים המחויבים ברגולציה הזאת ועל כן, אם גם אצלכם בארגון מחויבים בה, חשוב שתבחרו בחברה מקצועית שתסייע לכם לעשות זאת בצורה הטובה ביותר.
מה צריך לדעת על GDPR?
מידע אישי מוגדר כמידע אשר נוגע לכל אדם פרטי שאיננו תאגיד, כאשר המידע המדובר מאפשר לזהות את האדם. בין המידע המדובר ניתן למצוא מספר מזהה של האדם, מידע על המיקום שלו או מידע על מאפיין פיזי שלו לרבות מידע כלכלי, גנטי או חברתי ותרבותי. במסגרת רגולציית GDPR המחוקק האירופאי הבהיר באופן חד משמעי כי ההגדרה למידע אישי היא רחבה יותר והיא מתייחסת לפרטים נוספים של האדם לרבות מספר הטלפון שלו, כתובת המייל שלו ועוד. מעבר לכך הרגולציה המדוברת חלה גם בנסיבות מסוימות הנוגעות למזהים דיגיטליים כגון: קבצי קוקי, כתובת ID ועוד.
בהתאם לרגולציה זאת, יש לא מעט כללים מחמירים המוטלים על בעלי מאגרי מידע וכן צדדים שלישיים שמעבדים עבור בעלי מאגרי מידע, את המידע של תושבי האיחוד האירופאי.
ההבדלים בין מחזיקי מאגר מידע לבעלי מאגר מידע
אם יש עסק שמצוי מחוץ לאיחוד האירופאי אשר עוסק באיסוף ועיבוד מידע אישי על תושבי האיחוד, הרי שהוא יידרש למנות נציג רשמי מטעמו באחת ממדינות האיחוד האירופאי אשר יהיה מיופה כוח ויעניק להם ייצוג מול הרגולטורים להגנת הפרטיות באירופה.
תקנות GDPR חלות כל על אדם או גוף שיש לו שליטה על מידע וכן הוא עוסק בעיבוד מידע המצוי בגבולות האיחוד האירופאי. בעל השליטה במידע הקרוי גם: Data controller, הוא גורם שקובע את המטרות של עיבוד המידע וכן מעמיד את כל האמצעים הרלוונטיים לצורך איסוף ועיבוד המידע. מעבד המידע הקרוי גם: Processor, הוא למעשה גורם משני שמספק שירותים לבקר המידע. כלומר, הוא אוסף עבורו מידע ומעבד אותו או שהוא פשוט מאחסן אותו עבור בעל השליטה במידע. תקנות GDPR יחולו על שניהם וכן הם יחולו על כל בעל שליטה ועל כל מעבד מידע שהעסק שלו מצוי בגבולות האיחוד האירופאי במידה והעסק נושא מידע על תושבי האיחוד האירופאי בשל שיווק ומכירה של מוצרים או שירותים לתושבים הללו או בשל העובדה שהוא עוקב אחר התנהגות משתמש אירופאי באפליקציה או באתר.
באיזה מקרים תקנות GDPR לא יחולו?
המקרים שבהם התקנות הללו לא יחולו הם: אם השימוש במידע האישי הוא לצרכים אישיים בלבד, אם השימוש במידע זה הוא לצורך מניעה של עבירות פליליות או לצורך חקירה, או אם השימוש במידע האישי הוא לצורך ביטחון לאומי.
כל גורם ישראלי אשר משווק את המוצרים שלו באיחוד האירופאי או לחילופין מספק שירותים הקשורים במידע אישי של תושבים באיחוד האירופאי יהיה כפוף לרגולציה המדוברת. כמו כן, הרגולציה קובעת את החובה של כל בקר מידע לוודא כי כל העברה של מידע אישי מצד הגורם כפופה לכך שהגורם שאליו מעבירים את המידע פועל בהתאם לדרישות הרגולציה. לכן, בין אם אתם בקרים של מידע מעין זה ובין אם אתם אוספים מידע מעין זה עבור אחרים, חשוב לבצע באופן מקצועי הליך פנים ארגוני עם יועצים מקצועיים שיסייעו לכם הן בפן של אבטחת המידע והן בפן המקצועי. אם אתם מחפשים יועצים מקצועיים שיסייעו לכם בתחום זה בצורה הטובה ביותר, כדאי שתכירו את חברת Hermeticon.
