תקנות GDPR – שומרים על המידע האישי שלך
בשנה האחרונה אתם שומעים לא מעט סביבכם את רצף האותיות GDPR . אם אתם עדיין לא מבינים במה מדובר, זה בסדר, אתם לא לבד.
לפי שאתם שואלים את עצמכם מה זה GDPR , תשאלו את עצמכם כמה פעמים קיבלתם השנה הודעות SMS ממפרסם לא מוכר? מייל ספונטני מבית עסק שלא יצרתם איתו קשר, או שראיתם פרסומות אתרי הרשת וברשתות החברתיות ממוקדות למוצרים ש"עשויים לעניין אתכם"?
למשל: תעמולת בחירות 2019 קיבלתם? הלוואת אשראי? השקעות במניות ? עברתם לקופת חולים אחרת וכל המידע הרפואי נשמר בקופה הקודמת ולא נמחק?
או שהדבר שהכי הייתם רוצים לדעת היום, איזה מידע משתמשות "מפלצות" העולם הדיגיטלי – גוגל ופייסבוק לטובת האינטרסים המסחריים שלהם. את כל הבעיות הללו ועוד רבות אחרות, תקנות ה- GDRP מסדירות.
מה זה GDPR ואיך זה מתקשר אלינו?
ה- GDPR, או- General Data Protection Regulation הן תקנות שמשמעותן היא החזרת השליטה לידי האזרח בכל הנוגע למידע האישי שלו. לעניין זה חשיבות עצומה לאזרח הפרטי וגם לארגונים עסקיים. האיחוד האירופי החליט, שהגיע הזמן להקשיח את התקנות הנוגעות לשמירה ואחסון של מידע אישי ורגיש על ידי גורמים מסחריים ולכן הוציא תקנות חדשות שמטרתן שמירה על פרטיות אזרחי האיחוד האירופי.
בתאריך ה-25 במאי 2018, תקנה חדשה של האיחוד האירופי להגנה על הפרטיות – GDPR (כללי הגנה על נתונים תקנה) נכנסה לתוקף. התמ"ג עוסק בהגנה על נושאי נתונים ועל זכויותיהם.
ה- GDPR חל באופן יעיל על כל ארגון הפועל באיחוד האירופי, מעבד מידע באיחוד האירופי, או מעבד מידע של אזרחי האיחוד האירופי.
ההוראה מגדירה מידע אישי כ"מידע הנוגע לאדם פרטי המאפשר זיהוי של אותו אדם, במישרין או בעקיפין, כגון: שמות, מספרי זהות, כתובות, וכן מזהים חברתיים וכלכליים אחרים ".
עד כה, היינו רגילים לכך שכל המידע שנאסף בארגון שייך לארגון הזכאי להשתמש בו כרצונו. לאחר כניסתו לתוקף של התוצר המקומי הגולמי, המידע האישי יהיה רק לנושא הנתונים, שיהיו לו זכויות בגינו
מה הן תקנות חוק הגנת הפרטיות החדשות?
ההוראה מגדירה מידע אישי כ"מידע הנוגע לאדם פרטי המאפשר זיהוי של אותו אדם, במישרין או בעקיפין, כגון: שמות, מספרי זהות, כתובות, וכן מזהים חברתיים וכלכליים אחרים ".
עד כה, היינו רגילים לכך שכל המידע שנאסף בארגון שייך לארגון הזכאי להשתמש בו כרצונו. לאחר כניסתו לתוקף של התוצר המקומי הגולמי, המידע האישי יהיה רק לנושא הנתונים, שיהיו לו זכויות בגינו.
הזכויות העיקריות של נושאי הנתונים בכל זמן נתון הם:
הסכמה – על מנת שארגון יעבד נתונים אישיים, עליו להודיע על הנתונים בדיוק מהי הסיבה לעיבוד המידע, ולבקש הסכמה מפורשת לשימוש זה.
לנושא יש זכות לבטל את הסכמתו בכל עת.
זכות גישה – לנושא הנתונים יש זכות לגשת למידע האישי שלו ולקבל עותק מלא של כל המידע האישי שלו הקיים בארגון, בפורמט קריא ובפורמט המאפשר לו לעבור זה על המתחרים. זכותו לדרוש מידע מתוקן
הזכות להימחק ("להישכח") – נושא הנתונים רשאי לדרוש למחוק את הפרטים האישיים שלו, כל עוד מידע זה אינו רלוונטי עוד ועומד בתנאים אחרים ובקריטריונים אחרים.
השלכות של GDPR על ארגונים:
על הארגונים להתכונן כעת למגוון רחב של דרישות הן מה-GDPR עצמו והן לנושאי הנתונים.
מצדם של הנושאים הנתונים:
הארגונים יצטרכו לתת הצהרה לכל הנושאים הנתונים שלהם לגבי בדיוק מה המידע שלהם משמש, וכאשר זה יימחק.
הארגונים יצטרכו לבקש הסכמה מפורשת וברורה מנושא הנתונים.
הארגונים יצטרכו לאפשר לנתונים לנתק את הסכמתם בכל זמן נתון
הארגונים יצטרכו להיות מוכנים לתת נתונים נושאים עותקים של המידע עצמו, וכן לתקן שגיאות כי נתונים נושאים יציין. התוצר המקומי הגולמי אינו נעצר שם – הוא מחייב את הארגונים להגן על מידע אישי החל משלב תכנון המוצר / השירות, ועד סוף ימיו. ארגון המחזיק במידע אישי נדרש ליישם בקרות פרטיות מחמירות (כגון מיסוך מידע והצפנה), וכן למזער את גילוי המידע: איסוף המידע המינימלי הנדרש. כמו כן, היא מחויבת לחשוף מידע זה למספר המינימלי של אנשים הנדרשים, וכן להחזיק את המידע עבור הזמן המינימלי הדרוש ולאחר מכן למחוק אותו.