5 כללי אצבע על ה-GDPR שכדאי לכם לזכור

יורם ליכטנשטיין

יורם ליכטנשטיין

עו"ד, מומחה לקניין רוחני ואינטרנט

יורם ליכטנשטיין, עו”ד; מוסמך הגנת הפרטיות באירופה CIPP/E.

תאריך פרסום: 30.5.2019

– – – 

רגולציית הגנת הפרטיות באירופה (ה-GDPR) כבר אינה דבר מה סודי שאיש אינו יודע מה משמעותו. מדובר ברגולציה שנטחנה עד דק בתקופה האחרונה. לכן, היום לא אציג בפניכם עוד מאמר מייגע בנושא אלא אנסה לגעת, בקצרה ובמהירות, בחמישה כללי אצבע שכדאי לכם לקחת בחשבון בעת ההתנהלות העסקית שלכם. כמובן, שבכך לא די כדי לעמוד ב-GDPR, אבל כל מסע של מיילים רבים מתחיל בחמישה צעדים. לא?

טרם נתחיל חשוב להדגיש, שכל האמור מטה הינו תמצית שבהכרח תהיה חסרה. המאמר נועד לשפר את מצבכם, אך אינו מחליף יעוץ משפטי אמיתי ואין להסתמך עליו.

בכל מקרי אי הבנה או רצון להרחיב, אתם מוזמנים לעיין בטקסט המחייב של ה-GDPR כאן.

1. האם ה-GDPR חלה עליכם?

קיימים שני כללי מוצא שבעטיים תחול ה-GDPR על עסק מסחרי.

האחד – לאותו עסק קיים מוסד באירופה. “מוסד” משמעו לא רק סניף, אלא כל פעילות מבוססת ארוכת טווח באחת ממדינות האיחוד. למשל – סוכן מכירות, משרד, מחסן וכדומה.

גם אם לא, השני קובע כי הרגולציה תחול בכל מצב בו העסק מנטר התנהגות של אנשים שנמצאים באירופה (למשל באמצעות קוקיות ואולי גם שירותי אנאליטיקס, ריטרגטינג וכדומה – תלוי בנתונים עצמם), או מספק שירותים או מוצרים לאנשים שנמצאים באירופה.

הדגש הוא על מקום המצאותם של האנשים; לא אזרחותם ולא כל רכיב אחר.

2. תבדקו האם אתם בכלל מבינים את העקרונות שבבסיס הרגולציה והאם גובשו נהלים מתאימים?

כשלקוח מתקשר אלי ומבקש שאכין לו “מדיניות פרטיות” לפי ה-GDPR, אני יודע שהוא פשוט לא הבין  מה משמעות הרגולציה. לא מדובר עוד באיזה שהוא מסמך שעורך הדין שלכם ישרבט ויגן עליכם.

התאמה של העסק שלכם ל-GDPR מחייבת מחשבה בסיסית (כולל סקרי סיכונים להגנת הפרטיות, DPIA) על השירות אותו אתם מעניקים, איזה מידע נאסף על ידיכם לצורך אותו שירות, מדוע הוא נאסף, לאילו מטרות ובאיזה היקף, מה יבוצע במידע הזה, בפני מי המידע יחשף או למי הוא יועבר, מתי ימחק וכדומה.

רק על בסיס ההבנות האלו, תוכלו להתחיל להכין נהלים שונים בתחומי עיסוקכם שיחדדו את ההגנה על הפרטיות, ורק לאחר גיבושם של אותם נהלים (בשיתוף עם אנשי העסק שלכם, יועצים ארגוניים ויועצים משפטיים) תוכלו להתקדם בעמידה ב-GDPR.


3. האם אימצתם את העקרונות – “פרטיות בעיצוב” ו”פרטיות כברירת מחדל”?

Privacy by Design וכן Privacy by Default הם שני עקרונות הבסיס של ה-GDPR.

האחד משמעו שבמהלך כל עיצוב המוצר או השירות שלכם, עליכם לקחת בחשבון בין יתר הגורמים גם גורמים שיש בהם השפעה על הפרטיות של אנשים שעומדים אתכם בקשר (לקוחות, ספקים, עובדים וכדומה).

השני משמעו שברירת המחדל של כל פעולה במידע במסגרת המוצר או השירות היא כי לא נאסף מידע, אלא אם הוא נדרש לצורך המטרה הרלוונטית, יש לכם אינטרס לגיטימי לאסוף אותו, נאסף רק המידע המינימלי הנדרש וקיבלתם הסכמה מפורשת לאסוף אותו.

בהערת אגב שימו לב שמרבית המונחים בפסקה שלמעלה (“מטרה רלוונטית”, “אינטרס לגיטימי”, “הסכמה” וכדומה) הוגדרו ב-GDPR ומשמעם אינה תלויה בכם אלא בפרשנות האירופית שלהם.

4. האם אתם עומדים בכל דרישות אבטחת המידע הישראליות?

הגישה הישראלית קוראת ל”הגנת מידע”. הגישה האירופית קוראת ל”הגנת הפרטיות במידע”. לשני מונחים אלו משמעות שונה, ולא מדובר בדבר של מה בכך.

למרות זאת, עמידה חד משמעית בתקנות הגנת הפרטיות (אבטחת מידע) הישראליות, היא התחלה מצויינת שבלעדיה, יקשה עליכם לעמוד ב-GDPR. מומלץ להתחיל כאן.

5. אחריות העסק שלכם ומשמעות תיעוד התנהלותכם

בהנחה שה-GDPR חלה עליכם, אתם תראו כאחראים לעמידה בה. גם אם עסק אחר מבצע עבורכם פעולות שונות, ככל שתיווצר תקלה בהתנהלותו – תהיה זו אחריותכם.

לכן, אם בדקתם והחלטתם שה-GDPR חלה עליכם ואתם מתקשרים עם עסקים אחרים למתן שירותים (למשל שירותי ענן או חוות שרתים, כמו גם סוכנות פרסום דיגיטלית וכדומה) – חובה עליכם לדאוג הן ארגונית (בקביעת נהלים מתאימים) והן משפטית (בניסוח סעיפי הסכם עיבוד מידע מתאימים) לכך שהספק יעמוד בדרישות ה-GDPR. ככל שלא יהיה כך הדבר, יהיה זה באחריותכם הישירה.

אבל בכך לא די. עשיתם ולא תיעדתם? כאילו לא עשיתם.

התחילו, כבר כעת, לתעד כל פעולה, החלטה או שיקול דעת שקיבלתם בנושאי אבטחת מידע והגנת הפרטיות. אם, חס וחלילה, תקבלו פניה מרשות כזו או אחרת, תביעה או קנס, ולא תוכלו להוכיח כי פעלתם להקטנת הסיכון ולצמצומו, תהיו צפויים לקנסות משמעותיים.

מצד שני, ארגון שמדע לחובות המוטלות עליו ופעל לטפל בהן – סביר להניח שגם אם יתפס בתקלה, היחס אליו יהיה מקל יותר, לעומת ארגון שכלל לא פעל בנושא.

מקווה שעזרתי לכם. ועכשיו – לעבודה.

שתפו את הפוסט:

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email
שיתוף ב telegram

הגיבו

מאמרים נוספים שיעניינו אותך

חמש דרכים להמציא את עצמכם מחדש בשוק העבודה

 במקרה של חוסר ודאות אנחנו נוטים להתנהג בצורה שמרנית – וקשה לנו להתחיל בדרך חדשה. למרות זאת, ניתן לאזן בין הצורך לשרוד לבין הצורך להגשים חלום. אירועים לא צפויים נוטים …

הסעיף האחרון בכל מודעת דרושים הוא זה שמעכב אתכם בקריירה

בטור זה אני רוצה לעסוק בסעיף האחרון בכל מודעת דרושים. סעיף שעל פניו מקבל פחות מקום ומופיע תמיד אחרון, אחרי רשימה מאוד מפורטת של מיומנויות מקצועיות, דרישות וניסיון. אבל, הסעיף …

זהירות קריאייטיב דיגיטלי לפניך

המדיה החברתית ממשיכה לצבור תאוצה ולקבל יותר ויותר תקציבי פרסום. על פי התחזיות של משרדי הפרסום המובילים בישראל, בעוד הדיגיטל יהווה כ-60% מתקציבי הפרסום, התקציבים במדיה המסורתית ילכו ויתמעטו. בהתאם …

מה הקשר בין שיווק דיגיטלי ליחסי ציבור?

הרשתות החברתיות, המהוות חלק בלתי נפרד מהשיווק של מותג, מנוהלות בישראל כמעט לחלוטין על ידי משרדי הפרסום, שניכסו לעצמם את העבודה במדיה החברתית. משרדי הפרסום שהיו אמונים על רכש המדיה, …

נגישות

אנחנו כאן לתת לך את כל הכלים להצליח בתחום!

כמה פרטים ואנחנו איתך.