רגולציית GDPR היא חקיקה רחבת היקף שמטרתה להתמודד עם ההיקפים חסרי התקדים של תעבורת מידע ועיבוד מידע במרחב המקוון. הרגולציה האירופית שנכנסה לתוקף בשנת 2018 היא לא רק אוסף של כללים טכניים, היא מהווה מהפכה תפיסתית ביחס לשליטה במידע האישי. GDPR מבקשת להקנות זכויות לאזרחים, מושאי המידע, ובה בעת קובעת כללים נוקשים על תאגידים בכל הנוגע לאיסוף מידע, עיבודו ושמירתו. אם גם אתם סקרנים לדעת עוד הגעתם אל המקום הנכון. כאן תגלו את עיקרי ההשלכות חקיקת ה- GDPR על חברות ישראליות בין אם קטנות ובין אם גדולות.
השלכות חוקי הפרטיות האירופיים (GDPR) על חברות ישראליות – מאיפה מתחילים?
החוק להגנת הפרטיות בישראל שנחקק בשנת 1981 ועבר תיקונים רבים להתאמה לשינויים טכנולוגיים מסדיר איסוף, אחסון, העברה ושימוש בנתונים אישיים. תקנות GDPR, היא בעלת תכולה אקס-טרטוריאלית והמשמעות של כך היא שהיא חלה על ארגונים ישראליים המעבדים נתוני אזרחי האיחוד האירופי. נתונים אישיים מוגדרים ככל מידע המתייחס לפרט מזהה או ניתן לזיהוי כמו שם, כתובת, טלפון, דוא"ל ומספר זהות. מידע רגיש יותר כולל גם נתונים אישיים החושפים מוצא, דעות פוליטיות, אמונות דתיות, מידע גנטי, ביומטרי, רפואי ונטייה מינית. בעידן הדיגיטלי של היום ארגונים רבים משתמשים במערכות אוטומטיות (כגון CDP) שנועדו לאסוף ולעבד מידע על לקוחות בצורה ריכוזיתת ולכן ישנה חשיבות רבה להבנה של הגדרות אלו.
כיצד המידע עובר עיבוד ותאימות לדרישות?
עיבוד המידע כולל כל פעולה בנתונים אישיים כמו איסוף, אחסון, שימוש ושינוי. העקרונות המרכזיים לעיבוד נתונים על פי ה-GDPR המעוגנים באחד מבסיסי חוקיות איסוף המידע. לדוגמה, ארגונים שמחוייבים לאסוף מידע על פי דין או אינטרס מסחרי לגטימי לאיסוף המידע. על הארגונים לקבל הסכמה מפורשת לפני עיבוד נתונים, להשתמש בנתונים למטרות לגיטימיות בלבד שלשמן נמסרו, ליישם אמצעי אבטחה טכניים וארגוניים ולמנות מנהל להגנת מידע במקרים מסוימים.
ברמת הפרטיות, קוקיז הן קובצי טקסט המושתלים בהתקן המשתמש המשמשים לשימור העדפות ומעקב אחר התנהגות המשתמשים. המידע בקבצי קוקיז יחשב למידע אישי שכפוף ל-GDPR אם אפשר לזהות את האדם בין באופן ישיר ובין בהצלבה עם מידע אחר. ארגונים המשתמשים בכך חייבים לקבל הסכמה מפורשת לפני השתלת קוקיז על מנת שהמשתמשים יוכלו לקבל הזדמנות גם לשנות את ההגדרות ולהבין שהן לא מצריכות הסכמה מפורשת.
מהן ההשלכות אם כן של הפרת התקנות?
לא כולם מודעים עד כמה הפרת התקנות הן קריטיות. ההשלכות של ה- GDPR על ארגונים ישראליים היא משמעותית. הפרת הוראות החוק עלולה להוביל לקנסות של עד 20 מיליון אירו או 4% ממחזור ההכנסות הגלובלי של שנת הכספים שחלפה. לצד הנזק הכלכלי הישיר, הפרת ה-GDPR עלולה לגרום גם לנזק תדמיתי שאותו קשה להעריך. חשיבות אבטחת מידע ויישום אמצעים טכניים וארגוניים לצד עריכת תסקירים להשפעה על הפרטיות הם קריטיים לעמידה בתקנות. חשוב להדגיש שגם אם חברה ישראלית ממוקמת פיזית בישראל, היא מחויבת לעמוד בדרישות ה-GDPR אם היא אוספת, מעבדת או מאחסנת נתונים של אזרחים אירופאיים.
החברות הישראליות נדרשות לערוך ריוויזיה שלמה בניהול הארגוני והתרבות הארגונית שלהן וזה כולל כאמור הטמעת אמצעים טכניים וטכנולוגיים לניטור, מיפוי והגנה על המידע שהארגון מעבד, ממשל תאגידי תקין (כגון עריכת נהלי אבטחת מידע, מינוי נושאי משרה בנושא אבטחת מידע ומעורבות הדירקטוריון בקבלת החלטות הנוגעות לאבטחת מידע ועיבודו) וגם הטמעת אמצעים חוזיים להסדרת איסוף המידע, עיבודו ועמידה קפדנית על שקיפות בנוגע לאיסוף נתונים, מטרות השימוש בהם, זכויות המשתמשים ונוהלי האבטחה. אחת הדרישות המרכזיות היא הקפדה על קבלת הסכמת משתמשים כאשר GDPR מחייב הסכמה מפורשת וברורה מכל משתמש לפני איסוף הנתונים האישיים שלו. החברות הישראליות צריכות להטמיע מנגנוני הסכמה המאפשרים למשתמשים לשלוט בנתונים אלו.
במישור הטכני-טכנולוגי ה-GDPR מחייב ארגונים לנקוט באמצעי אבטחת מידע בסטנדרטים הטובים ביותר הידועים (מה שידוע כ-BEST PRACTICE) כדי להגן על נתוני משתמשים כולל הצפנת נתונים, בקרות גישה ונהלים לטיפול באירועי אבטחה. חברות מסוימות, בעיקר אלו המעבדות נתונים רגישים בהיקף גדול, נדרשות למנות אחראי הגנת מידע.
למה חשוב שתהיו מלווים בעורכי דין מקצועיים?
עורכי דין המתמחים ברגולציה של אבטחת מידע ממלאים תפקיד משמעותי בתהליך ההתאמה והציות ומתן כיסוי משפטי לחשיפה המשמעותית שמלווה באיסוף ועיבוד מידע. הרגולציה מאד מורכבת ומצריכה הבנה מעמיקה של החוק שלא רק מתעדכן באופן תכוף אלא הוא משתנה בין המדינות השונות החברות באיחוד האירופי. ה-GDPR הוא מעין חקיקת על של הפרלמנט האירופי אך כל מדינה מטמיעה את החקיקה בהתאם לנסיבות שלה ובשינויים המחויבים לפי השוק הספציפי.
עורך הדין מסייע בניסוח ועדכון מדיניות הארגון לאבטחת מידע והגנת הפרטיות יסייע להתמודד עם החשיפה ויכווין את הנהלת החברה באשר לדרכי הפעולה הנכונות לאיסוף נתונים, הטווית בסיס נכון לחוקיות איסוף המידע מטרות השימוש בו והענקת זכויות המשתמשים. בכך הארגון יקבל הסכמה מפורשת וברורה מהלקוחות לעבוד הנתונים. בסופו של דבר עורך הדין מייצג את החברה בפני רשויות וערכאות משפטיות ומסייע בהכנת מסמכים משפטיים ובניהול הליכים משפטיים הקשורים לתהליך ומשמש כיועץ קרוב, מהימן שמבטיח שהחברה עומדת בדרישות החוק ומגנה על עצמה מפני סיכונים משפטיים אלו ואחרים בסיטואציה זו.
אל תוותרו על מקצועיות ברמה הגבוהה ביותר
ארגונים רבים מוכרחים לעמוד בדרישות ה-GDPR ולציית לו. עמידה בתקנות אלו תבטיח שמירה על אמון הלקוחות ותמנע השלכות משפטיות וכלכליות. חשוב אם כן שלכל ארגון יהיה ליווי משפטי מקצועי ברמה גבוהה.
הצוות המשפטי של משרד סקלר לוי עריכת דין משלב מיומנויות משפטיות ועסקיות נרחבות ומתמחים ברגולציה של הגנת הפרטיות ואבטחת מידע. למשרד סקלר לוי עריכת דין ניסיון רב במגוון רחב של תעשיות ביניהן מזון, פרמצבטיקה, פיננסים, טכנולוגיה וסייבר, מסחר אינטרנטי, נדל"ן, אנרגיה מתחדשת ואופנה ומלווה ומייעץ ללקוחותיו בניווט העולם המורכב של רגולציה של הגנת הפרטיות ואבטחת מידע. צרו עמנו קשר עוד על מנת לבחון האם הארגון שלכם עומד בכללי הציות.
האמור לעיל אינו מהווה ייעוץ משפטי ואין לראות בו ככזה