תקנות ההגנה על הפרטיות של האיחוד האירופי- GDPR – מדריך מקוצר

GDPRב-25 במאי 2018 יכנסו לתוקפן תקנות ההגנה על הפרטיות של האיחוד האירופי – GDPR. כיאה למכונת רגולציה בממדים חסרי תקדים, הנוסח המלא של התקנות הוא ארוך, מייגע ומשפטי לעייפה (הנוסח המלא של ההחלטה נמצא כאן).
במאמר הקצר הזה ננסה לתמצת את מהות התקנות, ההשפעה שלהן על בעלי אתרים ומנהלי קמפיינים, באופן בהיר ויישומי ככל האפשר.

במאמר עוקב נציג צ'ק ליסט יישומי לבעלי אתרים.

הגדרה ומהות של ה- GDPR

מטרת התקנות הן להגן על הפרטים האישיים של אזרחי האיחוד האירופי מפני דליפה וניצול לרעה ולהתאימן לשינויים הטכנולוגים הגדולים שחלו בשנים שחלפו מאז הותקנו התקנות הראשונות בנושא, בשנת 1995.
GDPR – Global Data Protection Regulations

הגורם השולט והגורם המעבד

השולט במידע – Controller – הישות המחליטה על המטרות שלשמן נאסף המידע, התנאים בהם הוא נאסף והאמצעים בהם נעשה שימוש.
המעבד – Processor – הישות המבצעת עיבוד מידע בשמו של השולט במידע.
כמה דוגמאות פשוטות: פייסבוק כמעבד מידע לצרכי קמפיין שאנו מבצעים, גוגל כמעבד מידע לצרכים של אופטימיזציה או פרסום באמצעות פלטפורמות כגון Google Adwords, Google Analytics.

בעלי האתרים נחשבים לאלו השולטים על המידע. מסיבה זו, עליכם לכלול את כל הגורמים בהם אתם עושים שימוש בעיבוד המידע באתר ומחוצה לו. שימוש בגוגל אנליטיקס באתר מחייב אתכם להזכיר זאת בתנאי השימוש, העברת נתונים למערכות CRM חיצוניות – כנ"ל.
חשוב לוודא שכל ספקי צד שלישי בהם אתם עושים שימוש פועלים בהתאם להנחיות שאם לא כן – הדבר חושף אתכם להפרה של התקנות.
לאחרונה עדכנו כל השחקנים הגדולים בתעשיית האינטרנט והתוכנות לארגונים את תנאי השימוש ומדיניות הפרטיות שלהם בכדי להתאימם לדרישות ה- GDPR.

תחולה גאוגרפית

כל מי שפועל באיחוד האירופי – בין אם הוא נמצא בגבולותיו ובין אם הוא נמצא מחוץ לגבולותיו אך פונה לקהל יעד המצוי בגבולות האיחוד האירופי – נמצא תחת החובה לציית לתקנות אלו. למרות ה- Brexit, בריטניה עדיין כלולה בכך ואתרים הפועלים בתוך בריטניה ומול קהל יעד בבריטניה חייבים לעמוד בתקנות.
התקנות יחולו במקרים בהם: מוצעים שירותים ומוצרים – עם או ללא תשלום – לאזרחי האיחוד האירופי. חברות לא אירופאיות נדרשות למנות נציג מטעמן (הסבר להלן).

ענישה

על המפרים את התקנות עלולים לחול קנסות בגובה של עד 4% מסך המחזור השנתי או עד 20 מיליוני יורו – הסכום הגבוה בין השניים. זוהי המדרגה הגבוהה ביותר והיא נוגעת להפרות מהותיות של ליבת התקנות – למשל אי קבלת הסכמה במידה ברורה ומספקת מצד הלקוח לעיבוד הנתונים אודותיו. המדיניות היא להשית קנסות בשלבים בהתאם למידתה חומרה. כללים אלו חלים הן על השולטים במידע והן על המעבדים את המידע – שירותי ענן לסוגיהם אינם מקבלים פטור ממימוש התקנות.

הסכמה

התנאים לקבלת ההסכמה של הגולש חוזקו – חברות לא יוכלו עוד לעשות שימוש בתנאי שימוש מעורפלים וקשים לקריאה (זה כמובן לא חל על הנוסח המלא, הארוך והבלתי קריא ובלתי מובן של התקנו עצמן, כמובן). בקשת ההסכמה צריכה להיות מוצגת בבהירות ובפשטות לגולשים, כאשר המטרה לאיסוף המידע מוצגת בבהירות אף היא. הגולש צריך להיות מסוגל לסגת ממתן ההסכמה באופן קל ופשוט ממש כמו שהיה לו קל לתת אותה לבעלי האתר. ההסכמה צריכה להיות מוצגת באופן מובחן ומופרד מתנאי שימוש בנושאים כלליים אחרים (למשל – מתנאי רכישה שונים בחנות מקוונת).

חובת דיווח על פגיעה אפשרית בפרטיות

במקרה בו ישנו חשד סביר שנתונים אישיים השמורים על ידי בעלי אתר דלפו באופן המעמיד בסכנה את פרטיותם של מבקרי האתר, חלה חובת דיווח של בעלי האתר בתוך 72 שעות על הדליפה. על שירותים המעבדים מידע (כמו גוגל אנליטיקס למשל) חלה חובה זהה לדווח ללקוחותיהם.
הזכות לקבל מידע משלים אודות המידע הנאסף
בהתאם לתקנות, למבקרים באתר עליהם נאסף מידע יש זכות לקבל מהשולט באתר הבהרות באם נאסף עליהם מידע, איזה מידע ולאלו מטרות הוא נאסף. זאת ועוד, במידה ומבקרי האתר מבקשים – על הגורם השולט במידע לספק העתק של המידע הספציפי באמצעים דיגיטליים.

הזכות להישכח

משתמשים באתר עליהם נאסף מידע זכאים לדרוש את מחיקתו, מניעת הפצה נוספת ומניעת עיבודו על ידי צדדים שלישיים – זאת בין אם המידע שנאסף אינו רלוונטי עוד או בשל משיכת הסכמתם לשימוש בו.

ניידות נתונים

במסגרת התקנות, מבקרים באתר עליהם נאסף מידע זכאים לבקש את הנתונים שנאספו עליהם כקובץ דיגיטלי ולהעבירו לגוף אחר לפי בחירתם.
שמירת פרטיות כרכיב בסיס במערכת – Privacy by Design
הכוונה היא לכך שבעלי אתרים ומערכות מידע יוודאו שהמערכות בהן הם משתמשים ושומרים מידע אודות לקוחות ומבקרים באתרים יתוכננו לכתחילה לאפשר שמירה על הנתונים הרגישים הנאספים ונשמרים בהן ברמה גבוהה. הקונספט מכוון לתכנון וביצוע בליבת הארכיטקטורה ולא כתוספת מאוחרת – "תלאי".
המשמעות המרכזית? עשו שימוש במערכות מוכרות, בטוחות וידועות בהן הושקעה חשיבה ועבודה בנושא.

מינוי קציני הגנה על הפרטיות – Data Protection Officer – בארגון

נושא זה עבר פישוט ביחס למצב הקיים. תחת התקנות החדשות ישנה חובת תיעוד וניהול נתונים פנים-ארגונית. ארגונים המבצעים עיבוד ושמירת נתונים רגישים בקנה מידה גדול נדרשים למנות קצין הגנה על הפרטיות בארגונם. יודגש – רק ארגונים השולטים במידע ומעבדים מידע כחלק מהליבה העסקית שלהם, ומבצעים זאת בקנה מידה גדול ו/או בסוגי מידע רגישים כגון נתונים כספיים, רישומים פליליים ומידע רגיש אחר. קציני הגנת הפרטיות בארגון:

  1. ימונו על בסיס מקצועי ויחזיקו בידע מקצועי הנדרש לביצוע תפקידם – לרבות ידע משפטי, נוהלי וטכני.
  2. עשויים להיות עובדי הארגון או נותני שירות חיצוניים.
  3. פרטי הקשר הרלוונטיים יימסרו לרשות הגנת הנתונים הרלוונטית (DPA – Data Protection Authority).
  4. צריכים לקבל את המשאבים הנחוצים לביצוע תפקידם ולשימור הידע המקצועי הנדרש.
  5. חייבים לדווח לרמה הניהולית הגבוהה ביותר.
  6. צריכים לבצע את תפקידם בלי להיקלע למצבים של ניגודי עניינים עם משימות אחרות שבאחריותם.
    רשויות ממשלתיות מחויבות למנות קצין הגנת מידע, וכך גם גופים המבצעים איסוף ועיבוד נתונים רגישים כאמור לעיל.

התהליך הארגוני

  1. למדו את המשמעויות של ה- GDPR הן בהיבטים הכלליים וכיצד הם משפיעים על פעילות הארגון שלכם.
  2. העלו את המודעות לנושא בקרב עובדי הארגון.
  3. בצעו סקר – מהן המערכות בהן אתם משתמשים בארגון (אתר, CRM, שירותי ענן, תוכנות צד שלישי לעיבוד מידע הנאסף וכד') – בדקו: מהו הסטנדרט לפיו נאספים הנתונים ונשמרים, לאיזו מטרה, למי יש גישה לנתונים? על בסיס סקריה כזו תוכלו להתחיל לסגור את הפרצות ולבצע את התהליכים הנדרשים.
  4. בחנו את ההודעות הקיימות בדבר הפרטיות – רוב הסיכויים שתידרשו לשנות ולהדגיש נושאים בהתאם לתקנות החדשות.
  5. בחנו את מנגנוני ההסכמה של המבקרים – גם כאן, סביר להניח שיידרשו שינויים בכדי לענות על הדרישה לקבלת הסכמה מפורשת מהמבקרים.
  6. הפרידו את ההסכמה מתנאי השימוש – לא די בכך שבתנאי השימוש תהיה פסקה בדבר הסכמה. אם יש לכם טופס באתר, למשל, אינכם יכולים עוד
  7. להציג קופסאות סימון (צ'קבוקס) מסומנות כברירת מחדל המאפשרות לכם לאסוף כתובות מייל (לצורך הדוגמה). ברירת המחדל צריכה להיות הפוכה כך שלמבקר תהיה מודעות מלאה למה שאתם עתידים לעשות ויכולת מלאה לבטא הסכמה מפורשת לכך.
  8. וודאו שההסכמה הניתנת נשמרת וניתנת להוכחה במקרי הצורך.
  9. האפשרות למשיכת הסכמה – וודאו שלמשתמשים שהעניקו לכם הסכמה צריכים להיות מסוגלים למשוך אותה בקלות.
  10. יישמו נהלי עבודה במקרים של פנייה, חשד לפריצה וגניבת נתונים ודיווח.
  11. במקרים בהם הדבר נדרש – מנו קצין הגנת מידע בהתאם לנהלים.
  12. וודאו שהשינויים הטכניים הנדרשים מבוצעים (צ'ק ליסט נפרד וייעודי לכל ארגון).

סיכום

כאמור, החל מה-25 במאי התקנות ייאכפו באופן מלא. אם אתם פעילים באיחוד האירופי (או פונים לקהל באיחוד האירופי אפילו באופן משני) כדאי למקד את ההיערכות במוקדים הבאים:

  1. סיווג הפלטפורמות הדיגיטליות בהן אתם עושים שימוש לצורך שמירה ועיבוד נתונים – החל מהאתר, עבור במערכות CRM ומערכות ארגוניות אחרות, וכלה בספקי צד שלישי בהם אתם עושים שימוש.
  2. סיווג המידע האישי אותו אתם שומרים – עד כמה הוא רגיש ועד כמה הוא נחוץ.
  3. הכנת רשימות תיוג לביצוע לכל אחד מהנכסים והסתייעות בנותני השירותים המספקים לכם תמיכה, תשתיות ותוכנה הקשורות לסוגייה.
  4. ביצוע התאמות בפועל בפלטפורמות, עדכון הנהלים הפנימיים והתנאים המשפטיים בהתאם.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *