מה זה ה- GDPR?
בסוף מאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות החדשות של האיחוד האירופי המוכרות לחלק מאיתנו בקיצור האותיות – GDPR ובשם המלא: General Data Protection Regulation או בעברית "האסדרה הכללית להגנה על מידע".
המטרה אשר לשמה הותקנו התקנות, היא להגביר את ההגנה על הפרטיות של אזרחי האיחוד האירופי ששמם נכלל במאגרי מידע, זאת באמצעות קביעת כללים משפטיים ברורים לצד הטלת סנקציות וקנסות כבדים על מי שיפר את הכללים.
תאגידים המספקים שירותים באמצעות מידע אישי ולמטרת איסוף מידע אישי אודות המשתמשים, עלולים לאסוף מידע אישי באופן אשר עשוי לפגוע מעבר לנדרש בפרטיות צורכי השירותים אשר לשמם נאסף המידע.
לכן, כבר בעת הקמת סטארט-אפ, חברה יש להקים מבעוד מעוד את התשתיות הטכנולוגיות והמשפטיות להגנה על פרטיות המשתמשים ולהגדיר את מדיניות הפרטיות אשר תתווה את אופן איסוף המידע בהתאם לתקנות הגנת הפרטיות וה-GDPR.
על מי חלות תקנות ה – GDPR ?
ישנם 2 מקרים שכיחים בהם התקנות חלות כמעט באופן מוחלט:
1. כל תאגיד הפועל בשטחי האיחוד האירופי (גם אם עיבוד המידע מתבצע מחוץ לאיחוד האירופי) מחויב לעמוד בתקנות.
2. תאגיד שאוסף ומחזיק מידע אישי על תושבי ואזרחי האיחוד האירופי בכוונה להצעת שירותים או מוצרים לתושבי האיחוד (מקרה לדוגמה: מלון בתל אביב הפונה לאזרחי גרמניה, מציג את מחיר החדרים במטבע יורו עם דומיין של גרמניה).
בעניינם של קטינים, אין סמכות להרשות שימוש בפרטיהם האישיים. ולכן הורים או אפוטרופוסים לילדים עד גיל 16 מוכרחים להתבקש לתת הסכמה בטרם לחברה כלשהי מותר לבצע שימוש כלשהו בפרטיהם האישיים.
האם גם חברות ישראליות צריכות לציית ל – GDPR?
חברות ישראליות שמוכרות או מספקות שירותים לתושבי או אזרחי האיחוד האירופי כפופות לתקנות וצריכות להיערך לכך משפטית, טכנולוגית וארגונית. אותן חברות ישראליות כפופות לתקנות ה- GDPR גם אם הן פועלות מישראל, וגם אם מאגרי המידע שלהן מוחזקים במדינה אחרת מחוץ לאיחוד.
כאמור, מומלץ שתיקחו בחשבון נושאים הקשורים במדיניות פרטיות ואופן יישום התקנות ברשת, במיוחד אם קהל היעד שלכם ממוקם במדינה אחת או יותר באיחוד האירופי.
האם האתר שלכם צריך מדיניות פרטיות?
מדיניות פרטיות, בשפה פשוטה, היא מסמך המפרט את מדיניות התאגיד בכל הנוגע לשימוש במידע אישי של המשתמשים באתר ו/או באפליקציה ואבטחתו. מטרת המדיניות היא להנגיש למשתמשים את כל הנוגע למידע שהתאגיד מבקש ואוסף אודותם בשפה פשוטה וברורה.
אם האתר שלכם אוסף מידע על משתמשים, מציג פרסומות ו/או עוקב אחרי מבקרים דרך Analytics (סטטיסטיקות), אז האתר שלכם בלי ספק חייב שתהיה לו מדיניות פרטיות.
אם האתר שלכם ממוקם בתחום האיחוד האירופי, אם אתם אוספים מידע על תושבי האיחוד האירופי, אם אתם מתכננים להתקשר עם לקוחות באיחוד האירופי, לא רק שאתם חייבים שתהיה לכם מדיניות פרטיות, היא גם חייבת להיות תואמת GDPR.
מה מדיניות הפרטיות של ה- GDPR כוללת?
להלן מספר דוגמאות לחובות, זכויות ודרישות שיש לכלול במדיניות הפרטיות:
הסכמת נשוא המידע – על המשתמש להסכים מדעת (Opt In) לאיסוף המידע על ידי אישור והצהרה כי הוא מסכים למדיניות הפרטיות ולתהליך עיבוד המידע האישי. עיבוד המידע ייעשה אך ורק בהתאם להסכמתו מדעת של המשתמש.
חובת היידוע – יש להגדיר מה התאגיד עושה בפועל עם המידע וליידע את המשתמש בדבר השימוש במידע ללא דיחוי.
חובת עיון – בהתאם לבקשת נשוא המידע, על התאגיד לאפשר גישה ועיון במידע שנאסף אודות מבקש המידע שפונה לתאגיד בבקשה לקבלו.
איסוף מינימלי – יש לאסוף כמה שפחות מידע ולהיצמד לדרישות המינימליות לצורך תפעול השירות.
עיבוד המידע – יש לעבד את המידע שניתן על ידי המשתמש אך ורק למטרת האיסוף עליה הצהיר התאגיד במדיניות הפרטיות, כך שישמר רק המידע הנדרש לצורך מתן השירות ככל שהמידע מעובד יותר, כך פוחתת רמת הרגישות של המידע.
תיעוד – שמירה של מסמכים, פרוטוקולים של פגישות, לוגים של המערכת, ניטור בקרה ופיקוח.
מדיניות הפרטיות היא אינה קישוט לאתר/אפליקציה של התאגיד אלא הסכם לשימוש במידע אישי בין התאגיד לנושאי המידע. העמידה בתקנות כוללת חובות רבות אשר מאפשרות את מימוש המדיניות בהתאם לרגולציה.
מדוע כדאי לכם לציית לתקנות GDPR?
כל תאגיד אשר לא יציית לתקנות ה – GDPR חשוף לקנסות כבדים מהאיחוד האירופאי בסך של עד 4% מהכנסותיו או-20 מיליון אירו, הגבוה מבין השניים. ישנם עונשים נוספים אשר עלולים להיות מוטלים בהתאם לחריגה מן החוק.
אם לא די בסנקציות של האיחוד האירופי, ארגונים אשר לא יצייתו לתקנות יעמדו בפני אובדן אמינות המשתמשים בשוק. אותם ארגונים אשר יצייתו לתקנות GDPR יבססו את עצמם כארגונים אמינים אל מול הלקוחות והמשתמשים. מרגע שהמשתמשים מרגישים אמון וביטחון, רמת נכונות שלהם לבצע מול התאגיד עסקים עולה. ציות לתקנות ה – GDPR אינן רק חובה על פי חוק אלא גם דרך לארגונים לחזק את הקשר אל מול המשתמשים ואת אמונם בתאגיד.
איך עומדים בתקנות ה - GDPR?
יישום התקנות אינו נעשה באופן שרירותי, אלא בהתאמה למטרות העסקיות של התאגיד ובהתאם למדיניות הרגולטורית של איסוף, שימוש ושמירת מידע אישי. מדיניות פרטיות שאינה תואמת לאופן השימוש במידע בשירותים או יישום תקנות ה – GDPR באופן לקוי, עלול לחשוף את התאגיד המפר לסנקציות של האיחוד האירופי ותביעות אזרחיות.
ישנה חשיבות רבה שיישום התקנות וכתיבת מדיניות הפרטיות תעשה בליווי עו"ד המתמחה בתחום דיני האינטרנט, הגנת הפרטיות ומתמצא בתקנות ה – GDPR אשר יבטיח עמידה בסטנדרטים ובתקנות על מנת לספק לחברה הגנה מלאה ומותאמת אישית.
משרדנו מעניק שירותים משפטיים בתחום הגנת הפרטיות וכן בתקנות ה – GDPR. למשרדנו ניסיון בכתיבת מדיניות פרטיות, רישום מאגרי מידע, יעוץ בסוגיות של איסוף מידע אישי, אופן השימוש בו, הסכמים עם צדדים שלישיים ויעוץ בהתאם לתקנות ה – GDPR.