תקנות GDPR - מה זה אומר?

תקנות GDPR (ראשי תיבות של General Data Protection Regulation) - האסדרה הכללית להגנה על מידע של האיחוד האירופי - משפיעות על העולם כולו, גם עלינו. מדובר בדרקטיבה (חוק) של האיחוד האירופי, אשר נכנסה לתוקף ב-25 במאי 2018. ה-GDPR החליף את הוראת הגנת הנתונים 95/46/EC והציג כללים ותקנות חדשים בנוגע להגנה על נתונים אישיים וזכויות פרטיות של אנשים בתוך האיחוד האירופי.

GDPR חל על ארגונים, ללא קשר למיקומם, אם הם מעבדים נתונים אישיים של אנשים המתגוררים באיחוד האירופי, ומציעים להם סחורות או שירותים, או עוקבים אחר התנהגותם בתוך האיחוד האירופי.

מה אומרים הכללים?

ככל שהדבר נוגע לנתונים אישיים, ה-GDPR מגן על נתונים אישיים, המוגדרים ככל מידע הקשור לאדם מזוהה או מזוהה, כגון שמות, כתובות, מספרי זיהוי ומזהים מקוונים.

התקנות פועלות על פי עקרונות של חוקיות, הגינות ושקיפות: יש לעבד נתונים אישיים כדין, באופן הוגן ושקוף, עם בסיס חוקי לעיבוד.

התקנות קובעות הגבלת מטרה: יש לאסוף נתונים אישיים למטרות מוגדרות, מפורשות ולגיטימיות, ולא לעבד אותם באופן שאינו תואם למטרות אלו.

התקנות קובעות עקרונות נוספים הנוגעים למזעור נתונים: יש לאסוף ולעבד רק את הנתונים האישיים הדרושים למטרה המיועדת.

דיוק: הנתונים האישיים צריכים להיות מדויקים ולהיות מעודכנים.

הגבלת אחסון: יש לאחסן נתונים אישיים בדרך שמאפשרת זיהוי ללא יותר מהנדרש.

הגינות וסודיות: יש לנקוט אמצעי אבטחה מתאימים כדי להגן על נתונים אישיים מפני גישה לא מורשית, אובדן, הרס או שינוי.

אחריות: ארגונים אחראים לציית ל-GDPR, ועליהם להוכיח את תאימותם.

GDPR מעניק מספר זכויות לאנשים בנוגע לנתונים האישיים שלהם:

זכות למידע וגישה: ליחידים יש זכות לקבל מידע על איסוף נתונים אישיים שלהם ושימוש בהם, והם יכולים לבקש גישה לנתונים האישיים שלהם.

הזכות לתיקון: אנשים יכולים לבקש תיקון של נתונים אישיים לא מדויקים או חלקיים.

הזכות להימחק (הזכות להישכח): ליחידים יש זכות לבקש מחיקת נתונים אישיים שלהם בתנאים מסוימים.

הזכות להגבלת העיבוד: אפשר לבקש הגבלה של עיבוד הנתונים האישיים בנסיבות מסוימות.

הזכות לניידות נתונים: אנשים יכולים לבקש שהנתונים האישיים שלהם יסופקו בפורמט מובנה, בשימוש נפוץ וניתן לקריאה במכונה.

הזכות להתנגד: אפשר להתנגד לעיבוד נתונים אישיים, בכלל זה למטרות שיווק ישיר.

הזכות לבטל הסכמה: ליחידים יש זכות לבטל את הסכמתם שניתנה קודם לכן לעיבוד נתונים.

מבחינת ההשפעות על התעשייה, יש חובות ציות: ארגונים המטפלים בנתונים אישיים של אנשים באיחוד האירופי חייבים להבטיח עמידה בעקרונות ובדרישות ה-GDPR, בכלל זב יישום אמצעים טכניים וארגוניים מתאימים להגנה על נתונים אישיים. ארגונים צריכים לערוך הגנה בעבור פעילויות עיבוד בסיכון גבוה שעלולות לגרום סיכון של ממש לזכויות וחירויות של יחידים. כמו כן ארגונים חייבים להודיע לרשות הפיקוח הרלוונטית ולאנשים המושפעים מכך על הפרות מידע אישי ללא דיחוי.

כדי לבסס את ההשפעה יש קנסות: אי ציות ל-GDPR עלול להביא לעונשים ממשיים, בהם קנסות של עד 4% מהמחזור השנתי העולמי או 20 מיליון אירו, הגבוה מהם.

ל-GDPR הייתה השפעה רבה על תעשיות ברחבי העולם, שכן ארגונים נאלצו להתאים את נוהלי הטיפול בנתונים שלהם, לשפר את אמצעי הגנת המידע ולהבטיח שקיפות בפעילויות עיבוד הנתונים שלהם. הרגולציה העלתה את החשיבות של פרטיות והגנה על נתונים, שמה דגש רב יותר בזכויות ובהסכמה של הפרט, ומחייבת גישה יזומה לממשל ואבטחת מידע.

הערה: מידע זה מספק סקירה כללית על GDPR. ארגונים צריכים לפנות לייעוץ משפטי או להתייעץ באתר ה-GDPR הרשמי של האיחוד האירופי כדי לקבל הדרכה מקיפה ודרישות תאימות ספציפיות לנסיבות שלהם.