GDPR

האם החוק חל עליכם?
למה הכוונה ״מידע אישי״?
ולמה הכוונה "מקום מושב"?
עיקרי החובות החלות עליכם:
אכיפה וקנסות
השירותים שלנו

האם החוק חל עליכם?

GDPR – General Data Protection Regulation הינה רגולציית הגנת המידע ופרטיות במדינות האיחוד האירופי שנכנסה לתוקף במאי 2018.

מטרת הוראות אלו היא  להגן על המידע האישי של אזרחי האיחוד האירופי ולחייב כל ארגון שמעבד, מחזיק ומנטר מידע על תושבי האיחוד.
לאיזה מידע מתייחס האיחוד האירופי ?

על מנת לענות על שאלה זו יש להתייחס לשתי הגדרות בסיסיות בתקנות: “מידע אישי” ו “מקום מושב”

  1. החוק חל על כל בעל שליטה במידע ומעבד מידע שמקום מושבם בגבולות האיחוד האירופי.
  2. החוק חל גם על בעל שליטה במידע או מעבדי מידע שמקום מושבם איננו בגבולות האיחוד האירופי.

למה הכוונה “מידע אישי”?

המידע מתייחס למידע אישי המוגדר כנתונים אישיים או כל מידע הקשור לאדם המזהה אותו או הניתן לזהות אותו באמצעות אותו מידע. מידע אישי מתייחס לנתונים מזהים כגון שם, מספר זיהוי, נתוני מיקום, נתונים מקוונים, מאפיינים מיוחדים כגון מבנה גופני, פיזיולוגי, גנטי, מסחרי, תרבותי, חברתי, היינו כוללים גם את כל הנתונים שמוקצים לאדם בכל דרך שהיא לדוגמא מספר טלפון, כרטיס אשראי\ נתוני חשבון\ לוחית זיהוי רכב וכולי, יש לפרש הגדרה זו באופן רחב עד כדי כך שהגדרת GDPR מפורטת ביותר ומבהירה כי אף כתובת IP יכולה להוות  נתונים אישיים.

למעשה מדובר בהגדרה מרחיבה יותר אודות מגוון רחב של מזהים אישיים, וזאת כפועל יוצא של השינויים בטכנולוגיה ועל הדרכים בהן נאסף מידע של אנשים.

ולמה הכוונה “מקום מושב”?

לתקנות אלו תחולה טריטוריאלית, היינו המונח “מקום מושב” פורש בפסיקה האירופית בהרחבה, כך שהוא כולל כל פעילות אמיתית ואפקטיבית שמקיים ארגון באמצעות הסדרים קבועים בתוך האיחוד האירופי, אפילו אם הפעילות היא מינימלית.

היישות המשפטית שבאמצעותה מבוצעת הפעילות  – לדוגמה באמצעות סניף או משרד, איננה מרכיב מכריע בהחלטה לגבי נוכחות החברה בשטחי האיחוד האירופי. עוד מצוין כי מקום המושב המרכזי של מעבד המידע צריך להיות מרכז ניהול עסקיו בתוך האיחוד האירופי ואם אין לו מרכז כזה – או אז מתייחסים למקום שבו מבוצעת עיקר פעילות עיבוד המידע.

זאת ועוד, ה GDPR  חל גם על ארגונים שמקום מושבם איננו באיחוד האירופי, אך הם מציעים מוצרים ושירותים לנושאי מידע הנמצאים באיחוד האירופי. מדובר על הצעה של שירותים ומוצרים ואין הכרח שיבוצע בפועל תשלום.

ה GDPR  חל גם על ניטור פעילות של נושאי מידע הנמצאים באיחוד האירופי, עיבוד מידע אישי של נושאי מידע על ידי בעל שליטה במידע או מעבד מידע שאין להם נוכחות פיזית באיחוד האירופי.

לסיכום:

תקנות GDPR חלות על כל בעל מאגר מידע ומעבד מידע שהעסק שלו נמצא בגבולות האיחוד האירופי.

בנוסף, התקנות יחולו גם על כל בעל שליטה במידע ומעבד מידע שהעסק שלו אינו נמצא בגבולות האיחוד האירופי במידה והעסק נושא מידע על תושבי האיחוד האירופי, לדוגמא עסק בעוסק בשיווק ומכירת שירותים/מוצרים לתושבי האיחוד  או במידה והעסק עוקב אחר התנהגות המשתמש האירופאי באתר/באפליקציה.

מכאן שתקנות ה GDPR חלות גם על כל חברה ישראלית המשווקת או מספקת שירותים הקשורים במידע אישי של אזרחי האיחוד האירופי, עד רמת בחינת צד ג’ המקבל את המידע כי הוא עומד בתקנות הGDPR

עיקרי החובות החלות עליכם:

החובות החלים על כל ארגון הם נגזרת של המידע אותו מחזיק הארגון בין אם כבקר של מידע ובין אם מעבד מידע עבור אחרים.

במצב כזה יש לבצע הליך פנימי בתוך הארגון ולבחון בין היתר את פרמטרים הבאים:

  1. ביצוע ניתוח פערים בין המצב הקיים לבין החובות החלות על החברה מכוח ה GDPR.
  2. בחינת אופן אחסון המידע בתחומי האיחוד האירופי
  3. בחינה מחודשת של הסכמי התקשרות בין חברות ישראליות באמצעות חברות קשורות אמריקניות שצריכות להיערך לכך שחברות אירופאיות אינן מוכנות להסתמך יותר על ה .Privacy Shield
  4. מינוי DPO.
  5. קביעת נהלי אבטחה ברורים.
  6. ביצוע הדרכה והטמעה של נהלי אבטחה ועדכון שוטף.
  7. עריכת סקר סיכוני הגנת פרטיות על מנת לקבל תמונה ברורה של הסיכונים הכרוכים בפעילות ומסייעת בהפחתת הסיכונים לארגון ולנושאי המידע.
  8. יצירת מערכת ניהול מידע של נושא המידע.
  9. יצירת מנגנון הגנה ופיקוח על ממאגרי מידע.
  10. קביעת נציג באיחוד האירופי.
  11. יישום הנחיות רגולטוריות ספציפיות בהתאם לתקנות

 

אכיפה וקנסות:

כל זליגת מידע היא אירוע בטיחותי. לא רק סיכון בטיחותי או איום בטיחותי. אירוע שכזה עשוי להוביל לעיבוד לא חוקי של מידע אישי ובמקרה כזה יש לנקוט באמצעים ארגוניים וטכניים על מנת להבטיח מידת אבטחה התואמת את הסיכון.

במצב של הפרה הארגון חשוף לקנסות ולהליכי אכיפה שונים שיכולים להגיע עד 20 מליון יורו או 4% ממחזורה הבינלאומי השנתי המצטבר של החברה, הגבוה מבין השניים.

להלן טבלת מעקב אחר אכיפת GDPR  הלקוחה מתוך : https://www.enforcementtracker.com/  טבלה זו ממחישה את גודל החשיפה של כל ארגון שאינו עומד בתנאי החוק.

כמובן שזה רק חלק מהמדינות שנקנסו. אתם מוזמנים לבקר באתר ולבחון מקרוב את גובה הקנסות וסוג ההפרה הקשורה לכל קנס.

מדינה – הממלכה המאוחדת

  • תאריך – 2019-12-20
  • קנס [€] – 320,000
  • בקר / מעבד – סף דלת Dispensaree בע”מ (בית מרקחת)
  • אמנות מצוטטת – אומנות
  • 32 GDPR
  • סוג – אין די אמצעים טכניים וארגוניים כדי להבטיח אבטחת מידע

רומניה:

  • סמכות – הרשות הפיקוח הלאומית הרומנית על עיבוד נתונים אישיים (ANSPDCP)
  • תאריך – 2019-12-18
  • קנס [€] – 2,000
  • בקר / מעבד – Telekom רומניה ניידת תקשורת SA
  • אמנות מצוטטת – אומנות
  • 32 GDPR
  • סוג – אין די אמצעים טכניים וארגוניים כדי להבטיח אבטחת מידע

שוודיה:

  • סמכות – הרשות להגנת המידע של שוודיה
  • תאריך – 2019-12-16
  • קנס [€] – 35,000
  • בקר / מעבד -נוסוואר א.ב.
  • אמנות מצוטטת – אומנות
  • אומנות. 6 GDPR
  • סוג – אין בסיס משפטי מספיק לעיבוד נתונים

בלגיה:

  • הרשות הבלגית להגנת נתונים (APD)
  • קנס [€] – 2,000
  • בקר / מעבד – ארגון טיפולי סיעודאומנות
  • אומנות מצוטטת – 12 GDPR, אמנות. 15 GDPR, אמנות. 17 GDPR
  • סוג – אין די במילוי זכויות הנבדקים

הונגריה:

  • הרשות הלאומית להונגריה להגנת מידע וחופש המידע (NAIH)
  • תאריך – 2019-12-11
  • קנס [€] – 1,500
  • בקר / מעבד – חברה לא ידועה
  • אומנות מצוטטת – אומנות. 6 GDPR
  • סוג – אין בסיס משפטי מספיק לעיבוד נתונים

ספרד:

  • סמכות – הרשות הספרדית להגנת נתונים (aepd)
  • תאריך – 2019-12-10
  • קנס [€] – 1,600
  • בקר / מעבד – Megastar SL
  • אומנות מצוטטת – אומנות. 5 (1) ג) GDPR, אמנות. 13 GDPR
  • סוג – אי ציות לעקרונות כלליים של עיבוד נתונים

גרמניה:

  • סמכות – הנציב הפדרלי להגנת נתונים וחופש המידע (BfDI)
  • תאריך – 09-09-2019
  • קנס [€] – 9,550,000
  • בקר / מעבד – ספק טלקום (1 & 1 Telecom GmbH)
  • אומנות מצטטת – אומנות. 32 GDPR
  • אין די אמצעים טכניים וארגוניים כדי להבטיח אבטחת מידע

גרמניה:

  • סמכות – הנציב הפדרלי להגנת נתונים וחופש המידע (BfDI)
  • תאריך – 2019-12-04
  • קנס [€] – 10,000
  • בקר / מעבד – Rapidata GmbH
  • אומנות מצטטת – אומנות. 37 GDPR
  • היעדר מינוי קצין להגנת נתונים

רומניה:

  • סמכות – הרשות הפיקוח הלאומית הרומנית על עיבוד נתונים אישיים (ANSPDCP)
  • תאריך – 2019-12-04
  • קנס [€] – 20,000
  • בקר / מעבד – S CNTAR TAROM SA (חברת תעופה)
  • אומנות מצטטת – אומנות. 32 GDPR
  • אין די אמצעים טכניים וארגוניים כדי להבטיח אבטחת מידע

השירותים שלנו:

DATA WATCH מתמחה במתן פתרון משפטי וטכנולוגי, הכולל פתרונות אישיים ומותאמים באופן מדויק לארגון שלך, חלק מהשירותים הינם כדלקמן:

  1. אפיון העסק והגדרת המאגר.
  2. רישום מאגרים.
  3. סקר עמידה בדרישות התקנות.
  4. כתיבת נהלי אבטחה.
  5. ניהול מסמכים מול שירותי מיקור חוץ הניתנים לארגון
  6. ניהול יומן ביקורות תקופתיות.
  7. שירות שוטף כממונה הגנת פרטיות חיצוני.
  8. עריכת פעילות פרו אקטיבית במטרה להקטין את הסבירות לפגיעה ולחשיפה.
  9. עריכת סקר סיכונים לזיהוי חשיפות זליגת מידע (ממוקד בסוג מידע הקריטי לארגון).
  10. ייצוג בביקורת בשיתוף עם משרדי עורכי דין במדינות האיחוד.

אודות המחבר

מערכת DataWatch