השפעת רגולציית ה-GDPR על העסקים באזורינו

ב-25 במאי השנה, תקנות האיחוד האירופי להגנה על נתונים (GDPR) תחלפנה את כל חוקי הגנת הנתונים הקיימים בכל מדינה באיחוד האירופי. הסיבה העיקרית שאנו, בישראל, מתעניינים כל כך ברגולצייה הנ"ל, הינה כי גם עסקים בינלאומיים יושפעו מתקנות אלו.

חשוב לציין כי הדרך בה אנו יוצרים ומטפלים בנתונים של המשתמשים, השתנתה ללא היכר ב-20 השנים האחרונות. ואי לכך, האיחוד האירופי מכיר בזכותו של אדם להגנה על הנתונים האישיים שלו כזכות יסוד של האדם. בהתאם לכך, הוראות ה-GDPR מקנות משקל משמעותי בהבטחת ההוגנות ומאפשרות ליחידים שליטה על הנתונים האישיים שלהם. הדבר מתורגם לסטנדרט תאימות גבוה לארגונים המטפלים בנתונים אישיים ובסנקציות כבדות על אי-ציות.

בטורי הדעה הקודמים, דנו בהרחבה בכללים חדשים החלים תחת רגולציית ה-GDPR. בין היתר:

● מינוי נציגים: אם ארגון שמבוסס מחוץ לאירופה מעבד נתונים אישיים ביחס להצעת מוצרים לנושאי נתונים באיחוד האירופי או עוקב אחר התנהגותם של נושאי נתונים מהאיחוד האירופי, אותו ארגון חייב למנות נציג באיחוד האירופי, אלא אם כן חל פטור.

● קנסות: עסקים עלולים להיות כפופים לקנסות של עד 20 מיליון יורו או 4% מהמחזור העולמי השנתי, הגבוה מביניהם, בגין הפרות מסוימות.

● הודעות על הפרת נתונים: על בקר נתונים להודיע לרשות הפיקוח הרלוונטית על הפרת אבטחת מידע אישית תוך 72 שעות מהיותו מודע להפרה כזו, במידת האפשר. הם עשויים גם להידרש להודיע לאנשים שנפגעו באם האירוע עלול לגרום להם נזק חמור.

● קציני הגנת המידע: רשויות ציבוריות וחברות פרטיות שעיקר עיסוקן כרוך בעיבוד בקנה מידה גדול של נתונים רגישים, נדרשות למנות קצין הגנה על נתונים כדי לפקח על ציות לכללים.

● זכויות גדולות יותר ליחידים: לאנשים יהיו זכויות משופרות ביחס לנתונים האישיים שלהם, כגון הזכות להישכח.

עסקים חייבים לבדוק את התנהלותם בתחום הגנת הפרטיות, על מנת להבטיח שהם יכולים לעמוד בכללים אלה.

ההנחיות הנוכחיות להגנה על נתונים של האיחוד האירופי משפיעות בעיקר על ארגונים שהוקמו באירופה, השולטים בנתונים אישיים (בעלי המידע). עם זאת, יש לה גם השפעה על חברות המחזיקות מידע שהוקמו מחוץ לאיחוד האירופי.

לדוגמה, תקנה זו חלה על עיבוד של נתונים אישיים בהקשר של פעילות של בעלי מאגר או מעבדי מידע באיחוד, בין אם העיבוד מתבצע באיחוד ובין אם לאו.

כמו כן, רגולציה זו חלה על עיבוד נתונים אישיים של נושאי נתונים הנמצאים באיחוד על ידי בעל המידע או מעבד המידע שאינם ממוקמים באיחוד, כאשר פעולות העיבוד קשורות להצעת סחורות או שירותים, למעקב אחר התנהגות הפרטים ככל שהתנהגותם מתרחשת בתוך האיחוד, או לעיבוד נתונים אישיים על ידי בעל מידע שלא ממוקם באיחוד, אלא במקום שבו חל חוק המדינות החברות מכוח המשפט הבינלאומי הפומבי.

שמים עין על הגנת הפרטיות

בהתאם לכך, הדבר ישפיע על הקבוצות הארגוניות שיש להן פעילות הן באירופה והן במזרח התיכון. אם נתונים אישיים הרלוונטיים מבחינה מבצעית לעסקים האירופיים מעובדים במזרח התיכון, זה יכול להיחשב עיבוד בהקשר של הממסד האירופי. דוגמה לארגונים מעין אלו הינם חברות תעופה, בתי מלון ואחרים בתעשיית האירוח – שצריכים להיות מודעים במיוחד לכך שהשימוש בשיטות שיווק או ניטור מקוונות עלול ליצור נטל נוסף אם ישתמשו בו כלפי הצרכנים האירופאים.

כלומר, קיימת חשיבות מרובה עבור ארגונים במזרח התיכון, לדוגמה, להעריך את כל פעולות עיבוד הנתונים האישיים הקיימים בשימושם. זה צריך לכלול גם הסתכלות על כל הפעילויות שעשויות להיות כרוכות בעיבוד של נתונים אישיים הקשורים ליחידים באיחוד האירופי, כולל מידע מזהה בעקיפין אנשים כאלה (כגון, כתובות IP או מספרי סימוכין של לקוחות).

החברות צריכות להיות מודעות לסיכון המשפטי של אי-עמידה ברגולציה, במיוחד לאור ההתמקדות הגוברת של ממשלות בינלאומיות בהגנה על נתונים אישיים של אזרחיהם.

על כן, הולך וגובר הצורך בנקיטת צעדים מיידיים ליישום התהליכים והנהלים המאפשרים התמודדות עם הפערים הקיימים בארגון לצורך הציות והתאימות לרגולציה. צעדים אלו חייבים לכלול פיתוח מדיניות חדשה לטיפול בנתונים, עדכון סעיפי חוזים והודעות פרטיות, והטמעת אמצעי אבטחה טכניים וארגוניים.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.