צור קשר
ייעוץ משפטי אישי 24/7

מדריך מעשי ליישום חוק GDPR בעסק שלכם

החל מה-25 במאי 2018 עסקים דיגיטליים הפועלים באירופה או משרתים לקוחות מאירופה מחויבים לעמוד בחוקי GDPR החדשים לרגולציית פרטיות. אי עמידה בהגדרות המקיפות והמחמירות של GDPR עשויה לגרור קנסות בסכומים אסטרונומיים של עד 20,000,000 מיליון אירו וגם תביעות משפטיות כנגד עסקים ומנהלים. לפניכם מדריך מעשי הכולל צעדים שאתם יכולים לבצע כדי לבדוק את עמידתכם ב-GDPR ומניעת תסבוכות בהמשך. סעיפי מדריך GDPR זה בהחלט רלוונטיים ומעשיים, באופן מיידי, אך מדובר על תחום סבוך הכולל אינספור אלמנטים ולכן כדי להתאים את העסק שלכם באופן מלא אתם חייבים ליווי מקצועי של עורך דין מומחה GDPR ומומחי אבטחת מידע.

עורך הדין בועז ראובן וצוות המשרד מתמחה במיסוי, משפט בינלאומי ובהיבטים משפטיים של פעילות אינטרנטית. עו"ד ראובן הינו מומחה לחוק GDPR וליישום תקין ויעיל שלו בעסקים וארגונים מכל הסוגים – מדריך זה מוצע לכם בחינם לקראת מהפכת ה-GDPR שעשויה להשפיע מהותית גם על העסק שלכם. נשמח לעמוד לשירותכם לכל שאלה או סיוע בתהליך.

האם העסק שלכם מוכן ל-GDPR?

האופן בו עסקים וארגונים מטפלים, שומרים ומנתחים את המידע האישי של לקוחות ומשתמשים משתנה מהותית עם כניסתו לתוקף של חוק רגולציית אבטחת המידע החדש של האיחוד האירופי – כאשר החוק משפיע גם על עסקים הפועלים מחוץ לאיחוד האירופי אך מציעים שירות לתושביו. על העסק שלכם להתאים עצמו ל-GDPR ובהחלט מדובר על מהפכה במרחב הדיגיטלי אשר יש לה השלכות תקציביות, תפעוליות, משפטיות וגם ביישום בפועל של פרקטיקות של פרסום ושיווק דיגיטלי. קראו את המדריך שלנו ל-GDPR ותוכלו להתאים עצמכם לחוק החדש ולקבל יתרון תחרותי על פני המתחרים.

1. מודעות ל-GDPR ברמת הארגון ומקבלי ההחלטות

עליכם לוודא כי הנהלת הארגון ומקבלי ההחלטות הרלוונטיים מכירים את נושא ה-GDPR ואת העובדה שיש להיערך לשינוי בהקדם ומבעוד מועד. מעבר להכרת הנושא יש לזהות את הבעיות הרלוונטיות לעסק שלכם מבחינת אבטחת מידע אישי, ניתוח דאטה ושימושים בו, בהתאם להוראות החדשות כמובן.

ליישום של הוראות חוק GDPR יכולות להיות השלכות משמעותיות מבחינת הקצאת משאבים, במיוחד עבור ארגונים גדולים ומורכבים אך בהחלט גם עבור עסקים קטנים ובינוניים וגם עבור העסק שלכם. לכן היכרות עם הנושא והכרה בצורך לבצע מהלכים הינו קריטי.

2. זיהוי המידע שאתם מחזיקים וכיצד אתם משתמשים בו

עליכם לזהות ולתעד את כל המידע האישי שאתם מחזיקים ושומרים על משתמשים ולקוחות שלכם, מהאיחוד האירופי ובכלל, להבין מהיכן המידע מגיע, כיצד אתם מאחסנים אותו בעסק וגם כיצד אתם עושים בו שימוש ועם מי אתם משתפים את המידע הזה. חוק ה- GDPR החדש מדבר על כל ההיבטים האלו של אבטחת מידע אישי. תהליך זה צריך להיעשות באמצעות סקר מקצועי ומקיף, כולל איתור סוגי מידע המצריכים טיפול מיוחד לפי ה- GDPR.

3. הבינו מה, כמה ולמה מהרגולציה החדשה של האיחוד האירופי חל על העסק שלכם

ראשית כל נדגיש כי עסקים קטנים ובינוניים אינם פטורים מעמידה ברגולציית GDPR רק בשל היותם קטנים יחסית. לכן חשוב מאוד שתבינו האם הרגולציה חלה עליכם ומה בדיוק מתוכה רלוונטי עבורכם ברמה המשפטית והתפעולית. חלק זה במדריך המעשי של משרד עו"ד בועז ראובן לחוק ה- GDPR תלוי בתוצאות סקר המידע המוחזק על ידכם (סעיף 2).

העסק שלכם צריך שיהיה לו מיפוי מדויק של משתמשים, לקוחות וגולשים המגיעים משטחי האיחוד האירופי וכמובן האם אתם שומרים או עושים שימוש במידע אישי כלשהו על אותם אנשים. כמו כן יש לבחון האם המידע האישי שאתם מאחסנים ועושים בו שימוש עובר ניתוח או אחסון בשרתים בשטח האיחוד האירופי והאם גורמים באיחוד האירופי עושים שימוש במידע שאתם אוספים – כל אלו משמעותם שהרגולציה חלה עליכם ואתם חייבים לבצע התאמות טכנולוגיות ותפעוליות.

4. בדיקת האופן בו אתם מודיעים למשתמשים לגבי פרטיות

חלק מהותי בעמידה בחוק ה- GDPR החדש הוא האופן בו אתם מודיעים למשתמשים שלכם אודות נושאי פרטיות וכיצד אתם משיגים את הסכמתם המפורשת לאיסוף מידע. לכן עליכם לסקור ולבחון את כל הודעות הפרטיות העדכניות שלכם ולהכין תכנית לביצוע השינויים הנדרשים להודעות אלו כך שיעמדו בהוראות ה- GDPR.  

עד לכניסת חוק GDPR לתוקף, העברתם מידע למשתמשים מידע לגבי פרטיות דרך הודעת הפרטיות שלכם, אשר פירטה באופן כללי מי אתם, שאתם אוספים מידע ושאתם עושים בו שימוש כלשהו. תחת GDPR עליכם לספק מידע יותר מקיף, כמו למשל את הבסיס החוקי לאיסוף המידע, תקופת אחסון המידע ולציין למשתמשים שעומדת להם הזכות לדרוש את מחיקת המידע עליהם.

5. הגדרת הבסיס החוקי שלכם לאיסוף ועיבוד המידע

מהפכת ה- GDPR משמעותה שבפועל כל איסוף, שמירה וניתוח של מידע אישי של משתמשים/גולשים מחייב בסיס חוקי תקין ומוגדר לפעולות הספציפיות שהעסק שלכם נוקט בהן. החוק מפרט בסיסים חוקיים רלוונטיים שניתן לעבוד על פיהם, בעזרת עורך דין מומחה GDPR עליכם לקבוע מהו הבסיס החוקי המתאים לפעילותכם ולהגדיר אותו רשמית.

6. זכויות הפרט של המשתמשים שלכם

אתם צריכים לבדוק שכל זכויות הפרט של המשתמשים שלכם מכוסות ושאתם לא חורגים מהוראות ה- GDPR,  כולל כיצד תמחקו מידע אישי ו/או תספקו מידע אלקטרוני בפורמט שמיש. הגדרות ה- GDPR כוללות את הזכויות הבאות:

  • הזכות להיות מיודע

  • הזכות לגישה למידע

  • הזכות לתיקון מידע

  • הזכות למחיקה – הזכות להישכח

  • הזכות להגביל עיבוד נתונים

  • הזכות לניוד מידע

  • הזכות להתנגד לאיסוף מידע או לאופן איסופו ועיבודו

  • הזכות שלא להיות מושא להחלטות אוטומטיות, כולל בניית פרופיל משתמש (Profiling)

7. הסכמה מפורשת לפי חוק ה-GDPR

אחד החלקים החשובים ביותר בחוק ה-GDPR הוא העברת השליטה על המידע האישי מארגונים, עסקים ומשווקים דיגיטליים לידי המשתמשים עצמם, לכן יש התייחסות רבה להסכמה מפורשת של המשתמש להיבטים נרחבים של איסוף, שמירה, עיבוד ואבטחת מידע אישי. עליכם לבחון לעומק כיצד אתם את הסכמת המשתמשים  בהקשר למידע אישי, כיצד אתם מתעדים הסכמות אלו ומנהלים אותן – תוך ביצוע השינויים הנדרשים לפי ההוראות החדשות.

8. ילדים ו-GDPR

פרטיות של ילדים במרחב האינטרנטי היא נושאר חשוב מאוד שנמצא המון במוקדי השיח הציבורי והמקצועי. גם ה- GDPR נותן את הדעת על כך ועליכם בתור עסק או ארגון עם פעילות דיגיטלית להתאים עצמכם לדרישות. כך למשל יש לבחון יישום מערכות לאימות גיל המשתמשים שלכם, השגת הסכמה הורית והסכמות כלליות לגבי איסוף ועיבוד מידע אישי. החוק קובע כי כל ילד מתחת גיל 16 אינו יכול לתת הסכמה עצמאית לגבי פרטיות ומידע אישי אלא הנושא באחריות האפוטרופוס שלו.

9. פרצות נתונים ואבטחת מידע

חשוב מאוד שתבחנו את הנהלים והצעדים הטכניים שאתם מיישמים כדי לאתר, לדווח, לחקור ולתקן פרצות נתונים ואבטחת מידע, בהקשר כללי ובהקשר ישיר ומודגש למידע אישי של משתמשים. אבטחת המידע מקבלת מן הסתם דגש מהותי במסגרת ה- GDPR ועם הגדרת סוגי אבטחה רלוונטיים, כגון אבטחה דיגיטלית, אבטחה פיזית על שרתים ואבטחה ברמה ארגונית – כאשר כל הסוגים צריכים להיות מיושמים.

10. החובה לבצע תהליך להערכת השפעת סיכוני אבטחת מידע (DPIA)

תמיד היה עדיף ליישם מדיניות של פרטיות מתוכננת ולבצע הערכת סיכוני פרטיות, אך כיום עם כניסתו של חוק ה- GDPR לתוקף זו אינה המלצה כי אם חובה. ההוראות מחייבות ליישם תהליך של הערכת השפעת סיכוני אבטחת מידע ופרטיות (DPIA) במכלול של תהליכים ופיתוחים של העסק או הארגון. החוק מגדיר נסיבות בהן יש לבצע סקרי DPIA חוזרים כדי לוודא עמידה ב- GDPR

באופן כללי, עמידה ב- GDPR מחייבת התנהלות של אבטחת מידע אישי ושמירה על הפרטיות כברירת מחדל עבור כל שירות או מוצר חדש – כולל מתן אפשרויות מתאימות למשתמשים לשנות את הגדרות הפרטיות.

11. קציני אבטחת מידע – Data Protection Officers

במסגרת עמידה בדרישות GDPR עסקים מסוימים יצטרכו למנות קציני אבטחת מידע בהקשר ישיר ליישום החוק. אלו אנשים מיומנים האחראים על הגנת מידע וציות לדרישות ה- GDPR. עליכם לבחון האם גם אתם נדרשים למנות קצין הגנת מידע כזה וכיצד תפקיד זה ישתלב במערך הארגוני שלכם – למשל הכשרה ומינוי של עובד קיים או גיוס כ"א נוסף למטרה זו.

12. היבטים בינלאומיים

מעבר להגדרות רגולטוריות פרטניות לגבי ארגונים הפועלים פיזית בתחומי האיחוד האירופי, ההגדרות הרחבות של GDPR מדברות גם על הוראות של העברת מידע אישי מחוץ לאיחוד האירופי. היבט בסיסי של זה הוא שתהיה "החלטת נאותות" לגבי מדינת ישראל או תחום רלוונטי (או כל יעד גיאוגרפי אחר הרלוונטי עבורכם), כאשר לצד החלטת נאותות זו יש כמובן לדאוג לאמצעי האבטחה המפורטים בהוראות החוק. ישראל נכנסת תחת ההגדרות של החלטות הנאותות של הרשויות האירופיות, אך יתכן ומצב זה ישתנה ולכן עליכם לבחון זאת בנקודת הזמן הרלוונטית עבורכם.

רוצים סיוע מקצועי ומוכח בהכנה לחוק GDPR ועמידה בכל הדרישות המורכבות שלו? פנו היום למשרד עו"ד בועז ראובן ואתם בדרך הבטוחה, היעילה והנכונה לקראת ציות לשינויים הרגולציה האירופית החדשה.

 

דילוג לתוכן