מדריך מעשי ליישום חוק GDPR בעסק שלכם
כיום, עסקים דיגיטליים הפועלים באירופה או משרתים לקוחות מאירופה מחויבים לעמוד בהוראות GDPR – רגולציית הגנת הפרטיות האירופית. שינוי רגולטורי שהשפיע משפטית, תפעולית וטכנולוגית על אינספור אתרים בישראל ובעולם ואשר הלכה למעשה היה הראשון מבין שלל חוקים והוראות הגנת פרטיות שהשוקו ועוד יושקו בעולם כלפי המרחב הדיגיטלי.
אי עמידה בהגדרות המקיפות והמחמירות של GDPR עשויה לגרור קנסות בסכומים אסטרונומיים של עד 20,000,000 מיליון אירו וגם תביעות משפטיות כנגד עסקים ומנהלים. לפניכם מדריך GDPR מעשי הכולל צעדים שאתם יכולים לבצע כדי לבדוק את עמידתכם ב-GDPR ומניעת תסבוכות בהמשך.
סעיפי מדריך GDPR זה בהחלט רלוונטיים ומעשיים, באופן מיידי, אך זכרו שמדובר על תחום סבוך הכולל אינספור אלמנטים ודקויות טכנולוגיות ומשפטיות ולכן כדי להתאים את האתר שלכם באופן מלא אתם חייבים ליווי מקצועי של עורך דין מומחה GDPR ושילוב של גופי הטמעת אמצעי הגנה ואבטחת מידע אישי.
עורך הדין בועז ראובן וצוות המשרד מתמחה במיסוי, משפט בינלאומי ובהיבטים משפטיים של פעילות אינטרנטית. עו"ד ראובן הינו מומחה לחוק GDPR וליישום תקין ויעיל שלו בעסקים וארגונים מכל הסוגים. נשמח לעמוד לשירותכם לכל שאלה או סיוע בתהליך.
האם העסק שלכם מוכן ל-GDPR?
האופן בו עסקים וארגונים אוספים, מנתחים ומשתמשים במידע האישי של גולשים ומשתמשים, השתנה מהותית עם כניסתה לתוקף חוקי מחייב של רגולציית אבטחת המידע והפרטיות של האיחוד האירופי ב-2018 – כאשר החוק משפיע גם על עסקים הפועלים מחוץ לאיחוד האירופי אך מציעים שירות לתושביו. על העסק שלכם להתאים עצמו ל-GDPR ובהחלט מדובר על מהפכה במרחב הדיגיטלי אשר יש לה השלכות תקציביות, טכנולוגיות, משפטיות וגם ביישום בפועל של פרקטיקות של פרסום ושיווק דיגיטלי. קראו את המדריך שלנו ל-GDPR ותוכלו להתאים עצמכם לחוק החדש ולקבל יתרון תחרותי על פני המתחרים.
למה GDPR רלוונטי לאתרים בישראל?
תקנות GDPR מתייחסות כאמור למידע אישי הנאסף ממשתמשים דיגיטליים הנמצאים גיאוגרפית בתחומי האיחוד האירופי. אם כך מדוע בעצם הנושא רלוונטי לאתרים בישראל? ובכן, בפשטות, כי גם אתרים ישראלים לא אחת מספקים מוצרים או שירותים למשתמשים המגיעים מאירופה, אפילו אם אינם אזרחי האיחוד.
זה אומר הלכה למעשה שרוב האתרים מחויבים לעמוד בהוראות הגנת הפרטיות, כי על אתר לפעול במסגרת ההוראות גם כאשר גולש נכנס אליו מגבולות האיחוד האירופי, אפילו אם אותו גולש הוא בכלל ישראלי שנמצא באירופה. פוטנציאל התביעה והענישה כנגד אתרים ועסקים שלא יעמדו בהוראות הרגולציה הוא גבוה וחמור מאוד, גם בהליכים משפטיים מורכבים ויקרים ובעיקר בקנסות מטעם רשויות הגנת הפרטיות האירופיות.
1. מודעות ל-GDPR ברמת הארגון ומקבלי ההחלטות
עליכם לוודא כי הנהלת הארגון ומקבלי ההחלטות הרלוונטיים מכירים את נושא ה-GDPR ואת העובדה שיש להיערך לשינוי בהקדם ומבעוד מועד. מעבר להכרת הנושא יש לזהות את הבעיות הרלוונטיות לעסק שלכם מבחינת אבטחת מידע אישי, ניתוח דאטה ושימושים בו, בהתאם להוראות החדשות כמובן.
ליישום של הוראות חוק GDPR יכולות להיות השלכות משמעותיות מבחינת הקצאת משאבים, במיוחד עבור ארגונים גדולים ומורכבים אך בהחלט גם עבור עסקים קטנים ובינוניים וגם עבור העסק שלכם. לכן היכרות עם הנושא והכרה בצורך לבצע מהלכים הינו קריטי.
2. זיהוי המידע שאתם מחזיקים וכיצד אתם משתמשים בו
עליכם לזהות ולתעד את כל המידע האישי שאתם מחזיקים ושומרים על משתמשים ולקוחות שלכם, מהאיחוד האירופי ובכלל, להבין מהיכן המידע מגיע, כיצד אתם מאחסנים אותו בעסק וגם כיצד אתם עושים בו שימוש ועם מי אתם משתפים את המידע הזה. חוק ה- GDPR החדש מדבר על כל ההיבטים האלו של אבטחת מידע אישי. תהליך זה צריך להיעשות באמצעות סקר מקצועי ומקיף, כולל איתור סוגי מידע המצריכים טיפול מיוחד לפי ה- GDPR.
3. הבינו מה, כמה ולמה מהרגולציה החדשה של האיחוד האירופי חל על העסק שלכם
ראשית כל נדגיש כי עסקים קטנים ובינוניים אינם פטורים מעמידה ברגולציית GDPR רק בשל היותם קטנים יחסית. לכן חשוב מאוד שתבינו האם הרגולציה חלה עליכם ומה בדיוק מתוכה רלוונטי עבורכם ברמה המשפטית והתפעולית. חלק זה במדריך המעשי של משרד עו"ד בועז ראובן לחוק ה- GDPR תלוי בתוצאות סקר המידע המוחזק על ידכם (סעיף 2).
העסק שלכם צריך שיהיה לו מיפוי מדויק של משתמשים, לקוחות וגולשים המגיעים משטחי האיחוד האירופי וכמובן האם אתם שומרים או עושים שימוש במידע אישי כלשהו על אותם אנשים. כמו כן יש לבחון האם המידע האישי שאתם מאחסנים ועושים בו שימוש עובר ניתוח או אחסון בשרתים בשטח האיחוד האירופי והאם גורמים באיחוד האירופי עושים שימוש במידע שאתם אוספים – כל אלו משמעותם שהרגולציה חלה עליכם ואתם חייבים לבצע התאמות טכנולוגיות ותפעוליות. שלב זה כולל גם ביצוע סקר פערים כדי להבין אלו פערים קיימים בין המצב בפועל לבין דרישות GDPR.
4. בדיקת האופן בו אתם מודיעים למשתמשים לגבי פרטיות
חלק מהותי בעמידה בחוק ה- GDPR החדש הוא האופן בו אתם מודיעים למשתמשים שלכם אודות נושאי פרטיות וכיצד אתם משיגים את הסכמתם המפורשת לאיסוף מידע. לכן עליכם לסקור ולבחון את כל הודעות העדכניות שלכם ולהכין תכנית לביצוע השינויים הנדרשים להודעות אלו כך שיעמדו בהוראות ה- GDPR.
עד לכניסת חוק GDPR לתוקף, העברתם למשתמשים מידע לגבי דרך הודעת הפרטיות שלכם, אשר נתנה מידע כללי עליכם, שאתם אוספים מידע ושאתם עושים בו שימוש כלשהו. תחת GDPR עליכם לספק מידע יותר מקיף, כמו למשל את הבסיס החוקי לאיסוף המידע, תקופת אחסון המידע ולציין למשתמשים שעומדת להם הזכות לדרוש את מחיקת המידע עליהם.
5. הגדרת הבסיס החוקי שלכם לאיסוף ועיבוד המידע
מהפכת ה- GDPR משמעותה שבפועל כל איסוף, שמירה וניתוח של מידע אישי של משתמשים/גולשים מחייב בסיס חוקי תקין ומוגדר לפעולות הספציפיות שהעסק שלכם נוקט בהן. החוק מפרט בסיסים חוקיים רלוונטיים שניתן לעבוד על פיהם, בעזרת עורך דין מומחה GDPR עליכם לקבוע מהו הבסיס החוקי המתאים לפעילותכם ולהגדיר אותו רשמית.
6. זכויות הפרט של המשתמשים שלכם
אתם צריכים לבדוק שכל זכויות הפרט של המשתמשים שלכם מכוסות ושאתם לא חורגים מהוראות ה- GDPR, כולל כיצד תמחקו מידע אישי ו/או תספקו מידע אלקטרוני בפורמט שמיש. הגדרות ה- GDPR כוללות את הזכויות הבאות:
- הזכות להיות מיודע
- הזכות לגישה למידע
- הזכות לתיקון מידע
- הזכות למחיקה – הזכות להישכח
- הזכות להגביל עיבוד נתונים
- הזכות לניוד מידע
- הזכות להתנגד לאיסוף מידע או לאופן איסופו ועיבודו
- הזכות שלא להיות מושא להחלטות אוטומטיות, כולל בניית פרופיל משתמש (Profiling)
7. הסכמה מפורשת לפי חוק ה-GDPR
אחד החלקים החשובים ביותר בחוק ה-GDPR הוא העברת השליטה על המידע האישי מארגונים, עסקים ומשווקים דיגיטליים לידי המשתמשים עצמם, לכן יש התייחסות רבה להסכמה מפורשת של המשתמש להיבטים נרחבים של איסוף, שמירה, עיבוד ואבטחת מידע אישי. עליכם לבחון לעומק כיצד אתם את הסכמת המשתמשים בהקשר למידע אישי, כיצד אתם מתעדים הסכמות אלו ומנהלים אותן – תוך ביצוע השינויים הנדרשים לפי ההוראות החדשות.
8. ילדים ו-GDPR
פרטיות של ילדים במרחב האינטרנטי היא נושאר חשוב מאוד שנמצא המון במוקדי השיח הציבורי והמקצועי. גם ה- GDPR נותן את הדעת על כך ועליכם בתור עסק או ארגון עם פעילות דיגיטלית להתאים עצמכם לדרישות. כך למשל יש לבחון יישום מערכות לאימות גיל המשתמשים שלכם, השגת הסכמה הורית והסכמות כלליות לגבי איסוף ועיבוד מידע אישי. החוק קובע כי כל ילד מתחת גיל 16 אינו יכול לתת הסכמה עצמאית לגבי מידע אישי אלא הנושא באחריות האפוטרופוס שלו.
9. פרצות נתונים ואבטחת מידע
חשוב מאוד שתבחנו את הנהלים והצעדים הטכניים שאתם מיישמים כדי לאתר, לדווח, לחקור ולתקן פרצות נתונים ואבטחת מידע, בהקשר כללי ובהקשר ישיר ומודגש למידע אישי של משתמשים. אבטחת המידע מקבלת מן הסתם דגש מהותי במסגרת ה- GDPR ועם הגדרת סוגי אבטחה רלוונטיים, כגון אבטחה דיגיטלית, אבטחה פיזית על שרתים ואבטחה ברמה ארגונית – כאשר כל הסוגים צריכים להיות מיושמים.
10. החובה לבצע תהליך להערכת השפעת סיכוני אבטחת מידע (DPIA)
תמיד היה עדיף ליישם מדיניות של פרטיות מתוכננת ולבצע הערכת סיכונים, אך כיום עם כניסתו של חוק ה- GDPR לתוקף זו אינה המלצה כי אם חובה. ההוראות מחייבות ליישם תהליך של הערכת השפעת סיכוני אבטחת מידע ופרטיות (DPIA) במכלול של תהליכים ופיתוחים של העסק או הארגון. החוק מגדיר נסיבות בהן יש לבצע סקרי DPIA חוזרים כדי לוודא עמידה ב- GDPR
באופן כללי, עמידה ב- GDPR מחייבת התנהלות של אבטחת מידע אישי ושמירה על הפרטיות כברירת מחדל עבור כל שירות או מוצר חדש – כולל מתן אפשרויות מתאימות למשתמשים לשנות את הגדרות הפרטיות שלהם.
11. קציני אבטחת מידע – Data Protection Officers
במסגרת עמידה בדרישות GDPR עסקים מסוימים יצטרכו למנות קציני אבטחת מידע בהקשר ישיר ליישום החוק. אלו אנשים מיומנים האחראים על הגנת מידע וציות לדרישות ה- GDPR. עליכם לבחון האם גם אתם נדרשים למנות קצין הגנת מידע כזה וכיצד תפקיד זה ישתלב במערך הארגוני שלכם – למשל הכשרה ומינוי של עובד קיים או גיוס כ"א נוסף למטרה זו.
12. היבטים בינלאומיים
מעבר להגדרות רגולטוריות פרטניות לגבי ארגונים הפועלים פיזית בתחומי האיחוד האירופי, ההגדרות הרחבות של GDPR מדברות גם על הוראות של העברת מידע אישי מחוץ לאיחוד האירופי. היבט בסיסי של זה הוא שתהיה "החלטת נאותות" לגבי מדינת ישראל או תחום רלוונטי (או כל יעד גיאוגרפי אחר הרלוונטי עבורכם), כאשר לצד החלטת נאותות זו יש כמובן לדאוג לאמצעי האבטחה המפורטים בהוראות החוק. ישראל נכנסת תחת ההגדרות של החלטות הנאותות של הרשויות האירופיות, אך יתכן ומצב זה ישתנה ולכן עליכם לבחון זאת בנקודת הזמן הרלוונטית עבורכם.
למה אני בכלל צריך עו"ד GDPR?
אם אחרי מדריך ליישום GDPR, בו הראנו עד כמה התחום הזה רחב, מורכב, מרובה שלבים וסבוך, אתם עדיין שואלים את עצמכם מדוע אתם צריכים שירות גם מעו"ד המומחה לתחום, הנה עוד כמה נקודות לשיקול.
אתרים ועסקים מישראל שבפועל נדרשים לעמוד בהוראות הגנת הפרטיות האירופיות, זקוקים לקבל ייעוץ משפטי מותאם אישית של עו"ד GDPR. זאת מכיוון שמדובר על תחום סבוך מאוד ועל רגולציה הם מכלול אדיר של היבטים, פרמטרים וניואנסים משפטיים. יש לזכור כי רגולציית GDPR היא חקיקה לכל דבר של מוסדות האיחוד האירופי, לכן זה הגיוני שיהיה צורך בליווי של עורך דין כדי לוודא שאתר או עסק עומדים בדרישות החוק.
יתרה מכך, GDPR משפיע על מגוון תחומים ונושאים נוספים לגבי פעילותם של עסקים ואתרים, למשל קניין רוחני, דיני אינטרנט, משפט מסחרי, חוזים וכן הלאה, לכן רצוי להיעזר בשירותיו של עורך דין הבקיא ומנוסה גם בכך ויכול לספק תמונת מצב מלאה ומקיפה לגבי יישום והטמעה של GDPR.
רוצים סיוע מקצועי ומוכח בהכנה להוראות GDPR ועמידה בכל הדרישות המורכבות? פנו היום למשרד עו"ד בועז ראובן ואתם בדרך הבטוחה, היעילה והנכונה לקראת ציות לשינויים ברגולציה האירופית.