בטח כבר יצא לכם להיתקל במושג "תקנות הפרטיות החדשות" או GDPR. הודעה על קיומם של התקנות החדשות וכניסתן לתוקף בשבוע הבא (י"א סיוון, 25 במאי), קופצות מידי פעם למשתמשים הנכנסים לאפליקציות כמו פייסבוק, Gmail ועוד. רוצים לדעת במה מדובר? בשביל זה אנחנו כאן!
בעקבות איסוף המידע האגרסיבי על ידי חברות הטכנולוגיה, שלא פעם הוכח כי הוא פוגע במשתמשים, הגדיר האיחוד את תקנות הפרטיות GDPR (General Data Protection Regulation), שמטרתן היא להסדיר את השמירה על המידע האישי של אזרחי האיחוד האירופי המוחזק בידי חברות מסחריות.
רגע, אני לא אזרח האיחוד האירופי, למה זה צריך לעניין אותי?
כל חברה המחזיקה בפרטי מידע על אזרחים באיחוד האירופי, תפעל על פי התקנות החדשות, ובטח אתה משתמש במוצר, לפחות אחד, של חברה כזו. דבר נוסף, והוא לא פחות חשוב: בישראל הגדירו תקנות פרטיות חדשות שאמורות לחכות את אלו האירופאיות, אך הן יותר מקלות. התקנות הללו, נכנסו לתוקף בשבוע שעבר. כדאי לכם להכיר.
נתחיל מהגרסה הישראלית של הרגולציה לשמירת הפרטיות. התקנות החדשות קובעות רף של אחריות כלפי כל גורם, במגזר הציבורי והפרטי, המנהל מאגר של מידע אישי, והוא משתנה בהתאם לגודלו של המאגר, סוג המידע הנשמר בו וכן מספר המורשים לניהולו ולתפעולו.
תקנות אבטחת המידע הישראליות: כל בעל עסק חייב להכיר
בעלי העסקים הקטנים, לרוב, מחזיקים מאגרים ברמת האבטחה הבסיסית, כפי שנקבעה בתקנות החדשות. בהגדרה זו נכנסים בעלי עסקים המחזיקים מאגרים כמו רשימת דיוור ישיר וכדומה ואשר המורשים בגישה למאגר אינה עולה על עשרה אנשים. ברמה אבטחה הבינונית נכנסים מאגרים אליהם יש גישה למעלה מעשרה אנשים ו/או המחזקים במידע רגיש כגון מידע רפואי, גנטי, דתי או פלילי (הרשעות). מאגרים המוגדרים ברמת אבטחה גבוהה, כוללים בעלי רשומות של יותר מ-100,000 איש ומספר המורשים בגישה אליהם עולה על 100.
אם אתם בעלי מאגרי מידע יחיד, ברמת אבטחה בסיסית, חלות עליכם חובות מצומצמות ביותר, הכוללות הכנת מסמך הגדרות המאגר (להורדה – מסמך הגדרות מאגר לדוג'), אבטחה פיזית, ניהול הרשות הגישה והיקפן, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים, הפרדת מערכות ושימוש בתקשורת מאובטחת.
בעלי המאגרים בשאר רמות האבטחה, נדרשים להכין מסמך הגדרות מאגר מורחב יותר, במסגרתו יגדירו את איסוף המידע, מטרות השימוש בו, סוגי המידע, והאם לא נאסף מידע מעבר לדרוש. למסמך יש להוסיף נוהל אבטחת מידע ומיפוי מערכות. ברמת האבטחה הגבוהה קיימת דרישה גם לבצע סקר סיכונים, אבטחה פיזית, ניהול הרשאות גישה, זיהוי ואימות ובקרה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים ועוד ועוד. הכל מפורט בתקנות. אם יש לכם מאגרי מידע שכאלו, רוצו לקרוא על כל התקנות הללו כדי לדעת הכל.
התקנות האירופאיות, שזכו לשם GDPR, כאמור, מחמירות הרבה יותר והן יותר מפורטות. הן כוללות, בין היתר:
במקרים מסוימים, מחייבות תקנות GDPR של האיחוד האירופאי גם מתן הסכמה לאיסוף המידע ובמקרה של קטינים מתחת גיל 16, נדרשת הסכמה של הוריהם.
מה העונש לאי עמידה בתקנות אבטחת המידע?
אם אתם אוגרים מידע על אזרחי האיחוד האירופי, תקנות GDPR יחייבו אתכם בקנס של 4% ממחזור הכספים שלכם או לחילופין קנס בגובה 20 מיליון יורו, הגבוה מבניהם. זאת במידה והפרתם התקנות הללו לאחר כניסתן לתוקף. בישראל העונש הוא עד חמש שנות מאסר בפועל, אם הוכחה אחריות פלילית וכן ניתן לתבוע על הפרה זו בבית משפט אזרחי.
אם אתם מחזיקים בפרטי מידע אישי גם על אזרחים אירופאים, תידרשו ליישר קו עם תקנות GDPR. ההמלצה של הרשות להגנת הפרטיות בישראל, היא לקבל ייעוץ משפטי במקרה שכזה.
רוצים לדעת עוד על התקנות החדשות בישראל? – קראו את המדריך המלא לתקנות הגנת הפרטיות.
עצמאיים או בעלי עסקים קטנים? כדאי לכם לקרוא את המדריך המקוצר, אך המפורט, שהכינו עבורכם ברשות להגנת הפרטיות בישראל.