Skip to main content

5 מדינות עם מדיניות פרטיות נתונים דמוית GDPR

GDPR, וההשלכות השיווקיות של תקנות מגבילות לפרטיות נתונים, נחשבות לרוב לעתודה המוגבלת של האיחוד האירופי.

עם זאת, זוהי תפיסה מוטעית במידה מסוימת, כאשר החקיקה שהוקמה באיחוד האירופי סובבת סביב ההגנה על "נתונים השייכים לאזרחי האיחוד האירופי ותושבי האיחוד האירופי" - ולא רק ההגנה על נתונים שנותרו בגבולות האיחוד האירופי.

ואכן, סעיף 3 מתאר בפירוט את ההיקף הטריטוריאלי של GDPR, הכולל שני מקרים מרכזיים שבהם GDPR פועל מחוץ לאיחוד האירופי:

  1. כאשר מציעים סחורות ושירותים לאזרחי ותושבי האיחוד האירופי
  2. בעת ניטור ההתנהגות המקוונת של אזרחי ותושבי האיחוד האירופי

מעבר לחריגים הללו, ישנה גם קיומה של חקיקה דומה, לעתים קרובות בהשראת ה-GDPR, במקומות אחרים בעולם.

לאילו מדינות אחרות יש מדיניות פרטיות דמוית GDPR?

1. קליפורניה (כן, אנחנו יודעים, לא מדינה)

כנראה חוק הפרטיות המדובר ביותר ב-GDPR מחוץ לאיחוד האירופי הוא חוק פרטיות הצרכן של קליפורניה(CCPA).

למרות שברור שקליפורניה היא מדינה ולא מדינה, הפופולריות של חקיקה זו של המדינה הובילה למספר מדינות אחרות שמתכננות את השקת מדיניות דומה ב-2022.

ואכן, בסך הכל 15 מדינותאישרו שניסוח הצעת חוק דומה מתוכננת לשנה זו, או שיש להן הצעת חוק דומה שכבר נמצאת בתהליך.

מדינות כאלה כוללות את מרילנד, פלורידה, וושינגטון ומיסיסיפי, בעוד שיש כמה אחרות שאמנם לא מתחייבות למסירה ב-2022 - בוחנים את הפוטנציאל של ללכת בעקבותיה.

2. שבדיה (חוק פרטיות הנתונים הראשון)

אז, בעוד שוודיה כמובן חברה באיחוד האירופי ובכך נופלת תחת תנאי ה-GDPR, כדאי גם להסתכל אחורה אל חוק פרטיות הנתונים הלאומי הראשון בעולם.

כן, תאמינו או לא, חוק פרטיות הנתונים בעידן הדיגיטלי מתקרב כעת ליום הולדתו ה-50.

יחד עם הגרמנים, השבדים מילאו תפקיד מפתח בחקיקה המוקדמת של פרטיות הנתונים. זה כלל את העברת חוק פרטיות הנתונים הלאומי הראשון, חוק הנתונים, עוד ב-1973.

פותח כדי "להפליל גניבת נתונים ולתת לנושאים מידע חופש לגשת לרשומות שלהם", יצירת חוק הנתונים זרזה על ידי עיבוד דיגיטלי של נתוני מפקד האוכלוסין כבר ב-1969.

שילוב של אימוץ מוקדם של שוודיה של מחשבים בתפקידים ציבוריים ותרבות הבנויה על שקיפות ופתיחות סלל את הדרך לחקיקה.

3. קנדה ו-PIPEDA

חוק הגנת מידע אישי ומסמכים אלקטרונייםשל קנדה (PIPEDA) נחשב לעתים קרובות לחוק פרטיות הנתונים הקרוב ביותר ל-GDPR.

למעשה, התפתחות החוק הונחה חלקית על ידי השאיפה לפייס את קובעי המדיניות של האיחוד האירופי ולהקל על העברת הנתונים בין קנדה לאיחוד האירופי.

בעוד שהם דומים ל-GDPR, ישנם כמה מבדילים מרכזיים, שחלקם נחשבים כאחראים להגבלת הפנייה הבינלאומית של PIPEDA.

ההבדלים הללו סובבים סביב שבעה תחומים עיקריים:

  1. קריטריונים להחלה
  2. אקסטריטוריאליות
  3. הסכמה לעיבוד נתונים
  4. הזכות להישכח
  5. ניידות נתונים
  6. התראות על הפרת נתונים
  7. קנסות

בנקודה האחרונה, גודל הקנסות הקשורים להפרות GDPR הפך לכמעט אגדי ושימש כזרז מרכזי ליצירת פתרונות תוכנה תואמי GDPR וייעוץ לעיבוד נתונים.

ישנה תהום ענקית בין הקנסות שניתן להטיל באמצעות GDPR - עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי - לבין קנסות PIPEDA, המוגבלים ל-100,000 דולר קנדי (כ-70,000 אירו).

PIPEDA בנויה על 10 עקרונות המידע ההוגנים שלה:

  1. אחריות
  2. זיהוי מטרות שלשמן נאספים נתונים אישיים
  3. הסכמת יחידים לאיסוף, שימוש או חשיפה של מידע אישי
  4. הגבלת איסוף הנתונים למה שצריך למטרה שזוהתה על ידי הארגון
  5. הגבלת השימוש, החשיפה והשמירה
  6. דיוק המידע האישי
  7. שמירה על מידע אישי מפני אובדן או גניבה, גישה לא מורשית וכו'.
  8. פתיחות לגבי מדיניות ופרקטיקות הנוגעות לניהול נתונים אישיים
  9. גישה אישית לפי בקשה
  10. עמידה מאתגרת בעקרונות PIPEDA

4. ישראל

כשאנחנו מסתכלים על המזרח התיכון ואפריקה בכללותו, יש כמה מדינות ואזורים שונים שקבעו חוקי פרטיות נתונים.

תקנות אבטחת המידע של ישראל נחשבות כמתואמות ביותר ל-GDPR, למרות שהן מכילות מספר תכונות - כגון כללים לגבי סיסמאות ובדיקת חדירה (או עט) - שאינן קיימות בחוק האיחוד האירופי.

למרות זאת, חוקי הגנת המידע של ישראל נחשבים נאותים על ידי הנציבות האירופית (EC) ובכך מאפשרים עיבוד של נתוני תושבי האיחוד האירופי.

זה מציב את המדינה לצד רק 13 "מדינות שלישיות" אחרות עם רמת הגנת מידע שאושרה על ידי ה-EC. אחרים כוללים את ניו זילנד, קנדה (כאמור לעיל), דרום קוריאה ובריטניה.

בשנים האחרונות בוצעו גם מספר עדכונים לחוקים הללו, עם טיוטת הצעת חוק חדשה המבקשת להתאים את חוק הגנת הפרטיות הארכאי משהו לעידן הדיגיטלי שפורסם לאחרונה בינואר 2022.

מלבד ישראל, מדינות המזרח התיכון עם צורה כלשהי של חוק פרטיות לאומי כוללות את בחריין, קטאר וטורקיה - האחרונה הייתה מבוססת בעיקר על הגרסה שלפני 2018 של GDPR.

5. קניה (והאיחוד האפריקאי)

האיחוד האפריקאי (AU) אימץ את האמנה הדומה ל-GDPR בנושא אבטחת סייבר והגנה על נתונים אישיים עוד בשנת 2014, מתוך כוונה לחייב מדינות בודדות ב-AU לאמץ חוקי פרטיות לאומיים.

למרות זאת, היוזמה רשמה התקדמות די עצומה, כאשר רק חמש מדינות עוקבות אחר כך על ידי פיתוח ואימוץ חוקי פרטיות משלהן.

אלה כוללים את חוק הגנת המידע של קניה, שנכנס לתוקף בשנת 2019 והתפתח ושופר בזמן שחלפו מאז.

בזמן פטירתו, ג'ו מוצ'רו, שר המידע, הטכנולוגיה והתקשורת של קניה הצהיר כי "קניה הצטרפה לקהילה העולמית מבחינת תקני הגנת מידע".

מדינות אפריקאיות אחרות שאימצו צורה כלשהי של חוק פרטיות מידע כוללות את ניגריה, מאוריציוס, דרום אפריקה ואוגנדה.

חוקי פרטיות נתונים לאומיים אחרים ומה צפוי

מלבד חמש הדוגמאות הללו, ישנן מספר מדינות נוספות שאימצו חוקי פרטיות נתונים דמויי GDPR.

כפי שהוזכר קודם לכן במאמר, בסך הכל ל-14 מדינות שלישיות יש תקנים שנחשבים תואמים, ותואמים, ל-GDPR.

בנוסף לאלו שהוזכרו קודם לכן, מדינות אחרות שיש להן חוקי פרטיות נתונים דומים כוללות את יפן, ברזיל, אורוגוואי, שוויץ, אנדורה, איי פארו, גרנזי, האי מאן, ג'רזי וארגנטינה.

כשהנושא של הגנה על נתונים דיגיטליים ופרטיות הופכים לנושא יותר ויותר גלובלי ונדון בהרחבה, סביר להניח שמדינות נוספות יידרשו להעביר או לשפר חוקים דומים לפני זמן רב מדי.