Skip to main content

GDPR

TL; ד"ר

תקנת הגנת המידע הכללית (GDPR)היא אחד מחוקי הפרטיות והאבטחה המחמירים ביותר בעולם. למרות שנוסחה ואושרה על ידי האיחוד האירופי, הרגולציה מטילה חובות על ארגונים ללא קשר למקום שבו הם פועלים, כל עוד הם מכוונים או אוספים נתונים על אנשים באיחוד האירופי. התקנה נכנסה לתוקף ב -25 במאי 2018. GDPR גובה קנסותנגד מי שמפר את תקני הפרטיות והאבטחה שלו, עם סנקציות בהיקף של עשרות מיליוני יורו.

מה זה GDPR?

ה-GDPR (General Data Protection Regulation) הוא חוק עבור חקיקת הגנת מידע ופרטיות של האיחוד האירופי באיחוד האירופי וב-EEA והעברת נתונים אישיים מחוץ לאיחוד האירופי וה-EEA. המטרה העיקרית של ה-GDPR היא לספק לאנשים שליטה על הנתונים האישיים שלהםולפשט את הסביבה הרגולטורית לעניינים בינלאומיים על ידי איחוד חוקי הפרטיות באיחוד האירופי. הרגולציה היא חובהוכל הארגונים המחזיקים או מעבדים נתונים אישיים חייבים לציית.

הכללים נכנסו לתוקף ב-25 במאי 2018 ובאו לידי ביטוי בחוק הגנת המידע לשנת 2018. הרגולציה חלה הן על "מפעילים" והן על "מעבדי נתונים" ומכסה כללים ישנים שאוחדו, וכן מספר זכויות חדשות עבור נושאי מידע.

מה זה נתונים אישיים?

נתונים אישיים הם נתונים המתייחסים לאדם שניתן לזהות במישרין או בעקיפין, והם:

  • מעובד אלקטרונית;
  • נשמר בארכיון;
  • חלק ממערך מידע נגיש, למשל מידע חינוכי;
  • המוחזק בידי רשות ציבורית;
  • לא בהכרח ספציפי לאדם, אבל זה מוביל לזיהוי שלהם;
  • דוגמאות: שם, כתובות דואר אלקטרוני, מיקום, דת, מוצא אתני, מגדר, נתונים המאוחסנים בעוגיות אינטרנט, כתובות IP, דעות פוליטיות, נתונים ביומטריים וכו'.

עקרונות GDPR

יש לעבד מידע אישי בצורה הוגנת, חוקית ושקופה.

  • יש לאסוף נתונים למטרות מוגדרות ולגיטימיות ואין לעבד אותם באופן שאינו תואם למטרות אלו.
  • הנתונים לא צריכים להיות מוגזמים, לעבד רק נתונים רבים ככל הכרחי.
  • על הנתונים להיות נכונים ובמידת הצורך מעודכנים.
  • אין לאחסן נתונים יותר מהנדרש.
  • הנתונים חייבים להישמר מאובטחים.
  • מנהלים אחראים לסוג הנתונים האישיים שהם אוספים וכיצד הם משתמשים בהם. אסור לעובדים לחשוף נתונים אישיים מחוץ לנהלים של הארגון או להשתמש בנתונים אישיים שבידי אחרים למטרותיהם.

על מי חל ה-GDPR?

ה-GDPR חל על כל ארגון הפועל באיחוד האירופי, כמו גם על כל ארגון מחוץ לאיחוד האירופי המספק סחורות או שירותים ללקוחות או לעסקים של האיחוד האירופי. זה כולל כל אתר שאוסף ישירות, למטרה שלו, או, בעקיפין, עבור אפליקציות וכלים של צד שלישי (למשל Google Analytics) נתונים על המבקרים שלהם.

אדם שיש לו נתונים על אדם אחר ברמה האישית, כמו מספר הטלפון של בן משפחה המאוחסן בטלפון, לא יצטרך לשקול את ה-GDPR עבור נתונים אלה.