באפריל 2016 האיחוד האירופי תיקן תקנות חדשות בענין הגנת הפרטיות ונקבע כי האכיפה בענין תחל ביום 25.4.2018.
איך זה קשור אליך?
בהתאם לתקנות יש תנאים מוקדמים שגופים עסקיים צריכים לעמוד בהם כדי לתקשר עם אזרחי האיחוד האירופי. אבל זה לא הכל. יש גם קנסות על מי שיפר את התקנות והאכיפה מכוונת גם כלפי ארגונים מחוץ לאיחוד האירופי.
מדובר במידע רלוונטי ביותר לכל מי שמשתמש ב"רשימות תפוצה"!!
מהן תקנות GDPR?
תקנות ה- GDPR באות במקום חוק הגנת הפרטיות של האיחוד האירופי משנת 1995. מטרת התקנות היא כפולה: גם שמירה על פרטיות מידע של אזרחי האיחוד וגם תיאום ואחידות בין חוקי הגנת הפרטיות של המדינות החברות באיחוד.
חשוב!
למרות שההגנה מכוונת כלפי אזרחי האיחוד האירופי האכיפה מופנית גם כלפי ארגונים מחוץ לאיחוד האירופי. ממילא התקנות מחייבות ארגונים מחוץ לאיחוד להתאים את האופן בו הם מתייחסים להגנת מידע פרטי לא למותר לציין שיש השקה לא מעטה בין תקנות האיחוד לבין תקנות הגנת הפרטיות בישראל.
במה עוסקות התקנות?
התקנות עוסקות בהגנה על פרטיות מידע ומגדירות בין היתר מהו המידע המוגן, מיהם הגורמים שיש להם אחריות בענין המידע המוגן , איך משיגים את הסכמת המוגן וכו'
מדובר בנושא שחשוב בין היתר לכל מי שמשתמש ב"רשימות תפוצה"
מהו מידע אישי (personal data)?
מידע אישי על פי התקנות הוא “כל מידע המתייחס לאדם אמיתי (נושא מידע) מזוהה או שניתן לזהותו”. למשל: שם, מס’ זיהוי, מידע על מיקום, מזהה מקוון, מידע ביומטרי, חברתי, וכו’.
בהתאם לתקנות כדי לאסוף מידע אישי של אזרחי האיחוד יש צורך בסיבה עסקית וחוקית.
כל מי שאוסף מידע אישי ומחליט איזה מידע לאסוף חשב כ "בעל שליטה במיטה אישי" המערכת באמצעותה נאסף המידע נקראת "מעביר מידע".
מיהו יכול להיות בעל שליטה במידע אישי (controller)?
כבעל שליטה במידע אישי יכול להחשב: אדם, חברה, סוכנות, רשות ציבורית, או כל גוף אחר אם הוא לבד או במשותף קובע מהם האמצעים ומהיא מטרת העיבוד והשימוש במידע האישי של אזרחי האיחוד האירופי.
חשוב!
אם אתם אוספים מידע מאזרחי האיחוד האירופי ומחליטים מהו המידע ולאיזה מטרה ובין אנשי הקשר ברשימות התפוצה שלכם יש אזרחים של האיחוד האירופי אתם מוגדרים בתקנות כבעלי שליטה במידע האישי.
מה זה אומר? בין היתר אתם מחוייבים לוודא שיש לכם סיבה עסקית וחוקית לאסוף את המידע ואתם גם מחוייבים באבטחת המידע ולמנוע שימוש לא רצוי במידע. בתקנות יש גם הנחיות לגבי אמצעי האבטחה ושמירת המידע.
מיהו המעבד ?(processor)
גורם נוסף המקבל התייחסות בתקנות הו ה"מעבד". הכוונה היא ל: אדם, חברה, סוכנות, רשות ציבורית, או כל גוף אחר, שמעבד את המידע האישי של אזרחי האיחוד האירופי עבור בעל השליטה במידע אישי.
חברת דיוור לרשימת התפוצה יכולה להחשב כמעבדבכל הקשור לשירותים שאתם מקבלים מהשימוש במוצר ויכולותיו. המעבד מחוייב לדאוג לאבטחת המידע שלכם במערכות שלו.
מהי הסכמה (consent)?
בתקנות יש התייחסות להסכמה מצד נושא המידע. כהסכמה תחשב כל חיווי או סימן (indication) שניתנו באופן חופשי, מפורט (specific) מיודע, וחד משמעי. הסכמה יכולה להנתן באמצעות הצהרה או פעולה מאשרת, שמציינת הסכמה לעיבוד המידע האישי.
נושא ההסכמה הוא נושא חשוב ובעל משמעות. בין היתר יש בתקנות התייחסות לקבלת ההסכמה ולהוכחת ההסכמה.
- הסכמה מאנשי הקשר- כשאתם מבקשים מידע מאיש קשר או מציעים לו שירות מסוים, יש לוודא שההסכמה לנתינת המידע או לקבלת השירות היא ברורה, מודעת וניתנת עבור כל שירות בנפרד.
איך ניתן ליישם זאת בפועל?
- יצירת רשימה עבור כל מוצר ו/או תוכן ונושא המידע מוסיף את עצמו לרשימה.
- מייל אישור שליחה הודעה שנשלחת לתיבת המייל של נושא המידע ורק לאחר אישורה ישלחו לו מיילים נוספים.
- חובת הוכחת הסכמה – בעל שליטה במידע אישי חייב להוכיח את ההסכמה של איש הקשר. לכן חשוב שמערכת הדיוור שאתם מנוים עליה תאפשר לכם להראות במידת הצורך את התקשורת עם איש הקשר מרגע ההצטרפות שלו.
מהן הזכויות המוקנות ל"נושא המידע"?
לנושא המידע זכות לדרוש מבעל השליטה מידע לגבי אבטחת המידע, עיבודו, דרישה לתקן מידע אודותיו או למחוק וכו'.
רוצים כלים לניהול עסקי מוצלח? השאירו פרטים ועו"ד אסתי וייסלר תחזור אליכם בהקדם.
*****האמור לעיל אינו תחליף ליעוץ משפטי והשמוש בו הינו באחריו המשתמש בלבד.