בעוד כחצי שנה ייכנס לתוקף קובץ תקנות חדש של האיחוד האירופי שמשנה את כללי המשחק בכל הקשור לאיסוף מידע על גולשים ושימוש בו. מה אומרות התקנות וכיצד הן ישפיעו עלינו?
ב-27 לאפריל 2016 אירעה ״מהפיכה חקיקתית״ של ממש באיחוד האירופי עם אימוץ חקיקה חדשה בשם GDPR – General Data Protection Regulation (חקיקת הגנת המידע הכללית). חוק מהפכני וחדשני זה ייכנס לתוקף בסוף חודש מאי 2018 וישפיע על חברות, גופים ויחידים ישראליים באופן ניכר.החוק החדש יחליף את חוקי הגנת הפרטיות הקיימים של המדינות החברות באיחוד האירופי ואת החקיקה הקודמת הכלל אירופאית בנושא (דירקטיבה 95/46/EC). למעשה, בעוד כחצי שנה הוא יכנס לתוקף בספרי החוקים של כל המדינות החברות ללא צורך לאמצו בחקיקה מקומית.
עיקרי החוק
החוק קובע מספר כללים לשמירה על פרטיות המידע ואבטחתו. המידע שעליו מגן החוק כולל בין היתר נתוני מיקום, שמות משתמש, נתוני גלישה וכתובות IP. כל גוף המספק תקשורת או מוכר מוצרי חומרה יהיה מחויב על פי החוק לעמוד בסטנדרטים טכנולוגיים קשיחים שיאפשרו להצפין את המידע שנאסף על המשתמש.
החוק גם מגביל את אפשרויות המעקב אחר דפוסי הגלישה של המשתמשים והוא דורש הסכמה אקטיבית של הגולש לאיסוף מידע לגביו, בניגוד למצב שקיים היום בו חברות אוספות נתונים על משתמשים לצרכי פילוח קהלי יעד ופרסום ללא אישורם.
אחד העקרונות שקובע החוק הוא "הזכות להישכח" – גופים המחזיקים במידע אודות משתמשים יחויבו למחוק את המידע ברגע שהמשתמש משנה את הסכמתו או מפסיק את השירות.
לצד כל אלה ארגונים יהיו חייבים להוכיח רצינות ונהלים מסודרים בכל הקשור להגנה על הפרטיות ולמנות בעלי תפקיד שיהיו אחראים לאבטחת המידע ועמידה ברגולציה החדשה.
תחולה אקס-טריטוריאלית
גם חברות וגופים זרים (שאינם חברים באיחוד האירופי, כמו חברות או עמותות ישראליות) כפופים לחוק, ובוודאי אלו שמציעים שירותים לתושבי האיחוד. האחרונים אף יידרשו במקרים מסוימים למנות נציג מיוחד לעניין שישהה בתחומי האיחוד.
על פי החוק, כל ארגון שמאחסן, מעבד או מעביר מידע אישי הקשור לתושב האיחוד האירופי כפופים ל-GDPR וחייבים לאמץ דפוסי עבודה חדשים בכל הקשור לעיבוד ושימוש במידע, כשהספירה לאחור כבר החלה.
מה העונש?
ארגונים שמפרים את הוראות החוק כפופים להטלת קנסות מנהליים עצומים של עד 20 מיליון אירו או 4% מהמחזור השנתי שלהם (לפי הסכום הגבוה מהשניים) על עבירות חמורות (כגון אי קבלת הסכמה מספקת מלקוח לעיבוד המידע שלו והפרת עקרונות הבסיס של תכנון פרטיות במערכות).
כללים ועונשים אלו חלים גם על מחזיקי מידע כך שגם ארגונים שנותנים שירותי אחסון ב-"ענן" אינם פטורים מעמידה בהוראות החוק.
לסיכום
GDPR משנה מקצה לקצה את תחום הגנת המידע הפרטי באיחוד האירופי והוא צפוי להשפיע לא רק על ארגונים במדינות אירופאיות אלא על כל ארגון שמחזיק מידע שמקורו באיחוד האירופי או שהוא קשור לתושבי האיחוד האירופי.
אין ספק שבאיחוד האירופי מתרחשת בימים אלו מהפיכה של ממש וארגונים שלא יכינו את עצמם לשינויים בתחום ההגנה על הפרטיות עלולים להתמוטט כלכלית.
לנוכח הקשרים ההדוקים בין גופים ישראלים לבין אזרחי האיחוד האירופי והמדינות החברות בו, מומלץ לכל מי שמקיים זיקה כלשהי עם האיחוד ללמוד את החוק החדש ולהיערך בהתאם, במיוחד לנוכח ה-"דד-ליין" ההולך ומתקרב של מאי 2018.
חשוב לציין שגם מדינת ישראל החלה בחקיקה נרחבת בנושא ולפני מספר חודשים נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מאגרי מידע) המחייבות כל מי שמחזיק במאגר מידע לעמוד ברמת אבטחה מסוימת הקבועה בתקנות בהתאם לסוג הארגון ואופיו.
* עורך דין פז יצחקי-וינברגר עוסק בדינים זרים ובאיחוד האירופי
המידע המוצג במאמר זה הוא מידע כללי בלבד, ואין בו כדי להוות ייעוץ ו/ או חוות דעת משפטית. המחבר/ת ו/או המערכת אינם נושאים באחריות כלשהי כלפי הקוראים, ואלה נדרשים לקבל עצה מקצועית לפני כל פעולה המסתמכת על הדברים האמורים.
פרסומת - תוכן מקודם
פסקדין הוא אתר תוכן משפטי ופלטפורמה המספקת שירותי שיווק דיגיטלי למשרדי עורכי דין,
בהכנת הכתבה לקח חלק צוות העורכים של פסקדין.