איך אתם נערכים ל GDPR תקנות הפרטיות החדשים של האיחוד האירופי?

[3 פינות]

ב28 למאי 2018 אמורים להיכנס לתוקף החוקים החדשים של האיחוד האירופי (GDPR) שמגבילים מאוד את אסיפת המידע על אזרחי האיחוד.
החוקים מחייבים הצפנה של כל הנתונים האישיים כגון כתובות IP כתובות אימייל, שמות, טלפונים, וכ"ו על אזרחי האיחוד היכולים לשמש לזיהוי או מעקב או ניתוח פעילות אזרחי האיחוד, אפשרות לדרוש מחיקה של כל הנתונים בצורה פשוטה, מידע ברור מה הנתונים שיש לך ולמה אתה צריך אותם, ועוד הגבלות רבות.
הקנס למי שיעבור על התקנות האלו יכול להגיע ל4% מהמחזור השנתי או 20 מיליון יורו הגבוה מביניהם!!
מקור רשמי: https://www.eugdpr.org/

דוגמאות למושפעים מהתקנות החדשות, בעל חנות שאוסף מידע על הלקוחות שלו לצורך תקשורת עתידית, או לצורך שליחת מבצעים.
בעלי רשימות תפוצה ששולחים אימיילים.
מפרסמים שמציגים פרסומות רלוונטיות לפי היסטורית גלישה.

איך אתם הולכים להתמודד עם זה?
איך זה משפיע עליכם?

מישהו יודע בדיוק מה כלול בזה ומה לא?

 

[ag]

ספרד הטילה קנס על פייסבוק בגין איסוף מידע ללא קבלת הסכמה
הרשות להגנת מידע הספרדית הטילה קנס בסך 1.4 מיליון דולר על חברת פייסבוק בגין שלושה מקרים בהם החברה אספה מידע אישי לגבי אידיאולוגיה, מגדר, אמונות דתיות, העדפות אישיות והיסטוריית חיפוש מבלי להודיע למשתמשים באופן נאות לשם מה נאסף המידע. בתגובה, הודיעה חברת פייסבוק שהיא מתכוונת לערער על ההחלטה.

קנס זה מדגיש פעם נוספת את הצורך לנקוט במשנה זהירות בכל הקשור לציות לחוקי הגנת הפרט והגנת המידע, ביחס לאופן שבו נאסף מידע אישי, לרבות היידוע של נשואי המידע על איסוף המידע ולשם מה הוא נאסף. אין ספק שהחשיבות של היבטים אלו תגבר באופן משמעותי, במיוחד לכשייכנסו לתוקף התקנות האירופיות החדשות להגנת המידע (ה-GDPR) בחודש מאי 2018. תקנות אלה חלות, בין היתר, על פעילויות מסוימות של ישויות שאינן אירופיות בתחומי האיחוד האירופי.

קרדיט

 

[ag]

אירופה: טיוטת הנחיה על עיקרון ה'הסכמה' לפי התקנות החדשות על הגנת מידע (GDPR)

פאנל הרגולטורים האירופאים לפרטיות (Article 29 Working Party) פרסם להערות הציבור טיוטת הנחיה בעניין עיקרון ההסכמה (Consent) תחת משטר הגנת הפרטיות החדש (General Data Protection Regulation - GDPR) הצפוי להכנס לתוקפו במאי 2018. טיוטת ההנחיה מבהירה את התנאים הדרושים על מנת שהסכמת נושא המידע (Data Subject) תחשב לעילה משפטית כשרה לעיבוד מידע אישי:

1. חופשיות ההסכמה - הסכמה צריכה להינתן מתוך בחירה חופשית אמיתית המאפשרת לנושא המידע להחליט אם רצונו להסכים או לסרב. לכן, הסכמה בנסיבות בהן קיים חוסר איזון מובנה בין נושא המידע לבין מבקש ההסכמה, כדוגמת הסכמה של עובד כלפי מעסיקו, תהיה במקרים רבים פסולה מעיקרה. כמוה גם הסכמה שהענקתה היא תנאי לקבלת מוצר או שירות שאין הכרח אובייקטיבי להתנות אותו במתן הסכמה לעיבוד המידע, ויש לחפש עילה מתאימה יותר לפי תקנות הגנת המידע - כדוגמת העילה של "קיום חוזה".
2. ממוקדת (ספיציפית) - טיוטת ההנחיה מבהירה כי ההסכמה צריכה להינתן ביחס למטרה או מטרות ממוקדות ולגיטימיות של עיבוד מידע, ולא למטרות כלליות וערטילאיות כגון "לכל שימוש מסחרי". על מיקוד ההסכמה יכולות להעיד אפשרויות הבחירה הניתנות לנושא המידע להחליט לאילו שימושים נבחרים או מטרות פרטיקולריות הוא מסכים בקשר לעיבוד המידע אודותיו (Granularity of Consent), להבדיל מגישה המחייבת אותו להסכים ל"הכל או כלום".
3. מדעת - על ההסכמה להינתן מדעת, לאחר שהוצגו לנושא המידע מלוא הנתונים הדרושים לו כדי להחליט אם ברצונו להסכים. בכלל זה יש למסור לנושא המידע את זהות אוסף המידע (ה-data controller), איזה מידע יעובד, מהן מטרות העיבוד, זכותו לחזור בו מההסכמה, העברת המידע למדינות אחרות ומידת ההגנה שאותן מדינות אחרות מעניקות למידע אישי ועוד. כדי שההסכמה תחשב 'מדעת' יש למסור את המידע באופן קריא, ברור ומובן.
4. חד משמעית - קבלת ההסכמה צריכה להיות בפעולה אקטיבית, יזומה ונפרדת של נושא המידע המעידה באופן מפורש וחד משמעי על הסכמה לעיבוד המידע (opt-in). טיוטת ההנחיה מסבירה כי הסכמה כללית לתנאי שירות לא יכולה להחשב להסכמה ברורה ומפורשת לעיבוד מידע וזאת מפאת האיסור בתקנות המידע החדשות לכרוך הסכמה לתנאים משפטיים יחד עם הסכמה לעיבוד מידע.

טיוטת ההנחיה עוסקת בהיבטים נוספים של "הסכמה" כגון אפשרות נושא המידע לחזור בו מהסכמתו בכל עת וקבלת הסכמה הורית לעיבוד מידע על ילדים.

נזכיר כי מוקדם יותר השנה פרסם גם רגולטור הפרטיות הבריטי טיוטת הנחיה מטעמו על עיקרון ההסכמה לפי תקנות הגנת המידע החדשות. להבדיל מהטיוטה הבריטית, הטיוטה שפרסם כעת הפאנל האירופאי משקפת את עמדתם המשותפת של כלל הרגולטורים האירופאים לפרטיות.

קרדיט

 

[s976]

אם אפשר הסבר, איך זה קשור לאזרחי מדינת ישראל?

 

[3 פינות]

אם אפשר הסבר, איך זה קשור לאזרחי מדינת ישראל?

1. אם יש ללקוח שלך לקוחות מאירופה /אנשים שהוא שולח להם אימיילים באירופה /פרטים על אנשים באירופה אז זה קשור ללקוח שלך, וייתכן שגם אליך.
2. בחוקים האלה זה הרבה פעמים דומינו ומדינות נוספות מאמצים את התקנות של האיחוד בהשפעת ארגוני חופש מידע.

 

[s976]

אם יש ללקוח שלך לקוחות מאירופה /אנשים שהוא שולח להם אימיילים באירופה /פרטים על אנשים באירופה אז זה קשור ללקוח שלך, וייתכן שגם אליך.

זה בדיוק מה ששאלתי. אכן ללקוחות שלי יש גולשים מאירופה, ואנחנו אכן שומרים את הפרטים שלהם. אז יבוא האיחוד האירופי ויקנוס את הלקוח שלי, שהוא אזרח מדינת ישראל?

 

[3 פינות]

זה בדיוק מה ששאלתי. אכן ללקוחות שלי יש גולשים מאירופה, ואנחנו אכן שומרים את הפרטים שלהם. אז יבוא האיחוד האירופי ויקנוס את הלקוח שלי, שהוא אזרח מדינת ישראל?

לפי התקנות כן,
וזה בדיוק מה שאני שואל מה עושים? ומה התקנות אומרות בדיוק?

 

[s976]

אולי אני לא מבין משהו, אבל לבינתיים לא נשמע לי הגיוני שהאיחוד האירופי יכול לקנוס אזרח ממדינה שאינה מהאיחוד.

 

[3 פינות]

אולי אני לא מבין משהו, אבל לבינתיים לא נשמע לי הגיוני שהאיחוד האירופי יכול לקנוס אזרח ממדינה שאינה מהאיחוד.

כמובן שהראשונים שעל הכוונת זה הענקיות פרסום כמו גוגל ופייסבוק ודומיהים אבל התקנות חלות על כל אחד, ולכן מעניין מה יהיה באמת, בכל מקרה לא הייתי רוצה למצוא את עצמי בסיטואציה הזאת...

 

[סיון]

מאמר בנושא: https://www.y-law.co.il/european-gdpr.html
שימו לב שהקנסות יחולו גם על מי שאינו אירופאי.

 

[3 פינות]

מאמר בנושא: https://www.y-law.co.il/european-gdpr.html
שימו לב שהקנסות יחולו גם על מי שאינו אירופאי.

מאמר מלמעלה שלא מספיק ממצה את הנושא.
דרך אגב החברות הגדולות כבר החלו להיערך לכך, גוגל אנליטיקס הוציאו היום מייל בנושא.

 

[חיוך]

מה נחשב לאיסוף מידע?

והאם כל אתר סטנדרטי בהכרח אוסף מידע?

תודה.

 

[kerenm]

היי, נתקלתי בשירשור הזה ורציתי לשתף מידע שייענה לכם על השאלות

תקנות הGDPR

מקווה שעוזר...