מה זה GDPR?
תקנת הגנת המידע הכללית (GDPR) היא מערכת כללים שנועדה להגן על הפרטיות של אזרחי האיחוד האירופי. הוא אומץ על ידי הפרלמנט האירופי באפריל 2016 ונכנס לתוקף ב-25 במאי 2018. ה-GDPR מחליף את הוראת הגנת המידע משנת 1995 ונועד לתת לאנשים שליטה רבה יותר על הנתונים האישיים שלהם. ה-GDPR חל על כל ארגון המעבד אישי נתונים של אזרחי האיחוד האירופי, ללא קשר למקום שבו נמצא הארגון. המשמעות היא שגם אם ארגון מבוסס מחוץ לאיחוד האירופי, הוא עדיין חייב לציית ל-GDPR אם הוא מעבד את הנתונים האישיים של אזרחי האיחוד האירופי.
מה דורש GDPR?
ה-GDPR מחייב ארגונים לנקוט באמצעים כדי להגן על הנתונים האישיים של אזרחי האיחוד האירופי. אמצעים אלה כוללים:
- יידוע אנשים על אופן השימוש בנתונים שלהם
- קבלת הסכמה מיחידים לפני איסוף הנתונים שלהם
- מתן גישה לאנשים פרטיים לנתונים שלהם
- מאפשר לאנשים לבקש לתקן או למחוק את הנתונים שלהם
- להבטיח שהנתונים מאובטחים ואינם משותפים עם צדדים שלישיים ללא הסכמה
- יידוע אנשים על הפרות מידע
ארגונים חייבים גם למנות קצין הגנת מידע (DPO) שיפקח על תאימות להגנה על נתונים.
מהם העונשים על אי ציות?
ארגונים שלא מצייתים ל-GDPR יכולים להיקנס עד 4% מהמחזור השנתי העולמי שלהם או 20 מיליון אירו (הגדול מביניהם).
מה צריכים ארגונים לעשות כדי לציית ל-GDPR?
ארגונים צריכים לנקוט בצעדים הבאים כדי להבטיח ציות ל-GDPR:
- ערוך ביקורת נתונים כדי לזהות אילו נתונים אישיים נאספים וכיצד נעשה בהם שימוש
- סקור ועדכן את מדיניות הפרטיות והנהלים הקיימים
- הדרכת צוות על שיטות עבודה מומלצות להגנה על מידע
- ליישם אמצעים טכניים וארגוניים להגנה על נתונים אישיים
- פתח תהליך להיענות לבקשות נושא הנתונים
- מנה קצין הגנת מידע (DPO)
ארגונים צריכים גם לבדוק את החוזים שלהם עם צדדים שלישיים כדי להבטיח שהם עומדים ב-GDPR.
השוואה מהירה
| GDPR | הוראת הגנת מידע |
|---|---|
| חל על כל ארגון שמעבד נתונים אישיים של אזרחי האיחוד האירופי, ללא קשר למקום בו נמצא הארגון | חל רק על ארגונים הממוקמים באיחוד האירופי |
| דורש מארגונים לקבל הסכמה לפני איסוף נתונים אישיים | אינו מחייב ארגונים לקבל הסכמה לפני איסוף נתונים אישיים |
| דורש מארגונים לספק לאנשים פרטיים גישה לנתונים שלהם | אינו מחייב ארגונים לספק לאנשים פרטיים גישה לנתונים שלהם |
| דורש מארגונים למנות קצין הגנת מידע (DPO) | אינו מחייב ארגונים למנות קצין הגנת מידע (DPO) |
| קנס ארגונים עד 4% מהמחזור הגלובלי השנתי שלהם או 20 מיליון אירו (הגדול מביניהם) | קנס ארגונים עד מיליון יורו |
לסיכום, ה-GDPR הוא מערכת כללים שנועדה להגן על הפרטיות של אזרחי האיחוד האירופי. זה חל על כל ארגון שמעבד נתונים אישיים של אזרחי האיחוד האירופי, ללא קשר למקום שבו הארגון נמצא. ארגונים חייבים לנקוט באמצעים כדי להגן על הנתונים האישיים של אזרחי האיחוד האירופי, כגון קבלת הסכמה לפני איסוף נתונים ומתן לאנשים פרטיים גישה לנתונים שלהם. ארגונים שלא מצייתים ל-GDPR יכולים להיקנס עד 4% מהמחזור השנתי העולמי שלהם או 20 מיליון אירו (הגדול מביניהם). ארגונים צריכים לנקוט בצעדים כדי להבטיח עמידה ב-GDPR, כגון ביצוע ביקורת נתונים, סקירה ועדכון של מדיניות ונהלי הפרטיות הקיימים ומינוי קצין הגנת מידע (DPO).