GDPR: המדריך המלא להגנת הפרטיות באיחוד האירופי

תקנת ה-GDPR (General Data Protection Regulation) נכנסה לתוקף בשנת 2018 וחוללה מהפכה באופן שבו ארגונים אוספים, מעבדים ומאחסנים מידע אישי. מטרתה היא להחזיר לאזרחים את השליטה על המידע שלהם ולקבוע כללים אחידים וקשוחים לכל חברה, ללא קשר למיקומה הפיזי, כל עוד היא מציעה שירותים לאזרחי האיחוד האירופי.

בעולם המודרני, ציות ל-GDPR הוא לא רק חובה משפטית, אלא כרטיס הכניסה שלכם לשוק הגלובלי.

עקרונות הליבה של ה-GDPR

כדי לעמוד בתקנה, על הארגון ליישם שבעה עקרונות יסוד:

  1. חוקיות, הגינות ושקיפות: עיבוד מידע חייב להיעשות בבסיס חוקי וברור למשתמש.

  2. הגבלת מטרה: איסוף המידע חייב להיעשות למטרה ספציפית ומוגדרת מראש.

  3. צמצום נתונים: איסוף רק של המידע המינימלי הנחוץ להשגת המטרה.

  4. דיוק: שמירה על מידע מעודכן ומחיקת נתונים שגויים.

  5. הגבלת אחסון: שמירת המידע רק למשך הזמן הנחוץ.

  6. שלמות וסודיות: הגנה על המידע באמצעים טכנולוגיים מפני פריצה או דליפה.

  7. אחריותיות (Accountability): חובת הארגון להוכיח שהוא אכן פועל לפי כל העקרונות הללו.

איך אנחנו נוביל אתכם לעמידה בדרישות?

תהליך ה-GDPR הוא מקיף ונוגע בכל מחלקות הארגון. אצלנו ב-OLBIZ, אנחנו הופכים את המורכבות לתהליך עבודה מסודר:

  • מיפוי נתונים (Data Mapping): זיהוי כל זרימת המידע בארגון – מאיפה הוא מגיע, איפה הוא נשמר ומי ניגש אליו.

  • בניית מדיניות פרטיות ותנאי שימוש: ניסוח מסמכים משפטיים-טכניים ברורים העומדים בדרישות הדירקטיבה.

  • ניהול זכויות נושאי המידע: הקמת מנגנונים המאפשרים למשתמשים לבקש את מחיקת המידע שלהם או העברתו.

  • הסכמי מעבדי מידע (DPA): הסדרת הקשרים עם ספקים חיצוניים (כמו Google Analytics או שירותי ענן) כדי לוודא שגם הם עומדים בתקן.

  • מינוי ממונה הגנת פרטיות (DPO): מתן שירותי DPO חיצוניים במידת הצורך, כנדרש בחלק מהארגונים.

GDPR | FAQ


האם ה-GDPR חל על חברה ישראלית שאין לה סניף באירופה?

כן. התקנה חלה על כל גוף המעבד מידע אישי של תושבי האיחוד האירופי, בין אם הוא נמצא בפריז, בתל אביב או בניו יורק. אם אתם מציעים שירותים ללקוחות באירופה או מנטרים את התנהגותם (למשל באמצעות עוגיות באתר), אתם כפופים ל-GDPR.


מהו מידע אישי לפי התקנה?

ההגדרה רחבה מאוד וכוללת כל פרט שיכול לזהות אדם באופן ישיר או עקיף: שם, מספר תעודת זהות, כתובת מייל, נתוני מיקום, כתובת IP, נתונים גנטיים או מאפיינים פיזיים וחברתיים.


מהם הקנסות על הפרת ה-GDPR?

הקנסות הם מהגבוהים בעולם הרגולציה: עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי של הארגון (הגבוה מביניהם). מעבר לקנס הכספי, הרשויות יכולות להורות על הפסקה מיידית של עיבוד המידע, מה שעלול לשתק את הפעילות העסקית.


מהי "הזכות להישכח"?

זוהי אחת הזכויות המפורסמות ביותר ב-GDPR. היא מאפשרת לכל אדם לדרוש מהארגון למחוק את כל המידע האישי שנאסף עליו ללא שיהוי מיותר, תחת תנאים מסוימים (למשל כשהמידע כבר לא נחוץ למטרה המקורית).


האם הענן (AWS/Azure) פוטר אותי מאחריות?

ממש לא. ספקי הענן הם "מעבדי מידע", בעוד אתם ה"בקרים" (Controllers). האחריות על הגדרת מדיניות הפרטיות, קבלת הסכמת המשתמשים וניהול המידע נשארת עליכם. הספק רק מעמיד לרשותכם את הכלים הטכנולוגיים להגנה.


מה ההבדל בין GDPR לחוק הגנת הפרטיות הישראלי?

ה-GDPR נחשב למפורט ומחמיר הרבה יותר, במיוחד בנוגע לחובת הדיווח על דליפות מידע, גובה הקנסות והזכויות המוקנות למשתמשים. עם זאת, עמידה ב-GDPR לרוב מכסה את רוב הדרישות של החוק הישראלי, מה שיוצר סינרגיה טובה לארגון.

מוכנים להפוך את הארגון שלכם למוביל בתחום הפרטיות?

צוות המומחים של OLBIZ יבנה עבורכם את מערך ה-GDPR המדויק ביותר, שיאפשר לכם לצמוח בביטחון בשוק הבינלאומי.


logo בניית אתרים