תקנות ה- GDPR משנות את כללי המשחק, ומי שלא ישים לב, עלול להיפרד ממליוני אירו

תקנות ה- GDPR משנות את כללי המשחק, ומי שלא ישים לב, עלול להיפרד ממליוני אירו

תקנות ה- GDPR נכנסות לתוקף בעוד שבועות ספורים, אבל האפקט שלהם כבר מורגש היטב בכל רחבי העולם. בעוד בארה"ב, בבריטניה ובאירופה כבר החלו במירוץ לארגון מחדש, הטמעה ויישום הרגולציות החדשות לאבטחת המידע באיחוד האירופי, בישראל נראה כי רק לאחרונה החלה לחלחל ההבנה שהתקנות הללו הן לא עוד שינוי ביורוקרטי מינורי, אלא מהפכה של ממש באיסוף, ניהול ועיבוד המידע על עובדים.

המודעות הציבורית הגוברת לשימושים השונים במידע האישי הנאסף על אזרחים עומדת בבסיסן של התקנות המבקשות לעשות סדר בעידן הדיגיטלי. התקפות חוזרות ונשנות על מאגרי מידע גדולים וגניבות מידע יקר ערך על לקוחות ועובדים, תרמו גם הן לצורך הדחוף להטמיע חוקים חדשים בכל הנוגע לשימוש חוקי ומאובטח במידע אישי על אזרחים, ובהסדרת האחריות ונותני הדין על המתרחש עם מידע זה.

23 שנים לאחר שנכנס לתוקף החוק הקודם להגנת מידע, בעשרים וחמישי במאי 2018 ייכנסו התקנות החדשות לתוקף ויטרפו לחלוטין את קלפי המשחק, לא רק באירופה, אלא בעולם כולו.

איך כל זה ישפיע על חברות ישראליות, ממה כדאי להיזהר, איך צריך להתכונן כדי להימנע מקנסות חמורים, ואילו הזדמנויות מביאות עימן התקנות החדשות?

במאמר הזה נספר לכם את כל מה שחברות ישראליות צריכות לדעת על ה- GDPR ומה צריך לעשות כדי לעמוד בתקנות.

מטרות ה- GDPR

בעקבות כניסתו המאסיבית של האינטרנט וטכנולוגיית הענן למרחב העסקי, החברתי והמסחרי, נוצרו פרקטיקות חדשות לשימוש במידע על אזרחים אשר דרשו את התייחסותו של הרגולטור האירופאי לכל הקשור בשימוש המורשה והבטוח של מידע בעידן דיגיטלי חדש.

מכאן, מטרותיהן של התקנות החדשות הן:

  1. להגן על המידע האישי ועל פרטיותם של אזרחי האיחוד האירופי בחילופי מידע המתבצעים בין מדינות האיחוד
  2. להעניק לאזרחי האיחוד שקיפות ושליטה טובה יותר במידע הנאסף עליהם
  3. להסדיר את נהלי שמירה והוצאת מידע הכולל פרטים  על אזרחי האיחוד מחוץ למדינות האיחוד
  4. לקבוע את גבולות האחריות על המידע ואת האחראים בדין
  5. ליצור סביבה משפטית פשוטה וברורה שבמסגרתה יוכלו ארגונים לפעול בהתאם לסט חוקים זהה בכל מדינות האיחוד

מי מושפע מתקנות ה- GDPR?

בניגוד למה שנראה ממבט ראשון בתקנות, התשובה הברורה היא שרוב רובם של הארגונים בכל רחבי העולם ובכל התעשיות יושפעו מהתקנות האירופאיות החדשות, ולהלן הסיבות
לכך –

התקנות מתייחסות לכל הארגונים העונים על לפחות אחת מההגדרות הבאות:

  • חברות בעלות ישות פעילה באיחוד האירופי
  • ארגונים גלובליים עם או בלי ישות פעילה באיחוד האירופי, האוספים ומעבדים מידע על אזרחי האיחוד או בתוך האיחוד האירופי
  • חברות הפועלות או מציעות שירות או מוצרים באיחוד האירופי

במלים אחרות, התקנות החדשות משפיעות על רובן הגדול של חברות גלובליות מכל העולם, גם אם אינן יושבות באירופה.

 אז על מה כולם מדברים?

  • זכויות העובדים

  • הזכות לגישה חופשית למידע. עובדים יוכלו לבקש גישה למידע האישי הנאסף עליהם על-ידי החברה, ולקבלו בתוך 30 ימים בלבד.
  • הזכות לתיקון מידע. עובדים יוכלו לבדוק את המידע הנאסף עליהם ולעדכן אותו במידת הצורך.
  • הזכות להעברת מידע. העובדים יוכלו לקבל בחזרה את כל המידע האישי שסיפקו לחברה בפורמט מוכר וממוחשב.
  • הזכות להישכח מן המערכת. העובדים יוכלו לבקש למחוק את כל המידע האישי אשר אין בו צורך ממאגרי החברה.
  • אחריות המעסיק

  • איסוף מינימלי של מידע. המעסיק יוכל לאסוף אך ורק את מינימום המידע הדרוש כדי לבצע תשלומים והטבות לעובדים, ורק את המידע המותר על פי החוק במדינה הספציפית בה הוא פועל.
  • שקיפות מלאה מול העובדים. על חברות לנהוג בשקיפות עם עובדיהן לגבי איזה מידע הן אוספות, איך הן מתכוונות לעשות בו שימוש, איך ינוהל המידע, וכן להבטיח כי המידע יישמר באופן שיאפשר לעובד נגישות ועריכה במידת הצורך.
  • אבטחת מידע

  • אבטחת מידע דיגיטלי. על-פי התקנות החדשות, כל מידע אישי על עובדי האיחוד האירופי חייב להיות מאובטח ומקודד. לכן לא ניתן יהיה עוד לשלוח מיילים עם מידע על העובדים.
  • דיווח על דליפת מידע לגורם המוסמך בזמן. ארגונים אשר לא ידווחו בתוך 72 שעות מרגע שהתוודעו לפריצה במאגרי המידע, ייקנסו בעד כ- 2% מההכנסה הגלובלית השנתית של הארגון, או ב-10 מליון אירו (הגבוה מביניהם).

משמעות, סיכונים והשלכות

המשמעות העיקרית של כניסת התקנות החדשות לתוקף הינה למעשה הידוק הפיקוח והחלת הדין של כל מי שמבקש לאסוף, לשמור ולנהל מידע רגיש על עובדים ברחבי האיחוד האירופי. נראה שהאינפלציה המדאיגה של גניבת מידע ומתקפות סייבר המחזיקות במידע כבן-ערובה לא השאירו לאיחוד האירופי ברירה אלא להסדיר בצורה אחידה וברורה מהם הקווים האדומים של שימוש במידע אישי על אזרחיו.

המשמעות המעשית עבור חברות גלובליות הפועלות במדינות האיחוד או מעסיקות את אזרחיו היא דרמטית; אי עמידה בתקנות החדשות תגרור קנסות כבדים של עד 20 מליון אירו, או 4% מההכנסה הגלובלית השנתית (הגבוה מבין השניים). עם סיכון גבוה כל-כך, המחלקות המשפטיות בארגונים בכל רחבי העולם הקדישו את השנה האחרונה ללמידה מדוקדקת של התקנות וארגון מחדש של מדיניות אבטחת המידע, העסקה במדינות האיחוד, ובחינה מחדש של קשרי העבודה עם חברות תעסוקה גלובליות אשר אינן עומדות בתקנות.

ובכל-זאת, ישנה נקודת אור בקצה המנהרה - יחד עם הבהלה וההשקעה הכרוכות בהתאמתה של מדיניות הארגון לתקנות החדשות, אפשר גם לברך על כך שלבסוף יהיו חוקים זהים להעסקת עובדים בכל מדינות האיחוד האירופי. למעשה, האיחוד מעריך כי איחוד הרגולציות יחסוך לארגונים כ- 2.3 מיליארד אירו בשנה, קולקטיבית. 

אז מה עושים?

הזמן הקצר שנותר עד ה- 25 במאי לא מותיר מקום לעיכובים. חברות המבקשות להמשיך לעשות עסקים עם השוק האירופי חייבות להטמיע מדיניות התואמת את כללי המשחק החדשים.

לאור המורכבות וההשלכות החמורות במקרה של אי עמידה בתקנות, אין מנוס מהבנת התקנות החדשות על בוריין.