עדיין מתקשים ליישם את תקנות ה- GDPR במלואן? כדאי למהר לפני שתאבדו לקוחות (וכסף...)

עדיין מתקשים ליישם את תקנות ה- GDPR במלואן? כדאי למהר לפני שתאבדו לקוחות (וכסף...)

עידן חדש של פרטיות

כפי שרובנו כבר אמורים לדעת היטב, ה GDPR-הוא קובץ של תקנות פרי עטו של האיחוד האירופי שמטרתן להבטיח את ההגנה על המידע האישי של אנשים פרטיים, המוחזק, נשמר ומעובד בידי ארגונים שונים. אכיפת התקנות החלה בחודש מאי השנה (2018) ורבים כבר מכנים את המועד הזה "תחילתו של עידן פרטיות חדש." התקנות הינן מחמירות ומהפכניות לא רק משום הקנס הכספי הגבוה בצידן, אלא משום שהן מרחיבות את ההגדרה של מידע אישי ואת דרכי ההגנה עליו ברחבי העולם.

האתגרים העומדים בפני חברות ישראליות המחויבות ב- GDPR

הקשיים העיקריים של חברות ישראליות שה- GDPR חל עליהן, הפועלות בפרישה גלובלית, נעוצים בעיקר בצורך להתארגן מחדש, להנחיל נהלי עבודה חדשים, להחתים גורמים שונים על מסמכים חדשים שלא היו קיימים בעבר ולבצע את ההתאמות הנדרשות בתוך הארגון, על מנת שניתן יהיה להתחייב כלפי גופים חיצוניים ולא להפר את ה- GDPR.

דוגמא למסמך אחד חשוב כזה, היא ה-  Data Processing Addendum Agreement (DPA). זהו מסמך שנחתם בין ה- Controller (הקובע את מטרת עיבוד המידע)  לבין ה- Processor (המעבד את המידע) ומיועד להגן על הראשון מפני חשיפה לתביעות עקב אי יישום ה- GDPR, תוך השתת החובות על האחר. מסמך זה מכיל בתמצית את רוב החובות החלות על הארגון.

כדאי לזכור כי החל מחודש מאי 2018, כל ארגון או עסק בישראל אשר נותן שירותים או מוכר מוצרים למי שמתגורר באיחוד האירופי, עלול להיקנס בבאופן חסר תקדים: עד 4% מהמחזור השנתי הגלובלי או 20 מיליון יורו (הגבוה מבין השניים). היעדר היערכות מתאימה ליישום הנחיות ה-GDPR עלול לפגוע בחברות ישראליות גם מול הרגולטורים, הן בישראל והן באירופה, וגם מבחינה עסקית - מול שותפים או משקיעים בעולם.

האם התקנות חלות גם על הארגון שלכם?

תקנות ה-GDPR חלות על כל ארגון שהוקם באחת ממדינות האיחוד האירופי ו/או על ארגון אשר נותן שירותים או מוכר מוצרים למי שנמצא באיחוד האירופי, ו/או לכל ארגון המעסיק ומחזיק בפרטיו האישיים (פיננסיים, בריאותיים, משפחתיים ועוד) של עובד המתגורר באיחוד האירופי.

עו"ד ענבל אביעד, יו"ר ועדת GDPR והגנת המידע בלשכת עורכי הדין, מעדכנת:

 "לאחרונה, בעקבות המציאות המחודשת של השוק האירופאי ובכלל, אנו עדים לעיסוק הולך וגובר של חברות ישראליות המחויבות לפי פעילותן בעמידה ב- GDPR, בהטמעת הרגולציה האירופאית בדבר הגנת המידע בתוך הארגון שלהן. זהו מהלך מקיף, המחייב את התגייסותן המלאה של כל המחלקות בארגון עד הטמעה מלאה. שאלות רבות מתעוררות, למשל, באשר לסיווג מי הוא Controller  ומי הוא Processor, באשר לאופן העברת מידע מאובטח מחוץ לתחומי האיחוד האירופי, נהלי אבטחת המידע ועוד. סוגיות אלה עשויות לאיים על המשך קיומם של יחסים מסחריים בין ארגונים שונים, וכמובן, עלולות אף להביא לקריסה כלכלית של ארגון אשר לא יעמוד בתקנות המחמירות."

זכרו: הן על ה-Controller, הגוף אשר שולט במידע, והן על ה-Processor, הגוף המעבד את המידע, חלה אחריות כבדה.

ה-Controller אחראי לקבוע את מטרת איסוף ועיבוד המידע כמו גם לקבוע מה יהיו האמצעים הטכניים והארגוניים המיועדים להגן על המידע, וכן להוכיח כי הוא אכן מגן על מידע זה ועל זכויותיהם של נשואי המידע (ה-Data Subjects). עליו לפרסם מסמכים כתובים באשר למדיניות ההגנה על המידע בארגון, לקיים הדרכות לעובדים, למנות קצין הגנת מידע וכן במקרים מסוימים לשאת באחריות מול מעבד המידע (ה-Processor).

ואילו ה-Processor מתחייב לפעול לפי הוראות מפורשות מה- Controller, לשמור על המידע, למחוק או להחזיר אותו בתום ההתקשרות, לקיים תיעוד מסודר של כל פעולות עיבוד המידע, לשמור על זכויותיהם של ה- Data Subjects במידע ולאפשר להם גישה חופשית למידע הנאסף אודותיהם.

איך אנחנו יכולים לעזור?

Relocation Source מעניקה מגוון שירותים שמטרתם לאפשר לארגונים בישראל להתרחב בפרישה גלובלית ובינלאומית, מבלי לנהל בעצמם את משאבי האנוש.

כך מובטח לארגון כי כל עובד מודע לכך שהמידע עליו נשמר ומוגן לפי תקנות ה-GDPR החדשות, וכי בכל רגע נתון יוכל לקבל מענה מלא מ-Relocation Source על המידע הנאסף ולממש את זכויותיו הרבות הקנויות בתקנות החדשות (ובכלל זה הזכות למידע, הזכות להימחק, הזכות לניידות וכו').

מכלול השירותים שמעניקה Relocation Source  לארגון, מבטיח ניהול מלא, פרטני ומדוייק של העובדים וכן של המידע הנאסף עליהם, בכל מקום בעולם, תוך מילוי קפדני ומחמיר של הנחיות ה-GDPR ככתבן וכלשונן.

צוות המומחים שלנו ישמח לעמוד לשירותכם ולסייע לכם בהתאמות הנדרשות כדי לעמוד בתקנות ה- GDPR במלואן. אל תקחו סיכון >>