Table of Contents Table of Contents
Next Page  48 / 100 Previous Page
Information
Show Menu
Next Page 48 / 100 Previous Page
Page Background

תפתחויות טכנולוגיות מעצימות

את האיומים על הפרטיות, אשר

בעידן המקוון חשופה לשני איומים

מרכזיים - גניבת מידע באמצעות

פריצה למאגרי מידע, ואיסוף או שימוש לא

ראוי במידע אישי. כדי להתמודד עם איומים

גלובליים אלה, פרסם האיחוד האירופי חקיקה

ואימץ את

2016

באפריל

27

רלבנטית ביום

General

Data

(

GDPR

התקנות המכונות

). התקנות מחליפות

Protection Regulation

את החקיקה הקודמת בנושא ואכיפתן תחל

.2018

במאי

סעיפים וקובעות כללים

99

התקנות מונות

לשמירה על פרטיות ואבטחת מידע אישי. כל

מידע שיכול לאפיין אדם באשר הוא, נחשב

למידע אישי. אחד החידושים המשמעותיים הוא

שהתקנות בעלות תחולה אקס טריטוריאלית,

כך שהן חלות גם מחוץ לטריטוריה של האיחוד

האירופי. למעשה, מדינות האיחוד ומדינות

אחרות אינן צריכות לחוקק חוקים מקומיים

כדי לאמץ את התקנות לחוק המקומי, שכן

התקנות חלות באופן ישיר ואוטומטי. התקנות

חלות בשני מקרים: כאשר מבוצעות בתחומי

האיחוד האירופי פעולות עיבוד ואחזקת מידע

אישי; וכן כאשר מבוצעות פעולות עיבוד

Data

והחזקת מידע אישי אודות נשוא מידע (

) הנמצא באיחוד האירופי, במקרים

Subject

שבהם הפעילות נוגעת למתן שירותים או

מוצרים לאזרחי האיחוד.

החובות והזכויות

התקנות מגדירות מגוון של חובות וזכויות,

שמטרתן להגן ככל האפשר על נשוא המידע.

המטרה היא להשיא את הגנת פרטיות המידע

של נשוא המידע הניצב במרכז. לדוגמה, הסכמה

) היא אחת הדרישות המרכזיות.

Consent

(

מדובר על הסכמה של נשוא המידע לפעולות

שמבוצעות ביחס למידע אודותיו. בין היתר,

ההסכמה צריכה להינתן בחופשיות, להיות

ספציפית, להיות מיודעת ולבטא באופן חד

משמעי כי נשוא המידע נותן הסכמתו לתהליך

שמירת המידע האישי. הן פרטי נותן השירות

והן פרטי רכיבי העיבוד חייבים להיות כלולים

במפורש בהסכמה. על ההסכמה להיות נפרדת

מכל אישור אחר, להיות מנוסחת בלשון קריאה,

ועל אוסף המידע חלה החובה להיות מסוגל

להוכיח בדיעבד את ההסכמה.

, שהיא

Privacy By Design

חובות נוספות הן

החובה לתכנן מוצרים ושירותים מראש באופן

שמבטיח פרטיות והגנת מידע; איסור מוחלט

לעבד מידע רגיש דוגמת העדפה מינית, אמונה

דתית וכדומה; הערכת סיכונים לדליפות מידע

וחובה להשתמש באמצעי הגנה טכנולוגיים

וארגוניים; החובה להעסיק קצין אבטחת מידע

) בהתקיים תנאים של גודל חברה או

DPO

(

סוגי מידע מעובדים; החובה לדווח לרשויות

המפקחות, ולעתים גם לפרטים, על דליפות

שעות.

72

מידע, לעתים במגבלת זמן של

התקנות מגדירות גם את הזכויות של נשוא

המידע. בהן הזכות להיות מיודע, המחייבת

את הארגון ליתן מידע שלם, מלא, ברור, חד

משמעי, הוגן, מובן ובחינם; זכות הגישה למידע

שהיא זכותו של נשוא המידע לקבל עותק

מהמידע המתייחס אליו, מהר, ללא תשלום

ובאופן קריא; הזכות לדרוש תיקון המידע כאשר

זה לא עדכני או חלילה שגוי; הזכות למחיקת

המידע; הזכות להגבלת עיבוד המידע; הזכות

להעביר את המידע לאחרים; והזכות להתנגד

.

לעיבודים המפורטים בתקנות

אכיפה וענישה

ארגונים שהתקנות חלות עליהם ואשר יפרו

אותן, צפויים לקנסות מנהליים בהיקף של עד

אחוזים מהמחזור השנתי,

4

מיליון יורו או

20

לפי הסכום הגבוה מהשניים. התקנות חלות

גם על מחזיקי מידע ועל ארגונים שמספקים

שירותי אחסון בענן.

ברוח השינויים בעולם, גם מדינת ישראל החלה

בחקיקה נרחבת בנושא ולאחרונה נכנסו לתוקף

תקנות הגנת הפרטיות (אבטחת מאגרי מידע)

. התקנות מחייבות מי שמחזיק

2017־

תשע"ז

במאגר מידע לעמוד ברמת אבטחה מסוימת,

בהתאם לסוג הארגון ואופיו. זוהי רפורמה

1986

מרחיקת לכת בהשוואה לתקנות משנת

שאינו מתאימות לאתגרי הזמן הזה. בין השאר,

לראשונה בישראל, הן מטילות במקרים מסוימים

חובה לדווח לרשם מאגרי המידע על אירועי

אבטחה. גם אכיפת תקנות אלה צפויה להתחיל

. זאת השעה להתכונן.

2018

במאי

ארגונים שהתקנות חלות עליהם ואשר יפרו אותן,

מיליון

20

צפויים לקנסות מנהליים בהיקף של עד

אחוזים מהמחזור השנתי. התקנות חלות

4

יורו או

גם על ארגונים שמספקים שירותי אחסון בענן

הפרטיות בפרטים הקטנים

של האיחוד האירופי לתוקף,

GDPR

עם כניסת תקנות

מגיעה מהפכת הגנת המידע והפרטיות גם לישראל

עו"ד ענבל אביעד

והגנת המידע במחוז תל אביב

GDPR

הכותבת היא שותפה במשרד עורכי דין אביעד, איטח ושות' ויו"ר ועדת

אבעיה

2018

מרץ

48