אם רכשתם לאחרונה מוצרים או שירותים מאתרים מקוונים, בוודאי שמתם לב שאחרי ההזמנה המנומסת להצטרף לרשימת הדיוור של המוכר (והבטחה שישלחו לכם רק הודעות ממש חשובות), מופיעה הצהרה שמבטיחה שניתן להסיר את עצמכם מרשימה זו בכל עת. מקור ההתחשבות זו הוא, בין היתר, ה-GDPR או בשמו המלא – General Data Protection Regulation.

ה-GDPR מכיל הגדרות משפטיות מפורטות של מונחים ומתווה את עקרונות ההגנה על מידע אישי והאחריות של אוסף המידע האישי.
ישנם ששה עקרונות כאלו (בתרגום חופשי):

1. עיבוד מידע צריך להיעשות בצורה חוקית, הוגנת ושקופה.
2. עיבוד מידע נעשה לצורך מטרה מוגדרת מראש, לגיטימית ומוגבלת.
3. איסוף ועיבוד נעשים על ועם מינימום המידע הנדרש למטרה המוגדרת.
4. המידע צריך להיות תמיד מדויק ומעודכן.
5. מידע אישי נשמר לפרק זמן מוגבל, הנדרש לצורך מטרה מוגדרת.
6. עיבוד המידע נעשה תוך הבטחת האבטחה, השלמות והסודיות שלו.

האחריות בעניין זה

לא מספיק להגיד שעובדים לפי GDPR, חובתו של מי שאוסף ומעבד את המידע המדובר להוכיח שהוא עומד בדרישות.

כאן זה לא אירופה

נכון, אבל – החוק הזה חל גם על חברות זרות הפועלות בשוק האירופי והמספקות מוצרים או שירותים לאזרחי ותושבי אירופה או על כאלו שמעבדות מידע הקשור לפרטים אלו. המחוקק מזהיר שהפרת החוק המינורית ביותר עלולה לעלות לכם בקנס של עד 10 מילון € או 2% מסה"כ הפדיון השנתי הכולל של החברה, והקנס מכפיל את עצמו בהפרות משמעותיות יותר של החוק. תזכורת – צריך להוכיח שעומדים בדרישות החוק. יצויין שגם בישראל המחוקק נדרש לעניין זה ב"תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017".

יישום החוק

החוק נכנס לתוקף ב-2016, כל הארגונים נדרשים לעמוד בו החל מ-מאי 2018. יישום החוק אינו פשוט ולו בשל העובדה שהוא באורך 88 עמודים (וזו הגרסה הקצרה!) והוא מנוסח, כנדרש, בשפה משפטית. לצורך יישומו נדרשים שלושה בעלי תפקידים: איש מערכות מידע המכיר את כל הדרכים בהן המידע נאסף, עו"ד/יועץ משפטי כדי לפרש את החוק ולהתאים את יישומו לארגון הספציפי, וכמובן, איש האיכות שידע להפוך את כל זה לתהליכים מסודרים, פשוטים ומתועדים.

נכתב ע"י: תמר וקסלר

לכתבות נוספות בתחום מערכות איכות לחצו כאן