תקנות חוק הגנת פרטיות המידע האירופיות -GDRP – General Data Regulation Protection ייכנסו לתוקף ב-25 במאי. באותו היום ייהפכו התקנות למציאות, וכל ארגון או עסק שאוסף ומעבד מידע של אזרח או תושב האיחוד האירופי וייכשל בהגנה עליו – צפוי לספוג קנס עד 4% מהמחזור השנתי הגלובלי שלו, או 20 מיליון יורו – הגבוה מבין השניים. התקנות באיחוד האירופי נחקקו לפני כשנתיים, במטרה לאפשר לכל הארגונים והחברות להתכונן ליום שבו הן ייכנסו לתוקף, אבל כנראה שרובם לא נערכו לכך. תקנות אלה תקפות בכל מערכות התיירות, המלונאות והתעופה וגם במערכות החיים האחרות.
התאחדות משרדי הנסיעות ויועצי התיירות קיימה, ביום שלישי 27 בפברואר השנה, השתלמות לחברי ההתאחדות בנושא GDRP שבו סקר עו"ד יהונתן קלינגר את אמנת הפרטיות האירופית החדשה ומתן סגס מחברת ישרכארט סקר את נושא זיהוי והגנה מפני נוכלויות האשראי. מטרת יום העיון הייתה להכין את הסוכנים לקראת היום שבו ייכנסו תקנות GDRP לתוקף ובעקבות כך, יחולו שינויים רבים בדרך בה מערכות מידע צריכות לאתר ולשמור מידע של לקוחות, ספקים, עובדים וכל אדם אחר.
במסגרת שינויים אלו, יידרשו סוכנויות נסיעות לבצע עדכון שיכלול יידוע אנשים על המידע שנשמר עליהם וגם לאפשר לאנשים לעיין במאגרי מידע, לשנות אותם ולהמחק מהם. כמו כן להיערך טכנולוגית כדי לפעול נכון ויעיל ביישום התקנות.
עוד לפני כניסת תקנות הגנת הפרטיות האירופיות לתוקף, ב-8 במאי, ייכנסו לתוקף תקנות הגנת הפרטיות הישראליות, השואבות חלק מהרעיונות ה-GDRP.
היוזמה
היוזמה להתקנת התקנות הייתה באירופה ובישראל עוד לפני פרוץ פרשת קיימברידג' אנליטיקה, שהדגימה כיצד פייסבוק ועשרות אלפי חברות נוספות בעולם אוספות מידע אישי על לקוחותיהן ועושות בו שימוש, ללא פיקוח והגבלה, לצורך בניית פרופיל משתמש, כדי לאפשר בכך התאמת פרסומות ממוקדות, כדי למקסם רווחים וגם למטרות נוספות. התקנות החדשות נועדו להחזיר למשתמשים את השליטה על המידע. על פניו נראה, כי חברות וארגונים לא נערכו כראוי לקראת כניסת התקנות הישראליות והאירופיות לתוקף.
תקנות GDRP
תקנות GDRP ייפיעו על כל חברה שבמסגרת עבודתה מקבלת ומעבדת מידע פרטי כמו מספרי דרכון של אזרחי האיחוד האירופי, גם אם מיקומה מחוץ לאיחוד האירופי, כלומר משרדים המטפלים בנסיעות של אזרחים בעלי דרכון של האיחוד האירופי, הן בתיירות יוצאת והן בתיירות נכנסת.
התקנות קובעות סטנדרטים מחמירים בתחומי איסוף ושמירת המידע, מעקב אחרי דפוסי גלישה של גולשים באמצעות קוקיז והצפנת מידע, המיועדים לפילוח קהלים ולפיו להתאים את הפרסומות.
מטרת תקנות GDRP היא להגן על פרטיות אזרחי האיחוד האירופי, בין היתר על ידי חיוב חברות לנסח בבירור את הבקשה לעשות שימוש במידע של הלקוח ולקבל הסכמה חד משמעית ממנו, חיוב החברות המחזיקות במידע לדווח על כל פריצה או חדירה למערכותיהן שיש בה כדי לסכן את פרטיות המידע, חיוב במחיקת פרטים אישיים לפי בקשת הלקוח ואף חובת העברת המידע לחברות אחרות לפי בקשת הלקוח.
על מי יחול ה-GDPR?
ה-GDRP יחול על כל גוף המחזיק בפרטיים אישיים של תושבי אירופה. זאת, גם אם הגוף עצמו אינו ממוקם באירופה. אם, למשל, משרד נסיעות, חברת תעופה ומלון מחזיקים פרטים אישיים של לקוחות במאגר הנתונים שלהם, ה-GDPR צפוי לחול עליכם, כשהתקנות מיועדות להגן על פרטיות אנשים בשר ודם ולא על פרטיות תאגידים.
אילו פרטים עשויים להיחשב כ"פרטים אישיים"?
המונח פרטים אישיים (Personal Data) בתקנות GDRP – הוא כל מידע הקשור לאדם ואשר ניתן באמצעות מידע, באופן ישיר או עקיף, לזהות את אותו אדם ובפרט שם, מספר זהות, נתוני מיקום, לזיהוי מקוון או לגורם אחד או יותר הספציפיים לזהות האדם דוגמת מאפיינים פיזיים, פיזיולוגיים, גנטיים, נפשיים, כלכליים, תרבותיים או חברתיים. ההגדרה הרחבה יותר תכלול, ככל הנראה, גם משרדי הנסיעות שכן הם מחזיקים מספרי דרכון המקבילים למספרי זהות. לקראתה לומדים עתה בהתאחדות משרדי הנסיעות את הנושא.
מה ייחשב כהסכמה לעיבוד המידע?
מקום בו עיבוד המידע מבוסס על הסכמה, יוטל הנטל על העוסק להוכיח, כי האדם הסכים לעיבוד הנתונים האישיים שלו. ההסכמה תינתן בכתב, מנוסחת בבירור בשפה ברורה ופשוטה וצריכה להיות בה הבחנה ברורה בין תנאי ההסכם הרגיל לבין הסעיפים המתייחסים לעיבוד מידע אישי.
כלומר, המחוקק האירופי אומר למעשה שהוא לא בהכרח יקבל כל חתימה של לקוח על מסמך גילוי נאות כהסכמה מצדו לעשות שימוש במידע שלו. אם המסמך ארוך, מנוסח בשפה משפטית מורכבת וסעיפי ההסכמה לשימוש במידע אינם מופרדים ומובחנים מיתר כללי העסקה ובמקרה של משרדי הנסיעות, כללי ביטול העסקה וכיוצה בזה, לא יראו בהצגת מסמך חתום כהסכמה וכפועל יוצא, יראו את משרד הנסיעות כמי שהפר הוראה זו. עוד נקבע, כי אדם שהתיר לגוף לעשות שימוש בפרטיו האישיים, רשאי לחזור בו מהסכמתו בכל עת ועל העוסק לספק לו מנגנון קל ופשוט לעשות כן.
מהן זכויות האדם בעל המידע?
התקנות קובעות זכויות שחובה על העוסק לספק לאדם שבמידע שלו נעשה שימוש ובהן, הזכות לגישה למידע הפרטי, הזכות למחיקת מידע, הזכות להגבלת השימוש במידע, הזכות לנייד את המידע על ידי העברתו לאותו אדם או למי מטעמו, כולל לחברה אחרת, הזכות להתנגד לעשות שימוש במידע לצרכים מסויימים (דוגמת פרופיילינג) והגבלות מכוח חוקים נוספים ככל שיהיו, של האיחוד או של מדינות החברות באיחוד.
מהן חובות הגופים המחזיקים במידע?
אדם או ישות משפטית המעבד נתונים אישיים לפעול ליישום אמצעים טכניים וארגוניים מתאימים כדי להבטיח, כי עיבוד נתונים אישיים יבוצע בהתאם להוראות ה-GDPR. כך למשל, עליו להתקין מערכות שיבטיחו כי רק המידע שיש צורך בעיבודו הוא זה שיעובד, ישמור תיעוד של פעולות העיבוד ולאילו צדדים שלישיים עבר המידע, אמצעי הזהירות שננקטו ועוד. בין אמצעי הבטיחות לשם שמירה על פרטיות המידע נכלל גם קידוד המידע. התקנות מחייבות הודעה לרשות מוסמכת בתוך 72 שעות ממועד איתור חדירה/פריצה למערכות המידע ומחייבת הודעה לאדם שהמידע שלו, מוקדם ככל האפשר.