רגולציית ה-GDPR (General Data Protection Regulation) שנכנסה לתוקף במאי 2018 שינתה באופן מהותי את נוף הגנת הפרטיות העולמי. למרות שמדובר ברגולציה אירופית, השפעתה חורגת הרחק מעבר לגבולות האיחוד האירופי ונוגעת ישירות לחברות ישראליות רבות הפועלות בשוק הבינלאומי.
מתי ה-GDPR חל על חברות ישראליות?
ה-GDPR חל על כל ארגון המעבד מידע אישי של תושבי האיחוד האירופי, ללא קשר למיקום הפיזי של הארגון. בפועל, חברת סטארטאפ ישראלית המציעה שירות SaaS ללקוחות באירופה, חברת מסחר אלקטרוני המוכרת מוצרים לצרכנים אירופיים, או אפילו חברה ישראלית המנטרת התנהגות גולשים אירופיים באתר האינטרנט שלה — כולן כפופות לדרישות הרגולציה.
דרישות מרכזיות שיש להכיר
- בסיס חוקי לעיבוד: כל עיבוד מידע אישי חייב להתבסס על אחד מששת הבסיסים החוקיים שמגדיר ה-GDPR, כגון הסכמה מפורשת של נושא המידע, ביצוע חוזה או אינטרס לגיטימי.
- מינוי DPO: ארגונים שפעילות הליבה שלהם כוללת עיבוד מידע בהיקף נרחב נדרשים למנות קצין הגנת מידע (Data Protection Officer). חברות ישראליות רבות בוחרות למנות DPO חיצוני כפתרון חסכוני.
- זכויות נושאי מידע: ה-GDPR מעניק לנושאי המידע מגוון זכויות, כולל הזכות לגישה למידע, הזכות למחיקה (הזכות להישכח), הזכות לניידות מידע והזכות להתנגד לעיבוד.
- הודעה על הפרות מידע: חובה לדווח לרשות הפיקוח על הפרות מידע תוך 72 שעות מרגע הגילוי, ובמקרים מסוימים גם לנושאי המידע עצמם.
מעמד ישראל כמדינה עם רמת הגנה נאותה
ישראל הוכרה על ידי האיחוד האירופי כמדינה בעלת רמת הגנת מידע נאותה (Adequacy Decision) עוד בשנת 2011. מעמד זה מאפשר העברת מידע אישי מהאיחוד האירופי לישראל ללא צורך בערבויות נוספות, מה שמקנה לחברות ישראליות יתרון תחרותי משמעותי בשוק האירופי. יחד עם זאת, חשוב לעקוב אחר התפתחויות בנושא, שכן האיחוד האירופי בוחן מחדש מעת לעת את החלטות ההלימה שלו.
מנגנוני העברת מידע
גם עם מעמד ההלימה, מומלץ לחברות ישראליות ליישם מנגנוני העברת מידע נוספים כגון Standard Contractual Clauses (SCCs) כרשת ביטחון. כמו כן, יש לערוך הערכת השפעה על הגנת מידע (DPIA) בכל מקרה שבו עיבוד המידע עלול ליצור סיכון גבוה לזכויות הפרט.
סנקציות ואכיפה
הקנסות הפוטנציאליים מכוח ה-GDPR הם דרמטיים — עד 20 מיליון אירו או 4% מהמחזור השנתי הגלובלי, הגבוה מביניהם. רשויות ההגנה על מידע באירופה הפגינו נכונות לאכוף את הרגולציה גם כנגד חברות שאינן ממוקמות באיחוד האירופי, מה שהופך את הסיכון למוחשי ביותר עבור חברות ישראליות.
המלצות מעשיות
חברות ישראליות הפועלות בשוק האירופי צריכות לבצע מיפוי מידע מקיף, לעדכן את מדיניות הפרטיות שלהן, להטמיע מנגנוני הסכמה תקינים, ולהכשיר את עובדיהן בנושא הגנת מידע. ליווי משפטי מקצועי בתחום זה אינו מותרות — הוא הכרח עסקי שמונע חשיפה לסנקציות כבדות ופגיעה במוניטין.