GDPR: תקנות הגנת המידע האירופיות
ה-GDPR הוא תקן הזהב העולמי לפרטיות. הוא חל גם על ארגונים ישראליים שמעבדים מידע של תושבי האיחוד.
שבעת העקרונות
כל עיבוד מידע אישי תחת GDPR נשען על שבעה עקרונות יסוד:
| # | עיקרון | משמעות |
|---|---|---|
| 1 | הוגנות, חוקיות ושקיפות | עיבוד כחוק ובשקיפות מול נושא המידע. |
| 2 | הגבלת מטרה | איסוף למטרות ספציפיות ולגיטימיות בלבד. |
| 3 | צמצום נתונים | רק המידע ההכרחי למטרה. |
| 4 | דיוק | מידע נכון ומעודכן; תיקון או מחיקה ללא דיחוי. |
| 5 | הגבלת אחסון | החזקת מידע מזהה רק לזמן ההכרחי. |
| 6 | שלמות וסודיות | הגנה מפני אובדן, הרס וגישה לא מורשית. |
| 7 | אחריותיות | חובה להוכיח עמידה בכל העקרונות. |
זכויות נושא המידע
ה-GDPR נותן לאדם שליטה על המידע האישי שלו:
- גישה למידע
- תיקון נתונים שגויים
- מחיקה (הזכות להישכח)
- ניידות נתונים
- התנגדות לעיבוד
כשהעיבוד מתבסס על הסכמה, היא חייבת להיות פעולה חופשית, ספציפית, מדעת וחד-משמעית. שתיקה או תיבה מסומנת מראש אינן הסכמה.
מבנה הקנסות: שתי מדרגות
- מדרגה 1 (עד €10M / 2%): כשלים פרוצדורליים, כמו אי-מינוי DPO או דיווח כושל על אירוע.
- מדרגה 2 (עד €20M / 4%): הפרות מהותיות של העקרונות, זכויות נושא המידע, כללי הסכמה והעברות בינלאומיות.
הקבלה לישראל: תיקון 13 קירב את הדין הישראלי ל-GDPR. ארגון
שכבר עומד ב-GDPR נמצא בנקודת פתיחה טובה גם מול חוק הגנת הפרטיות.
יישום GDPR נשען על סיווג ואבטחה ועל שושלת לאיתור מידע לצורך מימוש הזכות להישכח.