GDPR… אז למה זה פתאום מעניין את כולם?
האיחוד האירופי תיקן את התקנות באפריל 2016 ונתן לשוק שנתיים להתאים את עצמו אליהן לפני שתתחיל האכיפה. כפי שאתם בטח שמים לב, השנתיים האלו עברו מהר והאכיפה תתחיל ב 25 למאי 2018.
בשלב הזה אתם בטח שואלים את עצמכם “OK. אבל איך זה קשור אלי?”
התקנות מגדירות באילו תנאים גופים עסקיים, לא משנה גודלם ומיקומם בעולם, צריכים לעמוד על מנת שיכולו לתקשר עם אזרחי האיחוד האירופי. כמו כן, התקנות מגדירות כי ארגונים אשר יפרו את התקנות הללו עשויים להיקנס ב- 4% מהמחזור השנתי או 20 מיליון אירו, על פי הגבוה מביניהם.
עכשיו כשהשגנו את הקשב שלכם, ננצל אותו ונדגיש כי מטרת מכתב זה היא לספק מידע בלבד.
רקע
תקנות ה- GDPR מחליפות את חוק הגנת הפרטיות של האיחוד האירופי מ-
1995 ומטרתן, מעבר לשמירה על פרטיות המידע של אזרחי האיחוד האירופי, לתאם את חוקי הגנת הפרטיות בין מדינות האיחוד ולעצב מחדש את האופן בו ארגונים באיחוד מתייחסים לפרטיות המידע.
כאמור, בעוד התקנות מגנות על אזרחי האיחוד, האכיפה של התקנות אינה מוגבלת לארגונים מהאיחוד. לכן, למעשה, התקנות מחייבות גם ארגונים מחוץ לאיחוד לשנות את האופן בו הם מתייחסים לפרטיות המידע. בנוסף, מומחים בתחום טוענים כי כדאי ליישם את עקרונות התקנות הללו לכלל אנשי הקשר שלכם כי במשך הזמן עוד ועוד מדינות יגדירו חוקים ותקנות באותה הרוח. למשל, תקנות הגנת הפרטיות בישראל מתכתבות עם תקנות ה-GDPR במידה לא מעטה.
הגדרות ועקרונות ה- GDPR
ניחשתם נכון. החלק הזה כולל הביטים טכניים ודי משעמים. אבל, קריטי להכיר הגדרות ועקרונות אלו כדי להבין את רוח ה-GDPR. כמו כן, אחרי כל הגדרה יש הסבר על איך זה משפיע עליכם. אז המאמץ שווה!
מידע אישי (personal data)
על פי התקנות, מידע אישי הינו “כל מידע המתייחס לאדם אמיתי (נושא מידע) מזוהה או שניתן לזהותו”. ב”ניתן לזהותו” הכוונה היא לכל פיסת מידע אשר מאפשרת לזהות את האדם באופן ישיר או עקיף, בפרט אם מדובר על מזהה כמו שם, מס’ זיהוי, מידע על מיקום, מזהה מקוון, מידע ביומטרי, חברתי, וכו’.
ה-GDPR מגדירים כי צריכה להיות סיבה עסקית וחוקית על מנת לאסוף מידע אישי מאזרחי האיחוד אירופי. מטרת הגדרה זו לגרום לצמצום פרטי המידע הנאספים. לכן, עליכם לבחון מהו המידע שאתם אוספים ולוודא שיש לכם צידוק עסקי וחוקי לאסוף אותו.
מערכת smoove HR מאפשרת לכם להגיע אל אנשי קשר ולאסוף מהם מידע. אבל, אתם אלו שמחליטים איזה מידע לאסוף. לכן, מבחינת ה- GDPR, אתם “בעלי שליטה במידע אישי” ואנחנו – smoove HR, “מעבדי המידע” שלכם, כמובן, רק בכל הקשור לשירותים שאתם מקבלים מהשימוש במוצר ויכולותיו. המשיכו לקרוא על מנת להבין מה משמעות הגדרות אלו.
בעל שליטה במידע אישי (controller)
אדם, חברה, סוכנות, רשות ציבורית, או כל גוף אחר, אשר, לבד או במשותף, קובעים את האמצעים ומטרת עיבוד ושימוש במידע האישי של אזרחי האיחוד האירופי.
כלקוחות ו/או משתמשי smoove HR, מכיוון שאתם מחליטים איזה מידע לאסוף מאנשי הקשר שלכם, אם יש לכם אנשי קשר שהם אזרחי האיחוד האירופי, אזי מבחינת ה-GDPR, הנכם בעלי שליטה במידע האישי. כלומר, עליכם לוודא שיש לכם סיבה עסקית וחוקית לאסוף את המידע שאתם אוספים. כמו כן, עליכם למפות את זרימת הנתונים בארגון שלכם ובמערכות בהן אתם משתמשים, במיוחד אם אתם מעברים מידע אל ומ-smoove HR באמצעות API, על מנת לוודא שלא יעשה שימוש לא רצוי במידע.
חשוב לציין כי ה-GDPR מגדירים גם כיצד יש לטפל ולאבטח מידע אישי של אזרחי האיחוד ואלו בקרות דרושות על מנגנוני האבטחה בארגון עצמו (מדיניות הגנה על פרטיות, מחשבי קצה, תיקיות, וכו’) ולא רק בכל הקשור ל- smoove HR. הניוזלטר הזה לא יעסוק ישירות בנושאים אלו.
מעבד (processor)
אדם, חברה, סוכנות, רשות ציבורית, או כל גוף אחר, אשר, מעבד מידע אישי של אזרחי האיחוד האירופי עבור בעל שליטה במידע אישי.
כלקוחות ו/או משתמשי smoove HR, אם יש לכם אנשי קשר שהם אזרחי האיחוד האירופי, אזי אנחנו המעבד שלכם, כמובן, רק בכל הקשור לשירותים שאתם מקבלים מהשימוש במוצר ויכולותיו. כמעבד מידע, אנחנו דואגים לאבטחת המידע שלכם במערכות שלנו, מעדכנים ומרחיבים את ההגנות שלנו מעת לעת ומוודאים שהספקים שלנו עומדים בהן בהתאם.
הסכמה (consent)
כל חיווי או סימן (indication) שניתנו באופן חופשי, מפורט (specific), מיודע, וחד משמעי על ידי נושא המידע, בהצהרה או בפעולה מאשרת, המציינים הסכמה לעיבוד מידע אישי הנוגע לו/לה.
נושא זה, הינו מהחשובים ב-GDPR. הוא מגדיר:
- איך להשיג את ההסכמה מאנשי הקשר – וודאו כי כשאתם מבקשים מידע מאיש קשר או מציעים לו שירות מסוים, האופן בו הוא נותן את המידע או מסכים לקבל את השירות מוצגים באופן ברור, מבוצעים באופן מודע ועבור כל שירות בנפרד.
ב- smoove HR יש לכם מספר יכולות המאפשרות לכם לייצר הסכמה מודעת:
- הוסף הצטרפות לרשימה – צרו רשימה עבור כל שיטת דיוור ו/או סוג תוכן באמצעותם אתם מעוניינים לתקשר עם הלקוח. כאשר אתם מייצרים טופס רישום, השתמשו ב”הוסף הצטרפות לרשימה” עבור כל שיטת דיוור/ סוג תוכן רלוונטי. כתוצאה, איש הקשר יוכל לקבוע לאיזו רשימה הוא מעוניין להצטרף.
- מייל אישור שליחה (Double opt-in) – על מנת להבטיח שאנשי הקשר יאשרו את הדיוורים השונים באופן מודע, אתם יכולים להפעיל את יכולת “מייל אישור שליחה” אשר תשלח באופן אוטומטי לכל איש קשר שהתוסף לרשימה הכללית שלכם מייל לאישור נוסף. עד שאיש הקשר לא יאשר דיוור באמצעות מייל זה, המערכת לא תשלח לו מיילים נוספים.
- חובת הוכחת הסכמה – בעלי שליטה במידע אישי חייבים להוכיח את ההסכמה של איש הקשר.
ציר התקשורות ב- smoove HR מאפשר לכם להראות את כל התקשורות שלכם עם איש הקשר מרגע ההצטרפות שלו.
זכויות נושא המידע
שליטת אזרחי האיחוד האירופי במידע האישי שלהם הנה אחת הסיבות העיקריות לתקנות ה-GDPR. לכן, חשוב מאוד להכיר אותן ולהבין איך smoove HR עוזרת לכם לעמוד ולענות לתקנות.
גישה (right of access)
התקנות קובעות כי:
- בעלי שליטה במידע אישי מחויבים להשיב לנושא מידע האם הם מעבדים מידע לגביו/ה. אם כן, אז רשאי נושא המידע לקבל את המידע הבא: מטרת עיבוד המידע, קטגוריות המידע האישי המעובד, למי מועבר המידע או קטגוריות המידע, משך הזמן שהמידע יאוחסן, המקור למידע שלא נאסף ישירות ממנו/ה,לספק מידע משמעותי לגבי הלוגיקה של קבלת החלטות או פרופיילינג אוטומטי על פי נתוני נושא המידע.
- נושאי המידע זכאים לקבל הודעה על אופן אבטחת המידע לגיבהם במידע ומידע זה מועבר למדינה שלישית או ארגון בינלאומי.
- נושאי המידע זכאים לבקש ולהחזיק העתק של המידע האישי שלהם העובר עיבוד.
תיקון
לנושא המידע הזכות לדרוש תיקון מידע לא מדיוק הנוגע לו/לה ללא כל עיכוב מבעל שליטה במידע אישי.
מחיקה (זכות להישכח)
לנושא המידע הזכות לבקש מבעל שליטה במידע אישי למחוק, ללא כל עיכוב, כל מידע הנוגע לו/לה.
אם איש קשר מבקש מכם בצורה יזומה למחוק לצמיתות את כל המידע הקיים לגביו ב- smoove HR, מבאס!
אבל… אנחנו פה כדי לעזור. פנו לתמיכה של smoove HR ונבצע זאת עבורכם.
הגבלת העיבוד
נושא המידע יכול להגביל את עיבוד המידע באחד מארבע מקרים המפורטים בתקנות. במקרה כזה למעט אחסון, ניתן לעבד את המידע רק לצרכים משפטיים (המפורטים בתקנות) ובעל שליטה במאגר חייב לעדכן את נושא המידע לפני שההגבלה מוסרת.
ניידות
נושא המידע יכול לבקש מבעל שליטה במידע אישי לספק לו העתק של המידע הקיים לגביו על מנת שנושא המידע יעביר אותו לצד שלישי.
הזכות להתנגד
כל נושא מידע רשאי להתנגד לעיבוד ידני ו/או אוטומטי, כולל פרופיילינג, של חלק או כל המידע לגביו.
על מנת לעמוד בזכויות הנ”ל, בתחתית כל דוא”ל שאתם יוצרים ושולחים מ-smoove HR יש לינקים המאפשרים לאיש הקשר לגשת באופן עצמאי למידע בסיסי עליו, לתקן את המידע ולהסיר את עצמו מרשימות הדיוור אליהן נרשם ואינו מעוניין להיכלל בהן.
אם איש הקשר מבקש ממכם מידע נוסף, אשר אינו נכלל במידע הבסיסי, אתם יכולים לאתר את איש הקשר במערכת לתקן עבורו את הפרטים ו/או לייצא את כל הפרטים שלו לקובץ אקסל.
לסיכום
בימים הקרובים מתחילה אכיפת תקנות ה-GDPR, שנועדו להגן ולחזק את הפרטיות של כלל אזרחי הקהילה האירופית. התקנות דורשות מהעולם העסקי להתכונן היטב ולאמץ טכנולוגיות חדשות. אנחנו ב-smoove HR עשינו, עושים, ונמשיך לעשות כל מה שנדרש על מנת לאפשר לכם לעמוד בתקנות האלו ואחרות בכל הקשור לשימוש במערכת.
בהצלחה לכולנו!