בקש יעוץ חינם
יש שאלה? התקשר למומחה
בקש יעוץ חינם
תפריט
close
,

מה המשמעות של תקנת הגנת המידע הכללית (GDPR) עבור החברה שלך

עודכן ב-4 בספטמבר 2023

פרטיות היא עניין גדול מאוד בימינו, במיוחד מאז שהתרחשה דיגיטליזציה מסיבית ברחבי העולם. יש לפקח ולהסדיר את אופן הטיפול בנתונים שלנו כדי למנוע מאנשים מסוימים לעשות בהם שימוש לרעה או אפילו לגנוב אותם. האם ידעת שפרטיות היא אפילו זכות אדם? נתונים אישיים הם רגישים ביותר ונוטים לשימוש לרעה; לכן, רוב המדינות אימצו חקיקה המסדירה בקפדנות את השימוש והעיבוד של נתונים (אישיים). לצד החוקים הלאומיים, קיימות גם תקנות-על המשפיעות על החקיקה הלאומית. האיחוד האירופי (EU), למשל, יישם את תקנת הגנת המידע הכללית (GDPR). תקנה זו נכנסה לתוקף במאי 2018, והיא חלה על כל ארגון המציע סחורות או שירותים בשוק האיחוד האירופי. ה-GDPR חל גם אם החברה שלך אינה מבוססת באיחוד האירופי, אך במקביל יש לה לקוחות מהאיחוד האירופי. לפני שניכנס לפרטי תקנת ה-GDPR והדרישות שלה, קודם כל נבהיר מה מטרת ה-GDPR להשיג ולמה זה חשוב לך כיזם. במאמר זה נסביר אפוא מהו ה-GDPR, מדוע עליך לנקוט בפעולות מתאימות כדי לעמוד בדרישות, וכיצד לעשות זאת בצורה היעילה ביותר.

מה זה בדיוק ה-GDPR?

ה-GDPR היא תקנה של האיחוד האירופי המכסה את ההגנה על הנתונים האישיים של אזרחים טבעיים. לכן הוא מכוון אך ורק להגנה על נתונים אישיים ולא נתונים מקצועיים או נתונים של חברות. באתר הרשמי של האיחוד האירופי, זה מתואר כדלקמן:

"תקנה (EU) 2016/679 על ההגנה על אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה. הטקסט המתוקן של תקנה זו פורסם בכתב העת הרשמי של האיחוד האירופי ב-23 במאי 2018. ה-GDPR מחזק את זכויות היסוד של האזרחים בעידן הדיגיטלי ומקדם סחר על ידי הבהרת הכללים לעסקים בשוק הדיגיטלי היחיד. מערכת כללים משותפת זו ביטלה את הפיצול שנגרם על ידי מערכות לאומיות שונות ונמנעה מסרטן בידוק. התקנה נכנסה לתוקף ביום 24 במאי 2016 והיא בתוקף מיום 25 במאי 2018. מידע נוסף לחברות ופרטיים.[1]"

זהו בעצם אמצעי להבטיח שמידע אישי יטופל בבטחה על ידי חברות שצריכות לטפל בנתונים בשל אופי הסחורה או השירותים שהן מציעות. לדוגמה, אם אתה מזמין מוצר באתר כאזרח האיחוד האירופי, הנתונים שלך מוגנים על ידי תקנה זו מכיוון שאתה נמצא באיחוד האירופי. כפי שהסברנו בקצרה קודם לכן, החברה עצמה אינה צריכה להיות מוקמת במדינה של האיחוד האירופי כדי להיכנס לתחום תקנה זו. כל חברה העוסקת בלקוחות מהאיחוד האירופי צריכה לציית ל-GDPR, כדי להבטיח שהנתונים האישיים של כל אזרחי האיחוד האירופי מוגנים ובטוחים. בדרך זו, אתה יכול להיות סמוך ובטוח שאף חברה לא תשתמש בנתונים שלך למטרות אחרות מאלה שצוינו ופורטו במפורש.

מהי המטרה הספציפית של ה-GDPR?

המטרה העיקרית של ה-GDPR היא הגנת מידע אישי. תקנת ה-GDPR רוצה שכל הארגונים, גדולים וקטנים, כולל שלך, יחשבו על הנתונים האישיים שבהם הם משתמשים ויהיו מאוד מתחשבים ומתחשבים באשר למה וכיצד הם משתמשים בהם. בעיקרו של דבר, ה-GDPR רוצה שיזמים יהיו מודעים יותר בכל הנוגע לנתונים האישיים של הלקוחות שלהם, הצוות, הספקים וגורמים אחרים שהם עושים איתם עסקים. במילים אחרות, תקנת ה-GDPR רוצה לשים קץ לארגונים שאוספים נתונים על אנשים רק כי הם מסוגלים, ללא סיבה מספקת. או בגלל שהם מאמינים שהם יכולים איכשהו להרוויח מזה עכשיו או בעתיד, בלי הרבה תשומת לב ובלי ליידע אותך. כפי שתראו במידע למטה, ה-GDPR למעשה לא באמת אוסר הרבה. אתה עדיין יכול להשתתף בשיווק בדוא"ל, אתה עדיין יכול לפרסם, ואתה עדיין יכול למכור ולהשתמש בנתונים האישיים של לקוחות, כל עוד אתה מספק שקיפות לגבי האופן שבו אתה מכבד את פרטיותם של אנשים. הרגולציה עוסקת יותר במתן מידע מספק על האופן שבו אתה משתמש בנתונים, על מנת שלקוחותיך וצדדים שלישיים אחרים יקבלו מידע לגבי המטרות והפעולות הספציפיות שלך. בדרך זו, כל אדם יכול לספק לך את הנתונים שלו על סמך הסכמה מדעת, לכל הפחות. די לומר, אתה צריך לעשות כדבריך ולא להשתמש בנתונים למטרות אחרות ממה שציינת, שכן הדבר עלול לגרום לקנסות כבדים ביותר ולהשלכות אחרות.

יזמים שעליהם חל ה-GDPR

אתם עשויים לשאול את עצמכם, "האם ה-GDPR חל גם על החברה שלי?" התשובה לכך פשוטה למדי: אם יש לך בסיס לקוחות או ניהול כוח אדם עם אנשים מהאיחוד האירופי, אז אתה מעבד נתונים אישיים. ואם אתה מעבד נתונים אישיים, עליך לציית לתקנת הגנת המידע הכללית (GDPR). החוק קובע מה אתה יכול לעשות עם נתונים אישיים וכיצד עליך להגן עליהם. לכן זה תמיד חשוב לארגון שלך, מכיוון שחובה לכל החברות המתמודדות עם אנשים פרטיים באיחוד האירופי לציית לתקנת ה-GDPR. כל האינטראקציות המקצועיות והאישיות שלנו נעשות יותר ויותר דיגיטליות, ולכן התחשבות בפרטיות של אנשים היא פשוט הדבר הנכון לעשות. לקוחות מצפים מהחנויות האהובות שלהם לטפל בנתונים האישיים שהם מספקים בזהירות, כך שהתקנות האישיות שלך לגבי ה-GDPR מסודרות היא משהו שאתה יכול להיות גאה בו. וכבונוס נוסף, הלקוחות שלך יאהבו את זה.

כאשר אתה מטפל בנתונים אישיים, על פי ה-GDPR, אתה כמעט תמיד מעבד גם את הנתונים האלה. חשוב על איסוף, אחסון, שינוי, השלמה או העברה של נתונים. גם אם אתה יוצר או מוחק נתונים באופן אנונימי, אתה גם מעבד אותם. נתונים הם נתונים אישיים אם הם נוגעים לאנשים שאתה יכול להבדיל מכל שאר האנשים. זו ההגדרה של אדם מזוהה, עליה נדון בהרחבה בהמשך מאמר זה. לדוגמה, זיהית אדם אם אתה יודע את שמו הפרטי ושם משפחתו, ונתונים אלו תואמים גם לנתונים על אמצעי הזיהוי הרשמית שלו. כאדם המעורב בתהליך זה, יש לך שליטה על הנתונים האישיים שאתה מספק לארגונים. קודם כל, ה-GDPR נותן לך את הזכות לקבל מידע לגבי הנתונים האישיים הספציפיים שארגונים משתמשים בהם ומדוע. יחד עם זאת, זכותך לקבל מידע כיצד ארגונים אלו מבטיחים את פרטיותך. בנוסף, אתה יכול להתנגד לשימוש בנתונים שלך, לבקש מהארגון למחוק את הנתונים שלך, או אפילו לבקש את העברת הנתונים שלך לשירות מתחרה.[2] אז, בעצם, האדם שאליו שייכים הנתונים בוחר מה אתה עושה עם הנתונים. זו הסיבה שאתה צריך להיות קפדני כארגון עם המידע שאתה מספק לגבי השימוש המדויק בנתונים האישיים שאתה רוכש, שכן האדם שהנתונים שייכים לו צריך לקבל מידע לגבי הסיבות לעיבוד הנתונים שלו בכלל. רק אז אדם יכול להחליט אם אתה משתמש נכון בנתונים.

באילו נתונים מדובר בדיוק?

נתונים אישיים ממלאים את התפקיד החשוב ביותר ב-GDPR. הגנה על הפרטיות של אנשים היא נקודת המוצא. אם נקרא בעיון את הנחיות ה-GDPR, נוכל לחלק את הנתונים לשלוש קטגוריות. הקטגוריה הראשונה עוסקת במידע אישי במיוחד. זה יכול להיות מסווג כמו כל מידע על אדם טבעי מזוהה או מזוהה. לדוגמה, פרטי השם והכתובת שלו, כתובת דואר אלקטרוני, כתובת IP, תאריך לידה, מיקומו הנוכחי, אך גם מזהי מכשיר. נתונים אישיים אלה הם כל מידע שבאמצעותו ניתן לזהות אדם טבעי. שימו לב שמושג זה מתפרש בצורה רחבה מאוד. זה בהחלט לא מוגבל לשם משפחה, שם פרטי, תאריך לידה או כתובת. נתונים מסוימים - שבמבט ראשון לא קשורים לנתונים אישיים - עדיין יכולים ליפול תחת ה-GDPR על ידי הוספת מידע מסוים. לפיכך מקובל כי אפילו כתובות IP (דינמיות), צירופי המספרים הייחודיים שאיתם מחשבים מתקשרים זה עם זה באינטרנט, יכולים להיחשב כמידע אישי. יש לשקול זאת, כמובן, ספציפית לכל מקרה ספציפי, אך קחו בחשבון את הנתונים שאתם מעבדים.

הקטגוריה השנייה עוסקת במה שמכונה נתונים פסאודו-אנונימיים: נתונים אישיים המעובדים באופן שלא ניתן עוד להתחקות אחר הנתונים ללא שימוש במידע נוסף, אך עדיין מייחד אדם. לדוגמה, כתובת דואר אלקטרוני מוצפנת, מזהה משתמש או מספר לקוח המקושרים רק לנתונים אחרים באמצעות מסד נתונים פנימי מאובטח היטב. זה גם נכנס לתחום ה-GDPR. הקטגוריה השלישית מורכבת מנתונים אנונימיים לחלוטין: נתונים שבהם כל הנתונים האישיים המאפשרים מעקב נמחקו. בפועל, לעתים קרובות קשה להוכיח זאת, אלא אם כן ניתן לעקוב אחר הנתונים האישיים מלכתחילה. לכן זה מחוץ לתחום ה-GDPR.

מי מוסמך כאדם מזוהה?

לפעמים זה יכול להיות קצת קשה להגדיר מי נכנס לתחום של 'אדם מזוהה'. במיוחד מכיוון שיש הרבה פרופילים מזויפים באינטרנט, כמו אנשים עם חשבונות מזויפים במדיה חברתית. באופן כללי, אתה יכול להניח שאדם ניתן לזיהוי כאשר אתה יכול לאתר את הנתונים האישיים שלו ללא יותר מדי מאמץ. חשבו, למשל, על מספרי לקוחות שתוכלו לקשר לנתוני החשבון. או מספר טלפון שתוכלו לאתר אותו בקלות, וכך להבין למי הוא שייך. כל אלה נתונים אישיים. אם נראה שיש לך בעיות בזיהוי מישהו, יש צורך לעשות קצת יותר מחקר. אתה יכול לבקש מהאדם טופס זיהוי תקף, רק כדי להיות בטוח שאתה יודע עם מי יש לך עסק. אתה יכול גם להסתכל במאגרי מידע מאומתים כדי להשיג מידע לגבי זהותו של מישהו, כמו ספר טלפונים דיגיטלי (שבעצם עדיין קיים). אם אינך בטוח אם ניתן לזהות לקוח או צד שלישי אחר, נסה ליצור קשר עם הלקוח הזה ולבקש מידע אישי. אם האדם לא עונה לשאילתה שלך, בדרך כלל עדיף למחוק את כל הנתונים שיש לך ולבטל את המידע שסיפקת לך. רוב הסיכויים שמישהו משתמש בזהות בדויה. מטרת ה-GDPR היא להגן על אנשים פרטיים, אך גם אתה כחברה צריך לנקוט בצעדים מתאימים כדי להגן על עצמך מפני הונאה. למרבה הצער, אנשים יכולים להשתמש בזהות מזויפת, ולכן חשוב להיות ערניים לגבי המידע שאנשים מספקים. כאשר מישהו משתמש בזהות של מישהו אחר, עשויות להיות לכך השלכות חמורות עבורך כחברה. מומלץ לבצע גילוי נאות בכל עת.

סיבות לגיטימיות להשתמש בנתונים של צד שלישי

מרכיב עיקרי ב-GDPR הוא הכלל, לפיו עליך להשתמש רק בנתוני צד שלישי למטרות מוגדרות ולגיטימיות. בהתבסס על הדרישה של מזעור נתונים, ה-GDPR קובע כי אתה רשאי להשתמש בנתונים אישיים רק למטרה עסקית מוצהרת ומתועדת, הנתמכת על ידי אחד מששת הבסיסים המשפטיים הזמינים של GDPR. במילים אחרות, השימוש שלך בנתונים אישיים מוגבל למטרה מוצהרת ולבסיס חוקי. כל עיבוד של נתונים אישיים שאתה מתחייב חייב להיות מתועד במרשם GDPR, יחד עם מטרתו והבסיס המשפטי שלו. תיעוד זה מאלץ אותך לחשוב על כל פעילות עיבוד ולשקול היטב את המטרה והבסיס המשפטי לה. ה-GDPR מאפשר שישה בסיסים משפטיים, אותם נתאר להלן.

  1. התחייבויות חוזיות: בעת כריתת חוזה, יש לעבד נתונים אישיים. ניתן להשתמש בנתונים אישיים גם בעת מימוש חוזה.
  2. הסכמה: המשתמש נותן הרשאה מפורשת לשימוש בנתונים האישיים שלו או להצבת עוגיות.
  3. אינטרס לגיטימי: עיבוד נתונים אישיים הכרחי למטרות האינטרסים הלגיטימיים של הבקר או של צד שלישי. האיזון חשוב במקרה זה, הוא לא אמור להפר את החירויות האישיות של נושא המידע.
  4. תחומי עניין חיוניים: הנתונים עשויים להיות מעובדים כאשר מתעוררים מצבים של חיים או מוות.
  5. חובות משפטיות: יש לעבד מידע אישי על פי חוק.
  6. אינטרסים ציבוריים: זה קשור בעיקר לממשלות ורשויות מקומיות, כמו סיכונים הנוגעים לסדר ובטיחות הציבור ולהגנה על הציבור בכלל.

אלו הם הבסיסים המשפטיים המאפשרים לך לאחסן ולעבד נתונים אישיים. לעתים קרובות, חלק מהסיבות הללו עשויות לחפוף. זה בדרך כלל לא עניין, כל עוד אתה יכול להסביר ולהוכיח שיש בסיס חוקי. כאשר חסר לך בסיס חוקי לאחסון ועיבוד נתונים אישיים, אתה עלול להיות בבעיה. זכור כי ה-GDPR מתחשב בהגנה על הפרטיות של אנשים, ומכאן הסיבה שיש רק בסיסים משפטיים מוגבלים. הכר ויישם אותם, ואתה צריך להיות בטוח כארגון או חברה.

הנתונים שה-GDPR חל עליהם

ה-GDPR, בבסיסו, חל על עיבוד נתונים שהוא אוטומטי מלא או לפחות חלקי. זה כרוך בעיבוד נתונים באמצעות מסד נתונים או מחשב, למשל. אבל זה חל גם על נתונים אישיים הכלולים בקובץ פיזי, כגון קבצים המאוחסנים בארכיון. אבל הקבצים האלה צריכים להיות משמעותיים במובן זה שהנתונים הכלולים קשורים להזמנה, קובץ או עסקה עסקית כלשהי. אם בבעלותך הערה בכתב יד עם שם בלבד, היא אינה עומדת בדרישות כנתונים במסגרת ה-GDPR. הערה בכתב יד זו עשויה להיות ממישהו שמתעניין בך או להיות בעל אופי אישי, אחרי הכל. כמה דרכים נפוצות לעיבוד נתונים על ידי חברות כוללות ניהול הזמנות, מאגר לקוחות, מאגר ספקים, ניהול צוות, וכמובן, שיווק ישיר, כגון ניוזלטרים ודיוור ישיר. האדם שאת הנתונים האישיים שלו אתה מעבד נקרא "נושא הנתונים". זה יכול להיות לקוח, מנוי לניוזלטר, עובד או איש קשר. נתונים לגבי חברות אינם נתפסים כנתונים אישיים, ואילו נתונים על בעלות יחידה או עצמאים.[3]

כללים לגבי שיווק מקוון

ל-GDPR יש השפעה משמעותית בכל הנוגע לשיווק מקוון. ישנם כמה כללים בסיסיים שתצטרכו לעמוד בהם, כמו תמיד להציע אפשרות ביטול במקרה של שיווק בדוא"ל. בנוסף, על מציע גם להיות מסוגל לציין ולהתאים את העדפותיו. המשמעות היא שעליך להתאים את המיילים, אם אינך מציע כרגע את האפשרויות הללו. ארגונים רבים משתמשים גם במנגנוני מיקוד מחדש. ניתן להשיג זאת, למשל, דרך פייסבוק או גוגל אדס, אך זכור כי תצטרך לבקש אישור מפורש לעשות זאת. כנראה שכבר יש לך מדיניות פרטיות וקובצי Cookie באתר שלך. אז עם הכללים האלה, צריך לשנות גם את החלקים המשפטיים האלה. דרישות ה-GDPR קובעות שמסמכים אלו צריכים להיות יותר מקיפים ושקופים. לעתים קרובות אתה יכול להשתמש בטקסטים לדוגמה עבור התאמות אלה, הזמינים בחינם באינטרנט. בנוסף להתאמות משפטיות למדיניות הפרטיות והעוגיות שלך, יש למנות קצין עיבוד נתונים. אדם זה אחראי על עיבוד הנתונים ומבטיח שהארגון תואם GDPR ונשאר.

טיפים ודרכים לציית ל-GDPR

הדבר החשוב ביותר, כמובן, הוא שאתה, כיזם, עומד בתקנות וחוקים חוקיים, כמו ה-GDPR. למרבה המזל, יש דרכים לציית ל-GDPR בכמה שפחות מאמץ. כפי שכבר דיברנו, ה-GDPR כשלעצמו לא אוסר שום דבר, אבל הוא קובע קווים מנחים נוקשים לאופן שבו ניתן לעבד נתונים אישיים. אם אינך מציית להנחיות הספציפיות ומשתמש בנתונים מסיבות שאינן מוזכרות ב-GDPR או נופלות מחוץ לתחום שלו, אתה מסתכן בקנסות והשלכות גרועות אף יותר. לצד זאת, זכור שכל הצדדים איתם אתה עובד יכבדו אותך כבעל עסק כאשר תכבד גם את הנתונים והפרטיות שלהם. זה יספק לך תדמית חיובית ומהימנה, שהיא באמת טובה לעסקים. כעת נדון בכמה טיפים שיהפכו את הציות ל-GDPR לתהליך קל ויעיל.

1. מפה אילו נתונים אישיים אתה מעבד מלכתחילה

הדבר הראשון שצריך לעשות הוא לחקור אילו נתונים מדויקים אתה צריך ולאיזה מטרה. איזה מידע אתה הולך לאסוף? כמה נתונים אתה צריך כדי להשיג את המטרות שלך? רק שם וכתובת דוא"ל, או שאתה צריך גם נתונים נוספים כגון כתובת פיזית ומספר טלפון? אתה גם צריך ליצור פנקס עיבוד שבו אתה מפרט אילו נתונים אתה שומר, מאיפה הם מגיעים ועם אילו גורמים אתה משתף את המידע הזה. קח בחשבון גם את תקופות השמירה, כי ה-GDPR קובע שאתה חייב להיות שקוף לגבי זה.

2. שים את הפרטיות בראש סדר העדיפויות של העסק שלך באופן כללי

פרטיות היא נושא חשוב מאוד, וזה יישאר כך בעתיד (הבלתי) צפוי, שכן הטכנולוגיה והדיגיטליזציה רק ​​מתקדמות ומתגברות. לפיכך, חשוב מאוד שאתה, כיזם, תודיע לעצמך על כל תקנות הפרטיות הנדרשות ותתעדף זאת תוך כדי עסקים. זה לא רק יבטיח שאתה מציית לכל החוקים החלים, אלא גם יבנה תדמית של אמון לחברה שלך. אז, בתור יזם, שקע בתקנון ה-GDPR או פנה בדרך אחרת לייעוץ ממומחים משפטיים, כך שאתה יכול להיות בטוח שאתה עושה עסקים באופן חוקי בכל הנוגע לפרטיות. עליך לברר לאילו כללים מדויקים החברה שלך חייבת לעמוד. הרשויות ההולנדיות יכולות גם לעזור לך בדרכך עם המון מידע, טיפים וכלים לשימוש יומיומי.

3. זהה את הבסיס המשפטי הנכון לעיבוד נתונים אישיים

כפי שכבר דנו, ישנם רק שישה בסיסים משפטיים רשמיים המאפשרים לך לעבד ולאחסן נתונים אישיים, על פי ה-GDPR. אם אתה מתכוון להשתמש בנתונים, יש חשיבות חיונית שתדע איזה בסיס משפטי עומד בבסיס השימוש שלך. באופן אידיאלי, עליך לתעד את סוגי עיבוד הנתונים השונים שאתה מבצע עם החברה שלך, למשל, במדיניות הפרטיות שלך, כדי שלקוחות וצדדים שלישיים יוכלו לקרוא מידע זה ולאשר אותו. לאחר מכן, זהה את הבסיס המשפטי הנכון לכל פעולה בנפרד. אם אתה צריך לעבד נתונים אישיים ממניעים או סיבות חדשות, הקפד להוסיף גם את הפעילות הזו לפני שתתחיל.

4. נסה למזער את השימוש בנתונים שלך ככל האפשר

אתה, כארגון, חייב לוודא שאתה אוסף רק את רכיבי הנתונים המינימליים כדי להשיג מטרה מסוימת. לדוגמה, אם אתה מוכר סחורות או שירותים באינטרנט, המשתמשים שלך צריכים בדרך כלל רק לספק לך דוא"ל וסיסמה כדי שתהליך הרישום יתנהל בצורה חלקה. אין צורך לבקש מהלקוחות את מינם, מקום הלידה או אפילו כתובתם כחלק מתהליך הרישום. רק כאשר משתמשים ממשיכים לרכוש פריט ורוצים לשלוח אותו לכתובת מסוימת, יש צורך לבקש מידע נוסף. לאחר מכן יש לך הזכות לבקש את כתובת המשתמש באותו שלב, שכן זהו מידע חיוני לכל תהליך משלוח. מזעור כמות הנתונים הנאספים ממזער את ההשפעה של תקריות פוטנציאליות לפרטיות או אבטחה. מזעור נתונים הוא דרישת ליבה של ה-GDPR ויעילה ביותר בהגנה על פרטיות המשתמשים שלך מכיוון שאתה מעבד רק את המידע שאתה צריך ותו לא.

5. דע את הזכויות של האנשים שאת הנתונים שלהם אתה מעבד

חלק חשוב בהיותך בקי ב-GDPR, הוא ליידע את עצמך לגבי הזכויות של הלקוחות שלך ושל צדדים שלישיים אחרים, שאת הנתונים שלהם אתה מאחסן ומעבד. רק על ידי הכרת זכויותיהם תוכל להגן על עצמך ולהימנע מקנסות. זה נכון שה-GDPR הציג מספר זכויות חשובות ליחידים. כגון הזכות לעיין בנתונים האישיים שלהם, הזכות לתיקון או מחיקת הנתונים, והזכות להתנגד לעיבוד הנתונים שלהם. נדון בזכויות אלו בקצרה להלן.

  • זכות הגישה

זכות הגישה הראשונה פירושה שלאנשים יש את הזכות לראות ולהתייעץ בנתונים האישיים המעובדים לגביהם. אם לקוח מבקש זאת, אתה מחויב אפוא לספק לו זאת.

  • הזכות לתיקון

תיקון זהה לתיקון. הזכות לתיקון מעניקה אפוא ליחידים את הזכות לבצע שינויים ותוספות לנתונים האישיים שארגון מעבד אודותיהם כדי להבטיח שמידע זה יעובד כהלכה.

  • הזכות להישכח

הזכות להישכח פירושה בדיוק מה שהיא אומרת: הזכות 'להישכח' כאשר לקוח מבקש זאת במפורש. לאחר מכן, ארגון מחויב למחוק את הנתונים האישיים שלו. שים לב שאם יש חובות משפטיות מעורבות, אדם לא יכול להפעיל זכות זו.

  • הזכות להגביל את העיבוד

זכות זו מעניקה לאדם כנושא מידע את האפשרות להגביל את העיבוד של הנתונים האישיים שלו, מה שאומר שהוא יכול לבקש שיעבדו פחות נתונים. לדוגמה, אם חברה מבקשת יותר נתונים ממה שהכרחי לחלוטין לתהליך המעורב.

  • הזכות לניידות נתונים

זכות זו פירושה שלאדם יש את הזכות להעביר את הנתונים האישיים שלו לארגון אחר. לדוגמה, אם מישהו הולך למתחרה או איש צוות הולך לעבוד בחברה אחרת, ואתה מעביר נתונים לחברה זו,

  • הזכות להתנגד

הזכות להתנגד פירושה שלאדם יש את הזכות להתנגד לעיבוד הנתונים האישיים שלו, למשל, כאשר הנתונים משמשים למטרות שיווקיות. הם יכולים לממש זכות זו מסיבות אישיות ספציפיות.

  • הזכות לא להיות כפוף לקבלת החלטות אוטומטיות

ליחידים יש את הזכות לא להיות כפופים לקבלת החלטות אוטומטיות לחלוטין שעלולות להיות השלכות משמעותיות עבורם או לגרום לתוצאות משפטיות של התערבות אנושית. דוגמה לעיבוד אוטומטי היא מערכת דירוג אשראי שתקבע באופן אוטומטי לחלוטין האם אתה זכאי להלוואה.

  • הזכות למידע

משמעות הדבר היא שארגון חייב לספק לאנשים פרטיים מידע ברור על איסוף ועיבוד הנתונים האישיים שלהם כאשר אדם מבקש זאת. ארגון חייב להיות מסוגל לציין אילו נתונים הם מעבדים ומדוע, על פי עקרונות ה-GDPR.

על ידי היכרות עם זכויות אלה, אתה יכול לחזות טוב יותר מתי לקוחות וצדדים שלישיים עשויים לברר לגבי הנתונים שאתה מעבד. אז יהיה לך הרבה יותר קל לחייב ולשלוח להם את המידע שהם מבקשים, כי היית מוכן. זה יכול לחסוך לכם זמן רב להיות תמיד ערוכים לפניות והנתונים בהישג יד ומוכנים, למשל על ידי השקעה במערכת ניהול לקוחות טובה המאפשרת למשוך את הנתונים הדרושים במהירות וביעילות.

מה קורה כשלא מצייתים?

כבר נגענו בנושא זה בקצרה בעבר: ישנן השלכות כאשר אינך מציית ל-GDPR. שוב, הודע לך שאינך צריך חברה שבסיסה באיחוד האירופי כדי להידרש לציית. אם יש לך אפילו לקוח אחד שבסיסו באיחוד האירופי שאת הנתונים שלו אתה מעבד, אתה נופל תחת היקף ה-GDPR. ישנן שתי רמות של קנסות שניתן להטיל. הרשות המוסמכת להגנת המידע בכל מדינה יכולה להטיל קנסות אפקטיביים בשתי רמות. רמה זו נקבעת על סמך ההפרה הספציפית. קנסות ברמה 10 כוללים הפרות כגון עיבוד נתונים אישיים של קטינים ללא הסכמת הורים, אי דיווח על הפרת מידע ושיתוף פעולה עם מעבד שאינו מספק מספיק ערבויות מבחינת אבטחת המידע הנדרשת. קנסות אלו יכולים להגיע לעד 2 מיליון יורו או, במקרה של חברה, עד XNUMX% מסך המחזור השנתי העולמי שלך משנת הכספים הקודמת.

רמה שתיים חלה אם אתה מבצע עבירות יסוד. לדוגמה, אי עמידה בעקרונות עיבוד הנתונים או אם ארגון אינו יכול להוכיח כי נשוא הנתונים אכן נתן הסכמה לעיבוד הנתונים. אם אתה נופל בגדר הקנסות ברמה שתיים, אתה מסתכן בקנס מרבי של 20 מיליון יורו, או עד 4% מהמחזור העולמי של החברה שלך. שים לב שהסכומים הללו הוגדלו ותלויים במצב האישי שלך ובהכנסות השנתיות של העסק שלך, בין היתר. בנוסף לקנסות, הרשות הלאומית להגנת המידע עשויה להטיל סנקציות נוספות. זה יכול לנוע בין אזהרות ונזיפות להפסקה זמנית (ולפעמים אף לצמיתות) של עיבוד הנתונים. במקרה כזה, אתה רשאי לא לעבד עוד נתונים אישיים באופן זמני או קבוע דרך הארגון שלך. למשל, כי ביצעת שוב ושוב עבירות פליליות. זה בעצם יהפוך את זה לבלתי אפשרי עבורך לעשות עסקים. סנקציה אפשרית נוספת של GDPR היא תשלום פיצויים למשתמשים המגישים תלונה מבוססת. בקיצור, היו ערניים לגבי הפרטיות והנתונים האישיים של אנשים כדי להימנע מהשלכות כה כבדות.

האם אתה רוצה לדעת אם אתה תואם GDPR?

אם אתם מתכננים להקים עסק בהולנד, תצטרכו לעמוד ב-GDPR. אם אתה עושה עסקים עם לקוחות הולנדים, או לקוחות הממוקמים בכל מדינה אחרת באיחוד האירופי, תצטרך גם לציית לתקנת האיחוד האירופי הזו. אם אינך יודע בוודאות אם אתה נופל תחת תחום ה-GDPR, אתה תמיד יכול לפנות Intercompany Solutions לייעוץ בנושא. אנו יכולים לסייע לך לברר אם יש לך תקנות ותהליכים פנימיים החלים והאם המידע שאתה מספק לצדדים שלישיים מספיק. לפעמים זה יכול להיות קל מאוד להתעלם ממידע חשוב, שבכל זאת עלול לגרום לך להסתבך עם החוק. זכרו: פרטיות היא נושא חשוב ביותר, לכן חיוני שתהיו תמיד מעודכנים לגבי התקנות והחדשות העדכניות ביותר. אם יש לך שאלות כלשהן בנושא זה או שתרצה מידע נוסף על מפעלים עסקיים בהולנד, אל תהסס לפנות Intercompany Solutions בכל עת. נשמח לסייע לך בכל שאלה שיש לך, או להציע לך הצעת מחיר ברורה.

מקורות:

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

זקוק למידע נוסף על החברה ההולנדית BV?

צור קשר עם מומחה
ייעודי לתמיכה ביזמים בתחילת פעילות עסקית בהולנד.

חבר ב

© כל הזכויות שמורות 2023 Intercompany Solutions | תנאים | תנאי שימוש באתר | כתב ויתור | מדיניות הפרטיות | מדיניות קוקי | מפת האתר

תפריטשברון למטהחוצה מעגל