כל מה שאתם צריכים לדעת על הרגולציה החדשה GDPR

בסוף חודש מאי 2018 צפויה להיכנס לתוקף רגולציה קפדנית המבקשת לשמור על מידע אישי ורגיש של משתמשים אזרחי אירופה. כללי הרגולציה חלים על כל גורם האוסף מידע על אזרחי אירופה, גם אם אותו גורם אינו ממוקם באירופה. מה שאומר שרוב הגופים אשר מרכזים מידע על משתמשים בכל רחבי העולם יהיו חייבים לעמוד בסטנדרט חדש זה, ולהקפיד על זכותו של כל משתמש ועל שמירה על פרטיותו.

כל גוף אשר לא יעמוד בתקנים אלו, מסתכן באיבוד עד 4% מההכנסה השנתית הגלובלית, או 20 מיליון יורו. הגבוה מביניהם.

מהם התקנים?

התקנים מתמקדים בשמירה על תוכן ושימוש במידע האישי הנאסף ע"י חברות וארגונים.   התקן החדש מעוגן בחוק ולכן מחייב.

ה GDPR מכסה אזור נרחב הכולל אבטחת סייבר והגנה על מידע, אך מלבד אלה, ישנם אזורי מפתח אשר משפיעים על מחלקות המידע השונות. כמו כן, כמה מן הדרישות מאתגרות במיוחד ולעמוד בהן דורש שינוי במתודת העבודה והשימוש בכלים טכנולוגיים שונים. חשוב לזכור שהנהלים החדשים נועדו לספק למשתמשים מעטפת הגנה, ולייצר מערכת יחסים שקופה  בין ארגונים ללקוחותיהם אשר בסופו של דבר תוביל למערכת יחסים טובה יותר עם קהל הלקוחות והמשתמשים.

באמצעות בהירות לגבי האופן בו אנחנו מפיקים תועלת מפרטים אישיים, ניתן לבנות מערכת יחסים שמבוססת על אמון.

יותר מ שני שליש מכל המידע של הגופים עלול ללכת לאיבוד, אם לא יבוצעו העדכונים המתאימים במערכות אגירת ועיבוד המידע. לפיכך, כל רשימת המנויים חייבת להיות מגובה, ובעלת אישור עמידה בתקנים! במידה והמידע הקיים אינו נאמן לפרוטוקול החדש, המידע כולו נמצא בסכנה.

להלן הזכויות החדשות של המשתמשים:

שקיפות – כל טפסי הארגונים מחוייבים בציון אישור המשתמש בשליחת מייל או הודעת SMS .בנוסף לכך, בכל עמוד בו משאיר המשתמש פרטים, חייב להיות מצוין היכן וכיצד יתבצע שימוש בפרטים שהזין, ועם מי המידע ישותף. ובאופן ברור ומובן לכל.

גישה – בכל שלב יוכלו המשתמשים לבקש עותק של כל המידע האישי שנאגר, או שמעובד על ידי הארגון, ולקבל תשובה לשאלה ״כיצד נעשה בו שימוש?״. ארגונים שונים או חברות מסחריות ופרטיות אחרות אשר יקבלו את המידע שהוזן צריכים להיות מצוינים בכל דף בו משאירים את הפרטים. (בדומה לזכות השקיפות)

הזכות להישכח – משתמשים רשאים לבקש להסיר את המידע עליהם ממאגרי המידע בכל זמן, וכמו כן לבקש שלא יצרו איתם קשר שוב. במידה וירצו להירשם שוב אחרי תהליך המחיקה, הם ישתמשו בטופס הרשמה חדש. הדבר משנה באופן מוחלט את כללי ההסרה אשר נעשה בהם שימוש כיום, שכן משתמש המבקש להסיר את עצמו מהרשימה, לא רק מבטל את קבלת התוכן החדש, אלא גם מבטל את המידע הקיים במערכת של הארגון, וזכאי למחיקה מוחלטת שלו מכל השרתים שבשליטת הארגון.

הזכות לניידות מידע – משתמשים זכאים לבקש את המידע שנאגר עליהם בפורמט קריא, אלקטרוני, והם רשאים לקבל אותו בכל עת. משמעות הדבר היא שעל כל זרוע במחלקות המידע, לשמור את כל הגליונות האלקטרוניים שלה בצורה מסודרת, ולבצע מעקב מסודר ועדכני אחר ה CRM שלה.

הזכות לפרטיות הדאטא בייס חייב להיות אנונימי. יש לבצע הפרדה בין הפרטים שהוזנו לבין היכולת לזהות את המשתמש באופן ישיר. כל מידע שיכול להוביל לזיהוי המשתמשים חייב להיות מוצפן. לרבות: מספר זהות, מספר טלפון, מספר כרטיס אשראי, כתובת וכדומה. כל מידע שמתאר כיצד פרטי משתמש שמורים ומתוחזקים חייב להיות ברור וגלוי.

הודעת פירצה – אם חלק מהמידע על המשתמש נחשף בשל כשל אבטחתי, או מסיבה כלשהי אחרת, יש ליידע את המשתמש בתוך 72 מהרגע הפריצה, או מהרגע בו היא זוהתה. הארגון הוא האחראי הבלעדי על המידע של המשתמש.

הרגולציות החדשות אולי נראות מאתגרות אבל הן טומנות בחובן הזדמנויות לשיפור מערכת היחסים בין הארגונים לבין המשתמשים. ישנם איזורים רבים שייתכן ולא יצטרכו עדכונים משמעותיים, אך על כל חלקי הארגון בהם קיים מידע על המשתמשים לעבור בדיקה נרחבת ולבצע בהם עדכונים בהתאם. בעצם העמידה בפרוטוקל ובתקנים החדשים, הארגונים לוקחים אחריות באופן גלוי על פרטים אישיים המוזנים על ידי המשתמשים, ובעצם מצהירים – אנחנו דואגים למידע שמסרתם לנו.

מוזמנים לענות על שאלון אותו הכנו במיוחד עבורכם
בסופו תוכלו לגלות האם  הארגון שלכם מחוייב GDPR

(למעבר לשאלון לחצו על התמונה)