רגולציית ה-GDPR (General Data Protection Regulation) נחשבת לאחת מרגולציות הפרטיות המחמירות והמשפיעות ביותר בעולם. התקנה נכנסה לתוקף באיחוד האירופי בשנת 2018, אך השפעתה חורגת הרבה מעבר לגבולות אירופה — כל ארגון, בכל מדינה, שמחזיק או מעבד מידע אישי של תושבי האיחוד האירופי, מחויב לעמוד בדרישותיה.

מדובר בשינוי תפיסתי עמוק באופן שבו ארגונים נדרשים להתייחס למידע אישי. אם בעבר מידע נתפס כנכס עסקי בלבד, הרי שה-GDPR מציב במרכז את זכויות הפרט, את חובת השקיפות של הארגון, ואת האחריות המשפטית והניהולית לשמירה על המידע.

הרגולציה מחייבת ארגונים להטמיע מנגנונים ברורים של בקרה, תיעוד, ניהול סיכונים ואבטחת מידע — תוך אחריות מלאה של ההנהלה הבכירה. אי עמידה בדרישות עלולה להוביל לקנסות של עד 20 מיליון אירו או 4% מהמחזור השנתי העולמי (הגבוה מביניהם), לצד פגיעה תדמיתית חמורה ואובדן אמון לקוחות.

מהו מידע אישי לפי GDPR?

ה-GDPR מגדיר מידע אישי (Personal Data) ככל מידע שניתן לקשר לאדם מזוהה או בר זיהוי. ההגדרה רחבה מאוד וכוללת, בין היתר:

• שם מלא, תעודת זהות, דרכון

• כתובת מגורים או כתובת IP

• כתובת דוא"ל ומספר טלפון

• נתוני מיקום

• מזהים מקוונים (Cookies, Device IDs)

• מידע רפואי, ביומטרי או גנטי

• נתונים פיננסיים

• מידע תעסוקתי

• כל מידע התנהגותי או פרופיל משתמש

בנוסף קיימת קטגוריה של מידע רגיש (Special Categories of Data) כגון מידע רפואי, דתי, פוליטי או ביומטרי — המחייב הגנות מחמירות אף יותר.

עקרונות הליבה של הרגולציה

ה-GDPR נשען על עקרונות יסוד שמנחים כל פעילות עיבוד מידע בארגון:

🔹 חוקיות, הוגנות ושקיפות – עיבוד מידע יתבצע רק על בסיס חוקי, בצורה הוגנת וברורה לנושא המידע
🔹 הגבלת מטרה – איסוף מידע למטרה מוגדרת וברורה בלבד
🔹 צמצום מידע – שמירת מידע בהיקף המינימלי הנדרש
🔹 דיוק – שמירה על מידע עדכני ומדויק
🔹 הגבלת שמירה – מחיקת מידע כאשר אינו נדרש עוד
🔹 שלמות וסודיות – הגנה על המידע באמצעים טכנולוגיים וארגוניים
🔹 אחריותיות (Accountability) – חובת הארגון להוכיח עמידה בדרישות

זכויות נושאי המידע

אחד המרכיבים המרכזיים ב-GDPR הוא הרחבת זכויות הפרט. ארגונים מחויבים להיערך למימוש זכויות כגון:

✔ הזכות לקבל מידע על עיבוד הנתונים
✔ הזכות לעיין במידע (Right of Access)
✔ הזכות לתיקון מידע שגוי
✔ הזכות להימחק (“הזכות להישכח”)
✔ הזכות להגבלת עיבוד
✔ הזכות לניידות מידע
✔ הזכות להתנגד לעיבוד
✔ הזכות שלא להיות כפוף להחלטות אוטומטיות בלבד

עמידה בזכויות אלה מחייבת תהליכים ארגוניים ברורים, מערכות מידע תומכות ותיעוד מלא.

חובות ארגוניות מרכזיות

ארגונים הכפופים ל-GDPR נדרשים ליישם מעטפת רחבה של בקרות:

🔐 אבטחת מידע והגנת פרטיות כברירת מחדל

Privacy by Design ו-Privacy by Default — שילוב פרטיות כבר בשלב תכנון המערכות והתהליכים.

📊 מיפוי ועיבוד נתונים

ניהול רישום פעילויות עיבוד (ROPA), זיהוי זרימות מידע, וסיווג סוגי המידע.

⚖️ בסיס חוקי לעיבוד

הגדרת הבסיס החוקי: הסכמה, חוזה, חובה חוקית, אינטרס לגיטימי ועוד.

🧠 הערכות השפעה על פרטיות (DPIA)

ביצוע ניתוחי סיכון כאשר העיבוד עלול לפגוע בזכויות הפרט.

👤 מינוי DPO

בארגונים מסוימים נדרש למנות ממונה הגנת פרטיות בעל מומחיות מקצועית.

🚨 ניהול אירועי אבטחת מידע

דיווח לרגולטור תוך 72 שעות במקרה של הפרת אבטחת מידע (Data Breach).

🤝 ניהול ספקים

הסכמי עיבוד מידע (DPA) ובקרה על צדדים שלישיים.