מה זה GDPR (General Data Protection Regulation)?

GDPR (General Data Protection Regulation) הוא תקנה אירופאית שנועדה להגן על פרטיות משתמשי האינטרנט ולבצע רגולציה על האופן שבו נתונים אישיים נאספים, נשמרים ומנוהלים. תקנה זו נכנסה לתוקפה ב-25 במאי 2018 ונחשבת לאחת מהחוקים המחמירים ביותר בתחום הגנת המידע האישי. העקרונות המרכזיים של ה-GDPR כוללים שקיפות, הגינות, צמצום נתונים, דיוק, שמירה על האנונימיות, אבטחת נתונים ויכולת למחוק או לתקן נתונים לפי דרישת המשתמש.

GDPR מכיל מספר דרישות מרכזיות, שבהן מחויבים כלל הארגונים, שנוגעות להגנות על פרטיות המשתמשים. ראשית, הארגונים צריכים לקבל הסכמה מפורשת וברורה מהמשתמשים לפני שהם אוספים או מעבדים את המידע האישי שלהם. בנוסף, לכל משתמש יש את הזכות לגשת לנתונים האישיים שלו, לתקן מידע שגוי, למחות על עיבוד הנתונים ולבקש למחוק את המידע (הזכות להישכח). עוד דרישה חשובה היא שאם ישנו אירוע אבטחה שבו נחשף מידע אישי, הארגונים מחויבים לדווח עליו לרשויות הבדיקה ולמשתמשים המושפעים בתוך 72 שעות.

לתקנות GDPR יש השפעה גלובלית, שכן הן משפיעות לא רק על חברות בתוך האיחוד האירופי אלא גם על כל ארגון בינלאומי המעבד נתונים של אזרחי מדינות האיחוד. אי-ציות לתקנות GDPR עלול לגרור קנסות כבדים, הידועים כקנסות המגיעים עד 20 מיליון יורו או 4% מהמחזור השנתי העולמי של החברה, הגבוה מביניהם. כללים אלה מעוררים ארגונים ליישם אמצעי אבטחת מידע מתקדמים ולוודא שהנתונים האישיים של המשתמשים מנוהלים ועובדים בהתאם לתקנות המחמירות.