כתב ויתור: המידע הכלול במסמך זה אינו ייעוץ משפטי והנחיותיו מוצעות ללא הנחיות פעולה אלא כשיתוף מידע. בכל מקרה של ספק אני מציעים לקבל ייעוץ מקצועי.

1 מבוא ל GDPR?

GDPR הוא סט תקנות של האיחוד האירופי אשר יכנס לתוקף ב -25 במאי 2018. המטרה העיקרית היא לקבוע כללים אחידים לחוקי הגנת הנתונים בכל רחבי אירופה, תוך שיפור זכויות הפרט והשליטה שיש להם על הנתונים האישיים שלהם.
GDPR מתייחס לתקנות פרטיות מיושנות, אשר הושמו לפני 20 שנה לפני שהטכנולוגיה שינתה לחלוטין את האופן שבו חברות משתמשות בנתונים. הוא נועד לפשט את היישום על ידי מתן חוק כולל החל על עסקים בכל מדינות האיחוד האירופי, ולא 28 חוקים שונים.
מדוע הוצג GDPR?
מנהלי חברות ברחבי העולם, רגולטורים, עורכי דין ומומחים תולשים שערות (למי שיש עדיין) כדי להבין את הכללים של GDPR. ממנהלי שיווק ומכירות ועד למומחי IT וניהול פרויקטים, אין תחומים של עסקים שלא יושפעו. עולם הכנסים והאירועים אינם שונים. למעשה, זה מפתיע שזה לקח כל כך הרבה זמן להציג מדיניות כזו. מדיניות אנטי ספאם התפרמה בישראל לפני כחמש שנים לפחות.

2. מה GDPR פירושו לאירוע שלך
קנסות
אי עמידה בחקיקה הכללית להגנה על נתונים (GDPR) עלולה להגמר בקנסות של עד 20 מיליון אירו, ולכן חיוני למארגני האירוע להבין את הדרישות החדשות. החקיקה חלה על כל דבר, החל במערכות רישום, אפליקציות אירועים וסקרים, איסוף כרטיסי ביקור ותגי סריקה.
אז כפי שאתה יכול לראות, לא משנה כמה זה עולה להתאים את הכללים לאירוע שלך כדי להתכונן GDPR, זה שווה את ההשקעה. האם מישהו באמת יקנס ב 20 מיליון אירו עבור הפרות GDPR? אמנם זה הקנס המקסימלי הזמין תחת GDPR, זה עדין לא קרה אבל למה לקחת את הסיכון.

החשש הגדול הוא שעורכי דין יתבעו באיחוד את המפיקים או גופים שיש להפ פריסה בינלאומית. הדוגמה האחרונה שחברת אל-על נתבעה וחוייבה לשלם לנוסעים ישראלים על פי תקנות האיחוד לפיצוי במקרה של איחורים. מספיק שאזרח האיחוד יתבע בשם משתתפים שהם חברי האיחוד כי נפגעה פרטיותם. לא מציע לקחת סיכון. הפתרון הפשוט ביותר? ממש את הכללים של GDPR עבור האירוע שלך ואתה לא צריך לדאוג קנסות.
האם GDPR ישפיע על האירוע שלי?
גם בלי לדעת את הסיפור שמאחורי האירוע שלך, סביר להניח שהתשובה לשאלה זו היא "כן". בעיקרון גם אזרח ישראלי שיש לו אזרחות אירופאית יכול לטעון להפרת הזכויות שלו. תלות ה- GDPR ותחום השפעתה הוא עניין מורכב. כדי לפשט את המצב, אם אתה מאחסן או מעבד נתונים על כל אזרח אירופי בתהליך ארגון האירוע שלך, GDPR חל עליך. גם אם האירועים שלך אינם באיחוד האירופי, אם תרצה לאפשר לאזרחי האיחוד האירופי להיכנס לאירוע שלך, יהיה עליך לציית ל- GDPR או לאסור רישום של חברי איחוד אירופאי. (מפתיע אבל נתקלתי בדפים שאסרו על אירופאים למלא טפסים.)

מה המשמעות של GDPR עבור האירוע שלי?
זה אומר הרבה, אבל בקיצור, אתה חייב לשנות לחלוטין את הדרך שבה אתה חושב ומטפל בנתונים אישיים. יהיה עליך לבצע "אמצעי בקרה מקיפה אך מידתית", וכי צעדים אלה צריכים "למזער את הסיכון של הפרות ולשמור על ההגנה על נתונים אישיים".
פירוש הדבר שיהיה עליך לבצע ביקורת על כל הנתונים האישיים שאתה מעבד עבור האירוע שלך, ולתעד את המדיניות והנהלים שיש לך כדי לוודא שהנתונים הנ"ל יעובדו בבטחה ובאופן מאובטח.

האם אנחנו צריכים למנות אחראי הגנת נתונים במסגרת GDPR?
חברות ברחבי העולם הם בטירוף גיוס עבור תפקידי אחראי הגנת נתונים לקראת כניסתו של GDPR. עם זאת, GDPR רק מחייב אותך למנות אחראי הגנת נתונים רק אם אתה עומד באחד הקריטריונים הבאים כמפורט בסעיף 37 (1):
א- העיבוד מבוצע על ידי רשות או גוף ציבוריים, למעט בתי משפט הפועלים בתפקידם השיפוטי;
ב- פעולות הליבה של הבקר או המעבד מורכבות מפעולות עיבוד, אשר, מעצם טבען, היקפן ו / או מטרותיהן, מחייבות מעקב שוטף ושיטתי של נושאים נתונים בקנה מידה רחב; אוֹ
ג פעולות הליבה של הבקר או המעבד מורכבות מעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים … ונתונים אישיים הנוגעים להרשעות פליליות ועבירות.

אם אינך סבור שהאירוע שלך עונה על קריטריונים אלה, אינך חייב למנות אחראי הגנת נתונים. גם אם זה המצב, זה עדיין נוהג טוב שיש מישהו בארגון שלך אשר באחריותו היא לפקח על תאימות הנתונים שלך לפי GDPR.
האם אצטרך לבצע שינויים במדיניות הפרטיות שלי בזמן עבור GDPR?
כן, סביר להניח שתצטרך להוסיף או לשנות מידע במדיניות הפרטיות הקיימת שלך. התקנות מדברות על כך שמדיניות הגנת הפרטיות צריכה להיות כתובה בשפה פשוטה וברורה, לא שפה משפטית.

3. נתוני תוצר מקומי גולמי ונתוני אירועים
מה נכלל תחת "נתונים אישיים" ?
GDPR מגדיר נתונים אישיים כמפורט בסעיף 4 (1):
כל מידע הקשור לאדם מזוהה או שניתן לזהות אותו ("נושא נתונים"); זיהוי אדם במישרין או בעקיפין, בפרט בהתייחסות למידע מזהה כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון או לגורם אחד או יותר הספציפי לסוג הפיזי, הפיזיולוגי, גנטי, נפשי, כלכלי, תרבותי או חברתי של אותו אדם טבעי.
בעיקרו של דבר, אם הנתונים יכולים לשמש כדי לזהות אדם אז זה מסווג כ"נתונים אישיים" תחת GDPR. זה כולל מידע שאתה עשוי לאסוף מן המשתתפים באירוע שלך, כגון שם, כתובת, תאריך לידה וכתובת דוא"ל.
מה המשמעות של 'עיבוד' נתונים תחת GDPR?
GDPR מגדיר עיבוד כדלקמן בסעיף 4 (2):
כל פעולה או מערך פעולות המתבצע על נתונים אישיים או על קבוצות של נתונים אישיים, בין אם באמצעים אוטומטיים, כגון איסוף, הקלטה, ארגון, מבנה, אחסון, התאמה או שינוי, אחזור, ייעוץ, שימוש, גילוי שידור, הפצה או ביצוע אחר, יישור או שילוב, הגבלה, מחיקה או השמדה.
כפי שאתה יכול לראות מתוך רשימה מקיפה זו, כמעט כל דבר שאתה עושה עם הנתונים האישיים סביב האירוע שלך מהווה עיבוד. זה ינוע מאיסוף נתונים כדי להירשם לאירוע שלך, איך לתקשר עם המשתתפים שלך הן באמצעות התקשורת אלקטרונית ופיזית.

האם האירוע שלי הוא "בקר נתונים" או "מעבד נתונים"?
יש שני צדדים עיקריים בכל הנוגע לעיבוד נתונים תחת הGDPR; א"בקר נתונים" ו "מעבד נתונים". שני הצדדים צפויים לפעול לפי הכללים של GDPR, אבל האחריות שלהם לגבי אופן עיבוד הנתונים שונה במקצת.
בקר הנתונים הוא הארגון או הישות שמכתיבים את הנתונים שנאספים ואת אופן השימוש בהם, בעוד מעבד הנתונים הוא הארגון או המבצע את עיבוד הנתונים עבור הבקר.

לדוגמה, אם אתה משתמש במערכת הרישום "פורם-וויזרד" לביצוע רישום מקוון של האירוע שלך, אתה הוא "בקר הנתונים". אתה בוחר אילו נתונים אנו אוספים, ומדוע אתה זקוק לנתונים אלה. באחריותך בתור בקר נתונים לעבד את כל הנתונים הקשורים לאירוע שלך בהתאם לGDPR.
אנחנו (פורם-וויזרד) הם מעבדי הנתונים, אנו מעבדים את הנתונים באמצעות הפלטפורמה שלנו לפי ההוראה שלך. האחריות שלנו היא לוודא שהנתונים יעובדו בצורה מאובטחת, כפי שנקבע על ידי GDPR.
מהם הכללים שאני חייב לבצע בעת עיבוד נתונים אישיים?
כמה זמן יש לך? קשה להגיש סיכום כאשר החקיקה המלאה היא 88 עמודים, וכל 99 הפרקים ב- GDPR מתייחסים במידה רבה לעיבוד נתונים אישיים.
עם זאת, סעיף 5 (1) מתאר כמה כללי מפתח לביצוע.

הנתונים האישיים צריכים להיות:
• מעובדים כחוק ובשקיפות
• איסוף למטרה מוגדרת ולגיטימית
• מוגבל למה שנחוץ לצורך העיבוד
• שמירה לא יותר מהנדרש לצורך העיבוד
• עיבוד בצורה מאובטחת
כיצד תשפיע הGDPR על נתוני האירועים הקודמים או הקיימים שלי?
אחת ההשלכות המשמעותיות ביותר של הGDPR היא שהיא רטרואקטיבית. ב -25 במאי 2018, כל הנתונים שתאחסן ותעבד עבור האירוע שלך יצטרכו לעמוד בתקנות שנקבעו על ידי GDPR.
פירוש הדבר שיהיה עליך לבצע ביקורת מלאה על הנתונים שאתה מאחסן כעת, כדי לבדוק שהם תואמים את הGDPR. כל הנתונים שאינם עומדים בהנחיות עד ה -25 במאי 2018 צריכים להמחק.
בעוד מארגני אירועים היסטריים לגבי אובדן נתונים המוני, אפשר לראות את זה כהזדמנות טובה עבור לניקוי ותחזוקה של פרטים שבאמת נדרשים. אם אתה מחזיק נתונים על אדם שאין לך זכויות משפטיות להחזיק בהם, (נתוני דרכון, תאריך לידה, בקשה כספית למלגה וכו)  אז למה אתה רוצה אותם בכל זאת? סביר להניח כי נתונים אלה כבר לא בשימוש. זה זמן מצויין לשפר את איכות הנתונים שלך ולשמור רק מה שאתה צריך.

האם ל GDPR יש כללים ספציפיים לילדים?
כן – סעיף 8 (1) קובע כי כדי להיות מסוגל לתת הסכמה חוקית, אדם חייב להיות ממעל גיל "הסכמה דיגיטלית". המדינות החברות יכולות לקבוע זאת בכל מקום בין הגילאים 13 ו -16. משמעות הדבר היא שילד מתחת לגיל 13 אינו יכול לתת הסכמה ללקלוט ולעבד את הנתונים שלהם. במקום זאת, תזדקק להסכמה מאחד מהוריהם כדי לעבד את הנתונים שלהם.
כמו כן קובע ה- GDPR כי עליך לעשות 'מאמץ סביר' כדי לוודא שהסכמת ההורים ניתנה. בפועל, זה אומר שאם אתה מאפשר לילדים להיכנס לאירוע שלך, ייתכן שלא תוכל להסתמך על תיבת סימון פשוטה שאומרת 'יש לי הסכמת הורים', שכן זה יכול בקלות להיעקף על ידי ילדים מתחת לגיל 13.

נושא של איסוף פרטי ילדים הינו תואם בגדול את כללי מאגרי מידע של משרד המשפטים. אם אתה הולך לקלוט פרטי ילדים מציע לנהוג בחומרה יתירה שכן הרשויות בישראל ובכלל רגישות בכל הנוגע לפרטי ילדים. בישראל צריך להיות מצב סופר מיוחד כמו רישום לקיטנות או גני יגלים כדי לקלוט פרטי הילד ובמיוחד מצבם הבריאותי.

4. זכויות האזרחים תחת GDPR
GDPR קובע כי לאנשים יש את הזכויות הבאות על הנתונים האישיים שלהם:
• הזכות לקבל מידע
• זכות הגישה
• הזכות לתיקון
• הזכות להישכח
• הזכות להגביל את השימוש והעיבוד
• הזכות להעברה/ניידות נתונים
• הזכות להתנגד

מהי הזכות לקבל מידע?
GDPR נועד להפוך את האזרחים להיות מודעים יותר לזכויותיהם, שקשורות ל"זכות לקבל מידע ".
ה- GDPR קובע כי כל המידע חייב להיות מסופק ליחידים בנקודת העיבוד הרלוונטית, וכי יש להציג מידע זה באופן שקוף. זה אומר שאתה צריך להשתמש בשפה ברורה ופשוטה בכללים שלך לדוגמה בפירוט מדיניות הפרטיות.
מהי הזכות לגשת?
GDPR הידק את הכללים סביב זה. אינך יכול עוד לחייב נרשמים עבור קבלת פירוט הנתונים שאתה מחזיק בהם, וכעת יש לך רק 30 יום לענות לבקשה שלהם. אם זה לוקח יותר זמן, אתה צריך להיות מסוגל לתת הסבר או סיבה חוקית מדוע, למשל אם הבקשה שלהם היא מורכבת במיוחד.
מהי הזכות לתיקון?
משתתף או משתתף יוצר קשר כדי ליידע אותך שהכתובת אימייל או מספר הטלפון שלהם השתנו ומבקשים ממך לעדכן את הרשומות שלך. תצטרך להגיב לבקשות האלה בתוך חודש, או חודשיים, אם שינוי המידע מורכב במיוחד.
אם המידע הועבר לצדדים שלישיים, באחריותך להודיע ​​להם על תיקון הנתונים.
מהי 'הזכות להישכח'?
תחת הGDPR, לננרשמים יש את הזכות ללבקש כי הנתונים שלהם ישכחו (הזכות למחוק את הנתונים). למעשה, פירוש הדבר שאדם יכול לבקש למחוק את כל הנתונים שאתה מחזיק בהם, אלא אם יש לך סיבה ספציפית להמשיך לשמור או לעבד את הנתונים.
יש לך זכות לסרב לבקשה זו, אבל רק אם יש לך סיבה טובה לעשות זאת. לדוגמה, ייתכן שיהיה עליך לאחסן את הנתונים מסיבות משפטיות.
שוב, אם שיתפת נתונים אלה עם צד שלישי, הדברים נעשים קצת יותר מסובכים. לאחר שנושא הנתונים ביקש לממש את זכותו להישכח, אתה חייב ליצור קשר עם כל צד שלישי שיש להם את הנתונים ולדרוש מהם למחוק את הנתונים (אלא אם כן יש להם סיבה טובה לא לעשות זאת).

בעיקרון מערכות הרישום שלנו שומרות טופס ונתונים חיים למשך 365 יום. לאחר מכן הטופס והנתונים נכנס למצב שינה ואם לא תבוצך הארכה הפרטים ימחקו לאר 365 יום נוספים. אנו ממליצים שתנקוט פעולה מיד לאחר האירוע וטיפול בנושאים כספיים לסגור את הרישום ולהסיר את הרישום מהמערכת.
מהי "הזכות להגביל את העיבוד"?
הדבר דומה לזכות לשכוח, אבל במקום למחוק את כל הנתונים, תוכל לשמור את הנתונים כל עוד אתה לא מעבדים את זה עוד יותר. לדוגמה, ייתכן שתצטרך לשמור על כתובת דוא"ל של משתתף ברשימה 'לא ליצור קשר' כדי לוודא שאינך מתקשר אליהם שוב בעתיד.
מהי 'הזכות לניידות נתונים'?
אתה רק לעתים רחוקות נתקלים זה בענף האירועים, אבל הזכות ניידות נתונים אומר שאתה חייב לספק לנרשם את הנתונים שלהם בפורמט המאפשר להם לעשות שימוש חוזר בנתונים למטרה אחרת או שירות. אני מעלה כדוגמה תוצאות תוצאות של שאלון עם פרטים רבים
מהי 'הזכות להסרה'?
זה פשוט – אם נושא הנתונים מבקש ממך להפסיק את עיבוד הנתונים שלהם למטרות שיווק ישיר, עליך לעשות זאת באופן מיידי. אין לכך יוצא מן הכלל.

5. שיווק אירוע תחת GDPR
תחום אחד שבו הסכמה חשובה היא שיווק ישיר. בין אם אתה משתמש בדוא"ל, בטלפון או בדואר רגיל, אם אתה משתמש במידע אישי של אדם לצורך שיווק האירוע שלך, סביר מאוד שתצטרך את הסכמתו לעשות זאת.
בישראל עברנו את תהליך הספאם, בגדול הוא , אם לא קיבלת אישור לשלוח דיוור אסור לשלוח דיוור.

כיצד אני מבקש הסכמה לשיווק אירועים תחת GDPR?
אם עד היום באירופה היו אי הבהרות לגבי דרישות הסכמה למטרות שיווק GDPR משנה את זה. עברו הימים שניתן היה לסמן מראש תיבה הכוללת הסכמה לשיווק. כעת, ההסכמה צריכה להיות סימון מרצון חופשי, ספציפי, מושכל וחד משמעי להסכמה של הנרשם
כאמור, ה GDPR הוא רטרואקטיבי. אם יש לך רשימת שיווק והיא לא עומדת בכללים שתוארו לעיל. שליחת הודעות דוא"ל לרשימה זו תהיה הפרה של GDPR לאחר 25 מאי 2018. אם זה המקרה, מומלץ לחפש הסכמה מעודכנת מנושאי נתונים לפני המועד האחרון.

מה צריך לכלול באישור קבלת דיוור לפי GDPR?
הסכמה חייבת להיות ניתנת בחופשיות
הסכמה חייבת להיות ספציפית
ההסכמה חייבת להיות מעודכנת
הסכמה חייבת להיות חד משמעית
הטקסט צריך להיות פשוט וברור!

האם אוכל לשתף פרטי משתתפים עם נותני חסות לאירוע שלי?
אם אין לך הסכמה ברורה מאדם שהשתתף באירוע, אינך יכול לשתף את הנתונים שלהם עם צדדים שלישיים. אתה צריך לבדוק כל הסכמי חסות עכשיו כדי לוודא שאתה לא מבטיח את אספקת נתונים שאתה לא יכול לשתף באופן חוקי.
אם שיתפת בעבר נתוני אירועים עם נותני החסות שלא עומדים בדרישות ההסכמה של הנרשם, יהיה עליך להודיע על כך לספונסרים ולבקש מהם להפסיק את השימוש בנתונים.

6. GDPR ואבטחת מידע
מה מגדיר GDPR כפריצה באבטחת נתונים?
תקלה באבטחת מידע היא "פריצת אבטחה המובילה להרס, אובדן, שינוי, גילוי בלתי מורשה או גישה למידע אישי".
מהן הצורות הנפוצות ביותר של פריצת אבטחה?
להמילה "תקלה או פריצה" זה באופן טבעי גורם לך לחשוב על צורה כלשהי של פריצה של מערכת על ידי צד שלישי. בעוד תקלה באבטחת נתונים נגרמת לעתים קרובות על ידי פעולה או טעות שנעשו על ידי עובד. זה יכול להיות משהו פשוט כמו חבר צוות משאיר מחשב פתוח המכיל נתונים רגישים. או שאחד מאנשי הצוות שולח רישמהת אקסל בלי לחסות את הקובץ בסיסמה (בנינו כמה אנשים סוגרים קובץ עם סיסמה).
ברור שחשוב יותר מאי פעם לוודא שמדיניות ההגנה על הנתונים של האירוע שלך תהיה איתנה ומעודכנת. גם המערכות הדיגיטליות המאובטחות ביותר בעולם לא יצילו אותך מפריצת נתונים אם הצוות שלך אינו פועל כראוי.
האם אנחנו צריכים לדווח על כל הפרה נתונים?
לא כל דיווח על תקלה צריך להיות מדווח. זה תלוי בך ובסוג הפרטים שנגנבו. גניבת פרטי אשראי מחייבת דיווח. גניבת רשימת דיוור לא נראה כי חייבת דיווח.
מה GDPR מגדיר כמערכת מאובטחת?
האמת שאין הגדרה מפורטת מה צריך להיות כדי שמערכת תהיה מאובטחת. ברור שפרטי אשראי חייבים להקלט במערכת שעודמת בתקני חברות האשראי ותקן PCI1

עם שדרוג המערכות שלנו נקטנו מספר פעולות שאין אנו יכולים לספר בהרחבה. המשמעות היא שתצטרכו להלקליד סיסמאות בכל פעם שנכנסים. הגנה וחסימה של חשבונות שנעשה בהם נסיונות כניסה לא מוצלחים
• כל התקשורת דרך המערכת שלנו מתבצעת על HTTPS בין דפדפן אינטרנט ללקוח
• סיסמאות מאוחסנות בצורה מוצפנת ולכן לא ניתן לגנוב רשימת משתמשים וסיסמאות
• מסגרת האינטרנט שלנו (RoR) מספקת אמצעי אבטחה נוספים כחלק ממסגרת ריילס
• כל הנתונים מוגנים באמצעות מערכת הרשאות והרשאות
• אנו מחזקים מספר כללים חדשים במערכת בהתבסס על המלצת האבטחה שקיבלנו
האם נתוני האירועים שלי צריכים להתאחסן באיחוד האירופי?
אין צורך באירוח נתוני האירוע באיחוד האירופאי.

7. GDPR השלבים הבאים

האם זה כבר מאוחר מדי לוודא שהאירוע שלי מוכן ועומד בכללים החדשים?
אם לא התחלתם להתכונן לGDPR, אתם לא לבד.
תאימות ל GDPR תדרוש הרבה עבודה, אבל יש כמה צעדים ראשוניים שניתן לנקוט כבר היום. דרך אגב לא תהייה תקופת הטמעהאו תקופת חסד כאשר הGDPR יכנס לתוקף.
אם אתה עושה את הצעדים הנכונים לקראת תאימות ל- GDPR, ואתה יכול להוכיח זאת, אזי הארגון יקח זאת בחשבון אם יבדקו אי פעם את נוהלי עיבוד הנתונים ואת מדיניותך.
איפה אני צריך להתחיל עם GDPR כמארגן האירוע?
קריאת מדריך זה היא התחלה טובה! כעת, כשאתה מודע לסוגיות המרכזיות בנוגע לGDPR, עליך לבצע ביקורת מלאה של הנתונים האישיים שאתה מעבד באירוע.
צריך לחשוב על השותפים והצד השלישי שאיתם אתה עובד ומה הם עושים עם הנתונים. לבדוק ולהעריך מחדש את ההסכמים שלך ולוודא שהם תואמים את הכללים. בתור בעל הנתונים, זו האחריות שלך.
אם הביקורת מעלה תחומים שיש בהם פער, עליך להתחיל לעבוד על תוכניות פעולה עם צירי זמן מציאותיים הקשורים לכל הפעולות. זה צריך לכלול גם תחומי האחריות של אנשי הצוות הרלוונטיים. זה לא רק מומחי IT וחברי צוות השיווק שלך. יש להתחיל מהיסוד, לבנות מודעות לGDPR לכל צוות האירוע שלך. סביר להניח שלכולם יש קצת מעורבות בנתונים, אפילו קטנה, ולכן הם צריכים לדעת על הנושאים המרכזיים. האימון הבסיסי יעבור דרך ארוכה כדי למנוע טעויות פשוטות כמו לא להצפין נתונים כראוי בעת שיתוף, או להשאיר מסמכים רגישים בתצוגה.

מקווים שהנתונים סייעו לכם כדי להערך עם הכנס הבא שלכם.

צוות פורם-וויזרד