The General Data Protection Regulation- GDPR

הגנה על נתונים בתעשיית האירועים לאור התקנות הגנת הפרטיות של האיחוד האירופאי

כתב ויתור: המידע הכלול בפוסט זה אינו ייעוץ משפטי והנחיותיו מוצעות ללא כיווני פעולה אלא כשיתוף מידע. בכל מקרה של ספק אנו מציעים לקבל ייעוץ מקצועי.

תקנות הגנה על הפרטיות בקצרה
ב 25 מאי 2018 האיחוד האירופי יציג את מה ניתן לטעון את החקיקה החשובה ביותר של העידן הדיגיטלי. תקנה כללית להגנה על נתונים (GDPR) תביא למהפכה באופן שבו הנתונים יעובדו באופן מקוון על פני כל הפלטפורמות, תוך שימת דגש על זכויותיהם של משתמשים על הפרטים האישיים שלהם. לתקנות תהיה השפעה משמעותית על אופן עיבוד הנתונים גם בתעשיית הכנסים והאירועים.

GDPR פירושו שיהיה עליך להרחיק לכת כדי לקבל הסכמה להחזיק, להשתמש ולשתף נתונים של אנשים. התקנה קובעת כי עליך להסביר בבירור כיצד נתונים של אנשים ישמשו את צרכי האירוע וכי הם חייבים לספק הסכמה פעילה לאיסוף הנתונים. קבלה פסיבית באמצעות סימון תיבות מראש או על ידי דרישה להסרה opt-out כבר לא יהיו מקובלים. על מנת לאמת את רשימות הדואר האלקטרוני הקיימות שלך, יהיה צורך אפוא לבקש מכל מי שברשימה שיחזור לאשר את הסכמתו.
בנוסף, לא תוכל להוסיף אנשים לרשימות דיוור פשוט משום שאספת את כרטיס הביקור או סרקת את התג שלהם. אמנם הם עשויים לתת לך רשות ליצור קשר עם אותם פעם אחת, אבל זו לא רשות ליצור איתם קשר על בסיס קבוע.
על פי הרגולציה החדשה, מתכנני האירוע חייבים גם למלא תפקיד גדול יותר באבטחת המידע האישי שהם אספו. משמעות הדבר היא לא רק שיש מערכות מחשב מוגנות, אלא גם להבטיח כי ספקי צד שלישי כמו מפיקי תגי שם עודמים בתקנות. בפועל, המשמעות היא שלא תוכל עוד לנהל את נתוני האירועים שלך באמצעות גיליונות אלקטרוניים, אלא להעזר במערכות סגורות וחכמות.
המידע האישי של כל אדם חייב להיות מאובטח. מידע אישי זה כולל כל דבר, החל פרטים ליצירת קשר ופרטי תעסוקה עד מגדר, מוגבלות ורגישות למזון.
על פי הרגולציה החדשה, מתכנני האירוע חייבים גם למלא תפקיד גדול יותר באבטחת המידע האישי שהם אספו. משמעות הדבר היא לא רק שיש מערכות חזקות בתוך הבית, אלא גם להבטיח כי ספקי צד שלישי הם תואמי GDPR (למשל אם אתה משתמש טק אירוע חיצוני או איסוף נתונים כלים).

שינויים עיקריים GDPR
GDPR מתמקד בזכויות הפרט על פני החברות. היא נועדה לתת לאזרחי האיחוד האירופי שליטה רבה יותר על אופן השימוש בנתונים האישיים שלהם, הזכות לדעת אילו נתונים מאוחסנים ומשותפים והיכולת לבטל את הסכמתם בכל עת. הנה סקירה כללית של השינויים העיקריים:
הסכמה: מארגני האירוע חייבים להיות שקופים לגבי האופן שבו ישתמשו בנתונים שהם מאוחסנים ולקבל הסכמה "פעילה".
הודעת במקרה של פריצת אבטחה: במקרה של פריצת אבטחה העלולה "להניב סיכון לזכויות ולחופש של יחידים", חובה להודיע ​​לרשויות ולרשויות הגנת הנתונים בתוך 72 שעות. (לא ברור מי הכתובת במקרה זה בישראל שכן באיחוד האירופאי או באנגליה ישנם גופים רגלוטוריים המתמחים בכך)
זכות גישה: אם אדם מבקש פרטים על המידע שאתה מחזיק בהם, עליך להיות מסוגל לספק להם עותקים אלקטרוניים של נתונים אלה. כמו כן, עליו להציג היכן מאוחסנים הנתונים ולמה הם משמשים.
הזכות להישכח: בכל עת אדם יכול לבקש ממך למחוק את הנתונים האישיים שלו וגם להפסיק לשתף אותם עם צדדים שלישיים שחייבים להפסיק את האחזקה או השימוש בנתונים אלו.
ניידות נתונים: על פי בקשה, אתה חייב להיות מסוגל לספק את הפרטים עם הנתונים שאתה מחזיק בהם במבנה קובץ נפוץ (אין הגדרה אבל ההנחה שלי היא במבנה אקסל או DB אן SQL – כדי שניתן יהיה להעביר אותו למאגרי נתונים אחרים.
תכנון מראש: אבטחת נתונים חייבת להיות מובנת לתוך המוצרים שלך כבר מרגע הכנת המערכת.
אחראי הגנת המידע (DPO): בגופים גדולים, יש למנות אחראי הגנת מידע הממונה על תהלכיים ושקרים עם ארגוני ציבוריים, לבצע ניטור שיטתי נרחב של תהליכים.

דברים שישי להיערך אליהם
העבר את הנתונים למסד נתונים מאובטח – הפסק להשתמש בגליונות אלקטרוניים לא מאובטחים. שים לב למי יש גישה לנתונים (למשל, צוות זמני) ועדכן את הסיסמה באופן קבוע. אם אתה מדפיס נתוני אירועים, התייחס להדפסות כאל מידע רגיש והגדר למי יש גישה לחומרים בארגון ומחוץ לארגון שלך.
צור קשר עם ספקי הטכנולוגיה שלך – צור קשר עם כל ספקי האירוע שלך במיוחד למערכת הרישום, תגי השם, מערכת הושבה, חלוקת חדרים לחדרי המלון ולבקש הערכות לתקנות הגנה על הפרטיות GDPR.
נקה את מאגר הנתונים שלך – ודא שכל הנתונים הקיימים אצלך הם חוקיים. ודא כי מי שמצטרף נותן את הסכמתו. השמד את כל הנתונים שאתה כבר לא יכול להשתמש בהם או שאתה לא צריך אותם.

צור קשר עם צד שלישי – צור קשר עם מישהו ששיתפת איתו נתונים כגון נותני חסות לאירוע, שותפים או בעלי עניין וודא שכל מי שביקש להסיר יוסר. ודא שהם מודעים לחובות שלהם תחת GDPR.

סיכום
בימים האחרונים אני שומע לקוחות אומרים, זה לא משנה לי כי אני פועל לפי החוק הישראלי או לא אכפת לי מה האירופאים רוצים מי שרוצה שירשם. העניין הוא שהאיחוד נוקט כאן גישה כוללת ותקיפה שעיקרה אם אתה שומר פרטים של האזרחים שלי, יש לך עסק איתי וכדאי שתפעל לפי ההנחיות. התקנות מדברות על תביעות מליוני יורו. חברות רב לאומיות כבר נערכו לתקנות, אני מניח שגם רשויות וגופים ציבוריים יערכו לכך בחודשים הקרובים.
אנחנו בפורם וויזרד נערכנו לכך