Menu

תודה

כתב ויתור: המידע הכלול בפוסט זה אינו ייעוץ משפטי והנחיותיו מוצעות ללא כיווני פעולה אלא כשיתוף מידע. בכל מקרה של ספק אנו מציעים לקבל ייעוץ מקצועי.

זה קל להסתכל על תאימות GDPR כממוקד טכנולוגית ולא נוגע לצד העיסקי. אבל המציאות היא שלמרות שזה מובל על ידי צוות ה- IT או המשפטי, יש מספר דברים שאתם כמתכנני האירוע צריכים לעשות כדי לוודא שהארגון שלכם לא חשוף לסיכון.

רשימת זו מדגישה את השלבים העיקריים שיש לנקוט כדי להכין את האירועים שלך לתאריך היעד של חודש מאי 2018, בין היתר בהתבסס על המלצות שפרסם משרד הנציבות למידע בבריטניה:

יצירת מודעות
אחד הדברים הראשונים שאתה צריך לעשות הוא לוודא כי כל צוות האירועים (כמו גם מחלקות אחרות העוסקות בנתוני האירוע שלך) מודעים לכך שהחוקים השתנו ל- GDPR.
הם צריכים להבין את השינויים שאתה הולך לעשות סביב איסוף, אחסון וניהול מידע אישי של אנשים המשתתפים באירועים שלך. הם צריכים להבין מה הם צריכים לעשות כדי לשמור על הנתונים בצורה בטוחה והכי חשוב, הם צריכים להבין את הסיכונים של אי ציות (קנסות עד 20 מיליון יורו או 4% מהמחזור השנתי השנתי שלך) ולזהות את האזורים שעלולים לגרום לבעיות מול GDPR.

הפעל ביקורת נתונים
אתה צריך להבין מה הנתונים האישיים שאתם כבר מחזיקים במסדי הנתונים של האירועים שלך – החל מרשימות דיוור המשתתפים, מרצים, נותני החסות וכן הלאה.
אתה צריך לדעת בדיוק מאיפה הנתונים הגיעו ואם יש לך את הסכמת מתאימה של אנשים האלה כדי ליצור איתם קשר (סימון מראש של תיבת ציק בוקס  כבר לא יעבוד עם GDPR).
אתה צריך לזהות באילו מערכות הנתונים מאוחסנים, מתי היה השימוש האחרון ומה היה בשימוש. אתה צריך לדעת אם מידע זה שותף עם ספקים אחרים ושותפים (תגי שם וספקיות הטכנולוגיה האירוע). ואם כן, ואז לבדוק שיש לך את הסכמת הלקוח לעשות זאת, כי גם הם חייבים בציות לGDPR.
זוהי עבודה סיזיפית. והחדשות הרעות הן שאין דרך לעקוף אותה. אם תגלה שבשום מקום לא השגת את ההסכמה אתה צריך לעשות פעולה מהירה של פניה ללקוחות ולבקש את הסכמתם.

עדכן את תיבות ההסכמה שלך
בדוק את הודעות הפרטיות הנוכחיות שלך ואת תיבות ההסכמה שלך בדברים כמו טופסי רישום, אפליקציות ואתרי אינטרנט.

הצג תכנית לביצוע השינויים הנדרשים בזמן לפני המועד האחרון של GDPR – כולל מסעות פרסום שבהם אתה מתכוון לפעול כדי לגרום לאנשים כדי להצטרף שוב. אל תשכח אם אין לך את הסוג הנכון של "הסכמה פעילה" הסכמה לדיוור והתקשרות אז מבחינה משפטית, אתה כבר לא רשאי ה לפנות אליהם לאחר מאי 2018. אז אתה צריך למצוא דרך לגרום לאנשים להסכים מחדש אם אתה רוצה לשמור אותם ברשימות התפוצה שלך.
על פי החוק הנוכחי, אתה צריך לתת לאנשים רק רמה מסוימת של מידע על האופן שבו אתה משתמש בנתונים שלהם בכל פעם שאתה מבקש הסכמה. עם GDPR, עליך להסביר בבירור מדוע אתה אוסף את המידע שלהם, כיצד הוא ישמש באופן שוטף, כמה זמן תשמור את הנתונים שלהם. אם אתה משתף את הפרטים שלהם עם נותני החסות והמציגים, עליך לציין את הארגונים האלה – מונחים כלליים כגון 'נותני החסות' או 'המספקים' לא יעשו זאת. השפה שבה אתה משתמש צריכה להיות ברורה ותמציתית וקלה להבנה.
להכיר את הזכויות של הנרשם שלך
אל תשכח כי GDPR נותן לאנשים שליטה על השימוש במידע האישי שלהם. בדוק את התהליכים שלך וודא שהם מכסים את כל הזכויות החדשות שלנרשמים יהיו תחת GDPR.
מה היית עושה אם משתתף ביקש ממך למחוק את כל המידע האישי שאתה מחזיק עליו? התקנות החדשות מציינות שתצטרך להגיב לבקשות בתוך 30 יום ללא תשלום.
האם מערכת ניהול האירועים שלך תעזור לך לאתר ולמחוק את הנתונים בזמן? מה לגבי אותם נתונים שנרשמו ל- CRM שלך? מה קורה אם אתה צריך להתמודד עם בקשות מרובות בו זמנית? חשוב שתקבל תשובות לשאלות אלה עכשיו כדי להעריך אם אתה צריך לעשות שינויים בתהליכים שלך.
היכונו לפריצה או תקלת נתונים
אתה צריך לוודא שיש לך את הנהלים המתאימים כדי לזהות ולדווח על אובדן או גניבה של הנתונים של ההנרשמים. GDPR דורש מכל הארגונים לדווח על הפרות נתונים לרשות או למינהלת אחרת, אם סביר שהיא תביא לסיכון זכויות וחופש של יחידים (לגניבת זהות, אובדן כספי, אפליה, נזק למוניטין וכו '). אם הסיכון הוא רציני אז תצטרך להודיע ​​לאנשים המושפעים באופן ישיר בהקדם. אי דיווח על הפרה בתוך 72 שעות עלול לגרום קנסות מסיביים, כמו גם קנס על ההפרה עצמה.

שמור על נתוני האירוע שלך בטוח
GDPR שם את נושא האבטחה במקום גבוהה כשזה מגיע לנתוני האירוע שלך. יהיה עליך להראות שאתה עושה כמיטב יכולתך כדי להגן על הפרטים האישיים של אנשים כדי למזער את הסיכויים שזה יגיע לידיים הלא נכונות. כן, יהיה עליך לפעול בהתאם למדיניות אבטחת הנתונים של הארגון שלך – החל בהליכי תקשורת והגנה אנטי-וירוס. אבל בעוד מחלקת ה- IT שלך תתמקד באיומים חיצוניים טיפוסיים, ישנם סיכונים שמגיעים מבפנים.
גלה מלי יש גישה לנתוני האירוע שלך – הן בארגון שלך והן אצל ספקים של צד שלישי המעבדים נתונים בשמך (תגי שם, תיאום פגישות של B2B, ספקי טכנולוגיה של אירועים, מפיקים לניהול אירועים וכו '). בדוק את מדיניות אבטחת הנתונים שלהם. חשוב על סיסמאות המערכת ועל התדירות שבה אתה משנה אותן. תחשוב על האופן שבו אתה משתף את נתוני האירועים שלך עם אחרים ובאיזה נהלים יש לך כדי לשמור על הנתונים באתר שלך באירוע שלך. כדי להבטיח לכל אחד מהצוות שלך יש הבנה טובה של מה מהווה הפרת נתונים וכיצד לפעול בהתאם לשיטות המומלצות יהיה המפתח לתאימות.
עבודה באינטרנט, להימנע מעבודה עם רשימות excel שנשלח דוא"ל או USB.
ספק רמה אחרת של הרשאה: מנהלים לעומת צופים, הצופים אינם יכולים להוריד או לשנות את הנתונים.
אם אתה מאפשר לבונה אתרים לבנות את האתר שלך – להגביל את בוני האתר לגשת רק את האתר ולא את נתוני הטופס.

מינוי חבר צוות ייעודי של GDPR
ארגונים מסוימים יידרשו לקבוע באופן רשמי אחראי הגנת נתונים (DPO) כדי לקבל אחריות להגנה על נתונים ותאימות ל- GDPR. עם זאת, לא משנה אם הארגון שלך צריך אחד או לא (או אם תאימות היא משהו יהיה מנוהל על ידי מחלקת ה- IT והמחלקה המשפטית שלך), חשוב שיהיה אדם אחד מן צוות האירועים שיקח בעלות על GDPR ולהוות מוקד ידע לכל המעורבים באירועים.

סיכום
תאימות ל- GDPR היא לא עניין פשוט, וזה בהחלט לא רשימה מקיפה של כל מה שאתה צריך לעשות כדי ללהיות מוכן למועד האחרון מאי 2018 – אבל זו התחלה טובה. האיחוד האירופי עדיין צריך להבהיר הרבה דרישות וכולם מסכימים כי ההכנות לתקנות החדשות יהיה תהליך מורכב, מאתגר ויקר. אבל מי שינקוט פעולה עכשיו יהיה בעמדה טובה יותר להצליח בעתיד.
התחל לתכנן את GDPR כעת על ידי חשיבה על האופן שבו האירועים שלך אוספים נתונים על אזרחי האיחוד האירופי, כיצד אתה מאחסן את הפרטים, מקבל את ההסכמה לדיוור וכיצד אתה מאחד את אבטחת הנתונים בתהליכי התכנון וניהול האירועים שלך.
גלה גם מה ספקי האירוע שלך עושים כדי להתאים את עצמם לGDPR. לבסוף, זכור כי יישום השינויים יהיה מאמץ צוות שבו כולם מודעים לדרישות החדשות, יחד עם התהליכים החדשים שתצטרך לשים במקום.

כתב ויתור: המידע הכלול במסמך זה אינו ייעוץ משפטי והנחיותיו מוצעות ללא הנחיות פעולה אלא כשיתוף מידע. בכל מקרה של ספק אני מציעים לקבל ייעוץ מקצועי.

1 מבוא ל GDPR?

GDPR הוא סט תקנות של האיחוד האירופי אשר יכנס לתוקף ב -25 במאי 2018. המטרה העיקרית היא לקבוע כללים אחידים לחוקי הגנת הנתונים בכל רחבי אירופה, תוך שיפור זכויות הפרט והשליטה שיש להם על הנתונים האישיים שלהם.
GDPR מתייחס לתקנות פרטיות מיושנות, אשר הושמו לפני 20 שנה לפני שהטכנולוגיה שינתה לחלוטין את האופן שבו חברות משתמשות בנתונים. הוא נועד לפשט את היישום על ידי מתן חוק כולל החל על עסקים בכל מדינות האיחוד האירופי, ולא 28 חוקים שונים.
מדוע הוצג GDPR?
מנהלי חברות ברחבי העולם, רגולטורים, עורכי דין ומומחים תולשים שערות (למי שיש עדיין) כדי להבין את הכללים של GDPR. ממנהלי שיווק ומכירות ועד למומחי IT וניהול פרויקטים, אין תחומים של עסקים שלא יושפעו. עולם הכנסים והאירועים אינם שונים. למעשה, זה מפתיע שזה לקח כל כך הרבה זמן להציג מדיניות כזו. מדיניות אנטי ספאם התפרמה בישראל לפני כחמש שנים לפחות.

2. מה GDPR פירושו לאירוע שלך
קנסות
אי עמידה בחקיקה הכללית להגנה על נתונים (GDPR) עלולה להגמר בקנסות של עד 20 מיליון אירו, ולכן חיוני למארגני האירוע להבין את הדרישות החדשות. החקיקה חלה על כל דבר, החל במערכות רישום, אפליקציות אירועים וסקרים, איסוף כרטיסי ביקור ותגי סריקה.
אז כפי שאתה יכול לראות, לא משנה כמה זה עולה להתאים את הכללים לאירוע שלך כדי להתכונן GDPR, זה שווה את ההשקעה. האם מישהו באמת יקנס ב 20 מיליון אירו עבור הפרות GDPR? אמנם זה הקנס המקסימלי הזמין תחת GDPR, זה עדין לא קרה אבל למה לקחת את הסיכון.

החשש הגדול הוא שעורכי דין יתבעו באיחוד את המפיקים או גופים שיש להפ פריסה בינלאומית. הדוגמה האחרונה שחברת אל-על נתבעה וחוייבה לשלם לנוסעים ישראלים על פי תקנות האיחוד לפיצוי במקרה של איחורים. מספיק שאזרח האיחוד יתבע בשם משתתפים שהם חברי האיחוד כי נפגעה פרטיותם. לא מציע לקחת סיכון. הפתרון הפשוט ביותר? ממש את הכללים של GDPR עבור האירוע שלך ואתה לא צריך לדאוג קנסות.
האם GDPR ישפיע על האירוע שלי?
גם בלי לדעת את הסיפור שמאחורי האירוע שלך, סביר להניח שהתשובה לשאלה זו היא "כן". בעיקרון גם אזרח ישראלי שיש לו אזרחות אירופאית יכול לטעון להפרת הזכויות שלו. תלות ה- GDPR ותחום השפעתה הוא עניין מורכב. כדי לפשט את המצב, אם אתה מאחסן או מעבד נתונים על כל אזרח אירופי בתהליך ארגון האירוע שלך, GDPR חל עליך. גם אם האירועים שלך אינם באיחוד האירופי, אם תרצה לאפשר לאזרחי האיחוד האירופי להיכנס לאירוע שלך, יהיה עליך לציית ל- GDPR או לאסור רישום של חברי איחוד אירופאי. (מפתיע אבל נתקלתי בדפים שאסרו על אירופאים למלא טפסים.)

מה המשמעות של GDPR עבור האירוע שלי?
זה אומר הרבה, אבל בקיצור, אתה חייב לשנות לחלוטין את הדרך שבה אתה חושב ומטפל בנתונים אישיים. יהיה עליך לבצע "אמצעי בקרה מקיפה אך מידתית", וכי צעדים אלה צריכים "למזער את הסיכון של הפרות ולשמור על ההגנה על נתונים אישיים".
פירוש הדבר שיהיה עליך לבצע ביקורת על כל הנתונים האישיים שאתה מעבד עבור האירוע שלך, ולתעד את המדיניות והנהלים שיש לך כדי לוודא שהנתונים הנ"ל יעובדו בבטחה ובאופן מאובטח.

האם אנחנו צריכים למנות אחראי הגנת נתונים במסגרת GDPR?
חברות ברחבי העולם הם בטירוף גיוס עבור תפקידי אחראי הגנת נתונים לקראת כניסתו של GDPR. עם זאת, GDPR רק מחייב אותך למנות אחראי הגנת נתונים רק אם אתה עומד באחד הקריטריונים הבאים כמפורט בסעיף 37 (1):
א- העיבוד מבוצע על ידי רשות או גוף ציבוריים, למעט בתי משפט הפועלים בתפקידם השיפוטי;
ב- פעולות הליבה של הבקר או המעבד מורכבות מפעולות עיבוד, אשר, מעצם טבען, היקפן ו / או מטרותיהן, מחייבות מעקב שוטף ושיטתי של נושאים נתונים בקנה מידה רחב; אוֹ
ג פעולות הליבה של הבקר או המעבד מורכבות מעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים … ונתונים אישיים הנוגעים להרשעות פליליות ועבירות.

אם אינך סבור שהאירוע שלך עונה על קריטריונים אלה, אינך חייב למנות אחראי הגנת נתונים. גם אם זה המצב, זה עדיין נוהג טוב שיש מישהו בארגון שלך אשר באחריותו היא לפקח על תאימות הנתונים שלך לפי GDPR.
האם אצטרך לבצע שינויים במדיניות הפרטיות שלי בזמן עבור GDPR?
כן, סביר להניח שתצטרך להוסיף או לשנות מידע במדיניות הפרטיות הקיימת שלך. התקנות מדברות על כך שמדיניות הגנת הפרטיות צריכה להיות כתובה בשפה פשוטה וברורה, לא שפה משפטית.

3. נתוני תוצר מקומי גולמי ונתוני אירועים
מה נכלל תחת "נתונים אישיים" ?
GDPR מגדיר נתונים אישיים כמפורט בסעיף 4 (1):
כל מידע הקשור לאדם מזוהה או שניתן לזהות אותו ("נושא נתונים"); זיהוי אדם במישרין או בעקיפין, בפרט בהתייחסות למידע מזהה כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון או לגורם אחד או יותר הספציפי לסוג הפיזי, הפיזיולוגי, גנטי, נפשי, כלכלי, תרבותי או חברתי של אותו אדם טבעי.
בעיקרו של דבר, אם הנתונים יכולים לשמש כדי לזהות אדם אז זה מסווג כ"נתונים אישיים" תחת GDPR. זה כולל מידע שאתה עשוי לאסוף מן המשתתפים באירוע שלך, כגון שם, כתובת, תאריך לידה וכתובת דוא"ל.
מה המשמעות של 'עיבוד' נתונים תחת GDPR?
GDPR מגדיר עיבוד כדלקמן בסעיף 4 (2):
כל פעולה או מערך פעולות המתבצע על נתונים אישיים או על קבוצות של נתונים אישיים, בין אם באמצעים אוטומטיים, כגון איסוף, הקלטה, ארגון, מבנה, אחסון, התאמה או שינוי, אחזור, ייעוץ, שימוש, גילוי שידור, הפצה או ביצוע אחר, יישור או שילוב, הגבלה, מחיקה או השמדה.
כפי שאתה יכול לראות מתוך רשימה מקיפה זו, כמעט כל דבר שאתה עושה עם הנתונים האישיים סביב האירוע שלך מהווה עיבוד. זה ינוע מאיסוף נתונים כדי להירשם לאירוע שלך, איך לתקשר עם המשתתפים שלך הן באמצעות התקשורת אלקטרונית ופיזית.

האם האירוע שלי הוא "בקר נתונים" או "מעבד נתונים"?
יש שני צדדים עיקריים בכל הנוגע לעיבוד נתונים תחת הGDPR; א"בקר נתונים" ו "מעבד נתונים". שני הצדדים צפויים לפעול לפי הכללים של GDPR, אבל האחריות שלהם לגבי אופן עיבוד הנתונים שונה במקצת.
בקר הנתונים הוא הארגון או הישות שמכתיבים את הנתונים שנאספים ואת אופן השימוש בהם, בעוד מעבד הנתונים הוא הארגון או המבצע את עיבוד הנתונים עבור הבקר.

לדוגמה, אם אתה משתמש במערכת הרישום "פורם-וויזרד" לביצוע רישום מקוון של האירוע שלך, אתה הוא "בקר הנתונים". אתה בוחר אילו נתונים אנו אוספים, ומדוע אתה זקוק לנתונים אלה. באחריותך בתור בקר נתונים לעבד את כל הנתונים הקשורים לאירוע שלך בהתאם לGDPR.
אנחנו (פורם-וויזרד) הם מעבדי הנתונים, אנו מעבדים את הנתונים באמצעות הפלטפורמה שלנו לפי ההוראה שלך. האחריות שלנו היא לוודא שהנתונים יעובדו בצורה מאובטחת, כפי שנקבע על ידי GDPR.
מהם הכללים שאני חייב לבצע בעת עיבוד נתונים אישיים?
כמה זמן יש לך? קשה להגיש סיכום כאשר החקיקה המלאה היא 88 עמודים, וכל 99 הפרקים ב- GDPR מתייחסים במידה רבה לעיבוד נתונים אישיים.
עם זאת, סעיף 5 (1) מתאר כמה כללי מפתח לביצוע.

הנתונים האישיים צריכים להיות:
• מעובדים כחוק ובשקיפות
• איסוף למטרה מוגדרת ולגיטימית
• מוגבל למה שנחוץ לצורך העיבוד
• שמירה לא יותר מהנדרש לצורך העיבוד
• עיבוד בצורה מאובטחת
כיצד תשפיע הGDPR על נתוני האירועים הקודמים או הקיימים שלי?
אחת ההשלכות המשמעותיות ביותר של הGDPR היא שהיא רטרואקטיבית. ב -25 במאי 2018, כל הנתונים שתאחסן ותעבד עבור האירוע שלך יצטרכו לעמוד בתקנות שנקבעו על ידי GDPR.
פירוש הדבר שיהיה עליך לבצע ביקורת מלאה על הנתונים שאתה מאחסן כעת, כדי לבדוק שהם תואמים את הGDPR. כל הנתונים שאינם עומדים בהנחיות עד ה -25 במאי 2018 צריכים להמחק.
בעוד מארגני אירועים היסטריים לגבי אובדן נתונים המוני, אפשר לראות את זה כהזדמנות טובה עבור לניקוי ותחזוקה של פרטים שבאמת נדרשים. אם אתה מחזיק נתונים על אדם שאין לך זכויות משפטיות להחזיק בהם, (נתוני דרכון, תאריך לידה, בקשה כספית למלגה וכו)  אז למה אתה רוצה אותם בכל זאת? סביר להניח כי נתונים אלה כבר לא בשימוש. זה זמן מצויין לשפר את איכות הנתונים שלך ולשמור רק מה שאתה צריך.

האם ל GDPR יש כללים ספציפיים לילדים?
כן – סעיף 8 (1) קובע כי כדי להיות מסוגל לתת הסכמה חוקית, אדם חייב להיות ממעל גיל "הסכמה דיגיטלית". המדינות החברות יכולות לקבוע זאת בכל מקום בין הגילאים 13 ו -16. משמעות הדבר היא שילד מתחת לגיל 13 אינו יכול לתת הסכמה ללקלוט ולעבד את הנתונים שלהם. במקום זאת, תזדקק להסכמה מאחד מהוריהם כדי לעבד את הנתונים שלהם.
כמו כן קובע ה- GDPR כי עליך לעשות 'מאמץ סביר' כדי לוודא שהסכמת ההורים ניתנה. בפועל, זה אומר שאם אתה מאפשר לילדים להיכנס לאירוע שלך, ייתכן שלא תוכל להסתמך על תיבת סימון פשוטה שאומרת 'יש לי הסכמת הורים', שכן זה יכול בקלות להיעקף על ידי ילדים מתחת לגיל 13.

נושא של איסוף פרטי ילדים הינו תואם בגדול את כללי מאגרי מידע של משרד המשפטים. אם אתה הולך לקלוט פרטי ילדים מציע לנהוג בחומרה יתירה שכן הרשויות בישראל ובכלל רגישות בכל הנוגע לפרטי ילדים. בישראל צריך להיות מצב סופר מיוחד כמו רישום לקיטנות או גני יגלים כדי לקלוט פרטי הילד ובמיוחד מצבם הבריאותי.

4. זכויות האזרחים תחת GDPR
GDPR קובע כי לאנשים יש את הזכויות הבאות על הנתונים האישיים שלהם:
• הזכות לקבל מידע
• זכות הגישה
• הזכות לתיקון
• הזכות להישכח
• הזכות להגביל את השימוש והעיבוד
• הזכות להעברה/ניידות נתונים
• הזכות להתנגד

מהי הזכות לקבל מידע?
GDPR נועד להפוך את האזרחים להיות מודעים יותר לזכויותיהם, שקשורות ל"זכות לקבל מידע ".
ה- GDPR קובע כי כל המידע חייב להיות מסופק ליחידים בנקודת העיבוד הרלוונטית, וכי יש להציג מידע זה באופן שקוף. זה אומר שאתה צריך להשתמש בשפה ברורה ופשוטה בכללים שלך לדוגמה בפירוט מדיניות הפרטיות.
מהי הזכות לגשת?
GDPR הידק את הכללים סביב זה. אינך יכול עוד לחייב נרשמים עבור קבלת פירוט הנתונים שאתה מחזיק בהם, וכעת יש לך רק 30 יום לענות לבקשה שלהם. אם זה לוקח יותר זמן, אתה צריך להיות מסוגל לתת הסבר או סיבה חוקית מדוע, למשל אם הבקשה שלהם היא מורכבת במיוחד.
מהי הזכות לתיקון?
משתתף או משתתף יוצר קשר כדי ליידע אותך שהכתובת אימייל או מספר הטלפון שלהם השתנו ומבקשים ממך לעדכן את הרשומות שלך. תצטרך להגיב לבקשות האלה בתוך חודש, או חודשיים, אם שינוי המידע מורכב במיוחד.
אם המידע הועבר לצדדים שלישיים, באחריותך להודיע ​​להם על תיקון הנתונים.
מהי 'הזכות להישכח'?
תחת הGDPR, לננרשמים יש את הזכות ללבקש כי הנתונים שלהם ישכחו (הזכות למחוק את הנתונים). למעשה, פירוש הדבר שאדם יכול לבקש למחוק את כל הנתונים שאתה מחזיק בהם, אלא אם יש לך סיבה ספציפית להמשיך לשמור או לעבד את הנתונים.
יש לך זכות לסרב לבקשה זו, אבל רק אם יש לך סיבה טובה לעשות זאת. לדוגמה, ייתכן שיהיה עליך לאחסן את הנתונים מסיבות משפטיות.
שוב, אם שיתפת נתונים אלה עם צד שלישי, הדברים נעשים קצת יותר מסובכים. לאחר שנושא הנתונים ביקש לממש את זכותו להישכח, אתה חייב ליצור קשר עם כל צד שלישי שיש להם את הנתונים ולדרוש מהם למחוק את הנתונים (אלא אם כן יש להם סיבה טובה לא לעשות זאת).

בעיקרון מערכות הרישום שלנו שומרות טופס ונתונים חיים למשך 365 יום. לאחר מכן הטופס והנתונים נכנס למצב שינה ואם לא תבוצך הארכה הפרטים ימחקו לאר 365 יום נוספים. אנו ממליצים שתנקוט פעולה מיד לאחר האירוע וטיפול בנושאים כספיים לסגור את הרישום ולהסיר את הרישום מהמערכת.
מהי "הזכות להגביל את העיבוד"?
הדבר דומה לזכות לשכוח, אבל במקום למחוק את כל הנתונים, תוכל לשמור את הנתונים כל עוד אתה לא מעבדים את זה עוד יותר. לדוגמה, ייתכן שתצטרך לשמור על כתובת דוא"ל של משתתף ברשימה 'לא ליצור קשר' כדי לוודא שאינך מתקשר אליהם שוב בעתיד.
מהי 'הזכות לניידות נתונים'?
אתה רק לעתים רחוקות נתקלים זה בענף האירועים, אבל הזכות ניידות נתונים אומר שאתה חייב לספק לנרשם את הנתונים שלהם בפורמט המאפשר להם לעשות שימוש חוזר בנתונים למטרה אחרת או שירות. אני מעלה כדוגמה תוצאות תוצאות של שאלון עם פרטים רבים
מהי 'הזכות להסרה'?
זה פשוט – אם נושא הנתונים מבקש ממך להפסיק את עיבוד הנתונים שלהם למטרות שיווק ישיר, עליך לעשות זאת באופן מיידי. אין לכך יוצא מן הכלל.

5. שיווק אירוע תחת GDPR
תחום אחד שבו הסכמה חשובה היא שיווק ישיר. בין אם אתה משתמש בדוא"ל, בטלפון או בדואר רגיל, אם אתה משתמש במידע אישי של אדם לצורך שיווק האירוע שלך, סביר מאוד שתצטרך את הסכמתו לעשות זאת.
בישראל עברנו את תהליך הספאם, בגדול הוא , אם לא קיבלת אישור לשלוח דיוור אסור לשלוח דיוור.

כיצד אני מבקש הסכמה לשיווק אירועים תחת GDPR?
אם עד היום באירופה היו אי הבהרות לגבי דרישות הסכמה למטרות שיווק GDPR משנה את זה. עברו הימים שניתן היה לסמן מראש תיבה הכוללת הסכמה לשיווק. כעת, ההסכמה צריכה להיות סימון מרצון חופשי, ספציפי, מושכל וחד משמעי להסכמה של הנרשם
כאמור, ה GDPR הוא רטרואקטיבי. אם יש לך רשימת שיווק והיא לא עומדת בכללים שתוארו לעיל. שליחת הודעות דוא"ל לרשימה זו תהיה הפרה של GDPR לאחר 25 מאי 2018. אם זה המקרה, מומלץ לחפש הסכמה מעודכנת מנושאי נתונים לפני המועד האחרון.

מה צריך לכלול באישור קבלת דיוור לפי GDPR?
הסכמה חייבת להיות ניתנת בחופשיות
הסכמה חייבת להיות ספציפית
ההסכמה חייבת להיות מעודכנת
הסכמה חייבת להיות חד משמעית
הטקסט צריך להיות פשוט וברור!

האם אוכל לשתף פרטי משתתפים עם נותני חסות לאירוע שלי?
אם אין לך הסכמה ברורה מאדם שהשתתף באירוע, אינך יכול לשתף את הנתונים שלהם עם צדדים שלישיים. אתה צריך לבדוק כל הסכמי חסות עכשיו כדי לוודא שאתה לא מבטיח את אספקת נתונים שאתה לא יכול לשתף באופן חוקי.
אם שיתפת בעבר נתוני אירועים עם נותני החסות שלא עומדים בדרישות ההסכמה של הנרשם, יהיה עליך להודיע על כך לספונסרים ולבקש מהם להפסיק את השימוש בנתונים.

6. GDPR ואבטחת מידע
מה מגדיר GDPR כפריצה באבטחת נתונים?
תקלה באבטחת מידע היא "פריצת אבטחה המובילה להרס, אובדן, שינוי, גילוי בלתי מורשה או גישה למידע אישי".
מהן הצורות הנפוצות ביותר של פריצת אבטחה?
להמילה "תקלה או פריצה" זה באופן טבעי גורם לך לחשוב על צורה כלשהי של פריצה של מערכת על ידי צד שלישי. בעוד תקלה באבטחת נתונים נגרמת לעתים קרובות על ידי פעולה או טעות שנעשו על ידי עובד. זה יכול להיות משהו פשוט כמו חבר צוות משאיר מחשב פתוח המכיל נתונים רגישים. או שאחד מאנשי הצוות שולח רישמהת אקסל בלי לחסות את הקובץ בסיסמה (בנינו כמה אנשים סוגרים קובץ עם סיסמה).
ברור שחשוב יותר מאי פעם לוודא שמדיניות ההגנה על הנתונים של האירוע שלך תהיה איתנה ומעודכנת. גם המערכות הדיגיטליות המאובטחות ביותר בעולם לא יצילו אותך מפריצת נתונים אם הצוות שלך אינו פועל כראוי.
האם אנחנו צריכים לדווח על כל הפרה נתונים?
לא כל דיווח על תקלה צריך להיות מדווח. זה תלוי בך ובסוג הפרטים שנגנבו. גניבת פרטי אשראי מחייבת דיווח. גניבת רשימת דיוור לא נראה כי חייבת דיווח.
מה GDPR מגדיר כמערכת מאובטחת?
האמת שאין הגדרה מפורטת מה צריך להיות כדי שמערכת תהיה מאובטחת. ברור שפרטי אשראי חייבים להקלט במערכת שעודמת בתקני חברות האשראי ותקן PCI1

עם שדרוג המערכות שלנו נקטנו מספר פעולות שאין אנו יכולים לספר בהרחבה. המשמעות היא שתצטרכו להלקליד סיסמאות בכל פעם שנכנסים. הגנה וחסימה של חשבונות שנעשה בהם נסיונות כניסה לא מוצלחים
• כל התקשורת דרך המערכת שלנו מתבצעת על HTTPS בין דפדפן אינטרנט ללקוח
• סיסמאות מאוחסנות בצורה מוצפנת ולכן לא ניתן לגנוב רשימת משתמשים וסיסמאות
• מסגרת האינטרנט שלנו (RoR) מספקת אמצעי אבטחה נוספים כחלק ממסגרת ריילס
• כל הנתונים מוגנים באמצעות מערכת הרשאות והרשאות
• אנו מחזקים מספר כללים חדשים במערכת בהתבסס על המלצת האבטחה שקיבלנו
האם נתוני האירועים שלי צריכים להתאחסן באיחוד האירופי?
אין צורך באירוח נתוני האירוע באיחוד האירופאי.

7. GDPR השלבים הבאים

האם זה כבר מאוחר מדי לוודא שהאירוע שלי מוכן ועומד בכללים החדשים?
אם לא התחלתם להתכונן לGDPR, אתם לא לבד.
תאימות ל GDPR תדרוש הרבה עבודה, אבל יש כמה צעדים ראשוניים שניתן לנקוט כבר היום. דרך אגב לא תהייה תקופת הטמעהאו תקופת חסד כאשר הGDPR יכנס לתוקף.
אם אתה עושה את הצעדים הנכונים לקראת תאימות ל- GDPR, ואתה יכול להוכיח זאת, אזי הארגון יקח זאת בחשבון אם יבדקו אי פעם את נוהלי עיבוד הנתונים ואת מדיניותך.
איפה אני צריך להתחיל עם GDPR כמארגן האירוע?
קריאת מדריך זה היא התחלה טובה! כעת, כשאתה מודע לסוגיות המרכזיות בנוגע לGDPR, עליך לבצע ביקורת מלאה של הנתונים האישיים שאתה מעבד באירוע.
צריך לחשוב על השותפים והצד השלישי שאיתם אתה עובד ומה הם עושים עם הנתונים. לבדוק ולהעריך מחדש את ההסכמים שלך ולוודא שהם תואמים את הכללים. בתור בעל הנתונים, זו האחריות שלך.
אם הביקורת מעלה תחומים שיש בהם פער, עליך להתחיל לעבוד על תוכניות פעולה עם צירי זמן מציאותיים הקשורים לכל הפעולות. זה צריך לכלול גם תחומי האחריות של אנשי הצוות הרלוונטיים. זה לא רק מומחי IT וחברי צוות השיווק שלך. יש להתחיל מהיסוד, לבנות מודעות לGDPR לכל צוות האירוע שלך. סביר להניח שלכולם יש קצת מעורבות בנתונים, אפילו קטנה, ולכן הם צריכים לדעת על הנושאים המרכזיים. האימון הבסיסי יעבור דרך ארוכה כדי למנוע טעויות פשוטות כמו לא להצפין נתונים כראוי בעת שיתוף, או להשאיר מסמכים רגישים בתצוגה.

מקווים שהנתונים סייעו לכם כדי להערך עם הכנס הבא שלכם.

צוות פורם-וויזרד

The General Data Protection Regulation- GDPR

הגנה על נתונים בתעשיית האירועים לאור התקנות הגנת הפרטיות של האיחוד האירופאי

כתב ויתור: המידע הכלול בפוסט זה אינו ייעוץ משפטי והנחיותיו מוצעות ללא כיווני פעולה אלא כשיתוף מידע. בכל מקרה של ספק אנו מציעים לקבל ייעוץ מקצועי.

תקנות הגנה על הפרטיות בקצרה
ב 25 מאי 2018 האיחוד האירופי יציג את מה ניתן לטעון את החקיקה החשובה ביותר של העידן הדיגיטלי. תקנה כללית להגנה על נתונים (GDPR) תביא למהפכה באופן שבו הנתונים יעובדו באופן מקוון על פני כל הפלטפורמות, תוך שימת דגש על זכויותיהם של משתמשים על הפרטים האישיים שלהם. לתקנות תהיה השפעה משמעותית על אופן עיבוד הנתונים גם בתעשיית הכנסים והאירועים.

GDPR פירושו שיהיה עליך להרחיק לכת כדי לקבל הסכמה להחזיק, להשתמש ולשתף נתונים של אנשים. התקנה קובעת כי עליך להסביר בבירור כיצד נתונים של אנשים ישמשו את צרכי האירוע וכי הם חייבים לספק הסכמה פעילה לאיסוף הנתונים. קבלה פסיבית באמצעות סימון תיבות מראש או על ידי דרישה להסרה opt-out כבר לא יהיו מקובלים. על מנת לאמת את רשימות הדואר האלקטרוני הקיימות שלך, יהיה צורך אפוא לבקש מכל מי שברשימה שיחזור לאשר את הסכמתו.
בנוסף, לא תוכל להוסיף אנשים לרשימות דיוור פשוט משום שאספת את כרטיס הביקור או סרקת את התג שלהם. אמנם הם עשויים לתת לך רשות ליצור קשר עם אותם פעם אחת, אבל זו לא רשות ליצור איתם קשר על בסיס קבוע.
על פי הרגולציה החדשה, מתכנני האירוע חייבים גם למלא תפקיד גדול יותר באבטחת המידע האישי שהם אספו. משמעות הדבר היא לא רק שיש מערכות מחשב מוגנות, אלא גם להבטיח כי ספקי צד שלישי כמו מפיקי תגי שם עודמים בתקנות. בפועל, המשמעות היא שלא תוכל עוד לנהל את נתוני האירועים שלך באמצעות גיליונות אלקטרוניים, אלא להעזר במערכות סגורות וחכמות.
המידע האישי של כל אדם חייב להיות מאובטח. מידע אישי זה כולל כל דבר, החל פרטים ליצירת קשר ופרטי תעסוקה עד מגדר, מוגבלות ורגישות למזון.
על פי הרגולציה החדשה, מתכנני האירוע חייבים גם למלא תפקיד גדול יותר באבטחת המידע האישי שהם אספו. משמעות הדבר היא לא רק שיש מערכות חזקות בתוך הבית, אלא גם להבטיח כי ספקי צד שלישי הם תואמי GDPR (למשל אם אתה משתמש טק אירוע חיצוני או איסוף נתונים כלים).

שינויים עיקריים GDPR
GDPR מתמקד בזכויות הפרט על פני החברות. היא נועדה לתת לאזרחי האיחוד האירופי שליטה רבה יותר על אופן השימוש בנתונים האישיים שלהם, הזכות לדעת אילו נתונים מאוחסנים ומשותפים והיכולת לבטל את הסכמתם בכל עת. הנה סקירה כללית של השינויים העיקריים:
הסכמה: מארגני האירוע חייבים להיות שקופים לגבי האופן שבו ישתמשו בנתונים שהם מאוחסנים ולקבל הסכמה "פעילה".
הודעת במקרה של פריצת אבטחה: במקרה של פריצת אבטחה העלולה "להניב סיכון לזכויות ולחופש של יחידים", חובה להודיע ​​לרשויות ולרשויות הגנת הנתונים בתוך 72 שעות. (לא ברור מי הכתובת במקרה זה בישראל שכן באיחוד האירופאי או באנגליה ישנם גופים רגלוטוריים המתמחים בכך)
זכות גישה: אם אדם מבקש פרטים על המידע שאתה מחזיק בהם, עליך להיות מסוגל לספק להם עותקים אלקטרוניים של נתונים אלה. כמו כן, עליו להציג היכן מאוחסנים הנתונים ולמה הם משמשים.
הזכות להישכח: בכל עת אדם יכול לבקש ממך למחוק את הנתונים האישיים שלו וגם להפסיק לשתף אותם עם צדדים שלישיים שחייבים להפסיק את האחזקה או השימוש בנתונים אלו.
ניידות נתונים: על פי בקשה, אתה חייב להיות מסוגל לספק את הפרטים עם הנתונים שאתה מחזיק בהם במבנה קובץ נפוץ (אין הגדרה אבל ההנחה שלי היא במבנה אקסל או DB אן SQL – כדי שניתן יהיה להעביר אותו למאגרי נתונים אחרים.
תכנון מראש: אבטחת נתונים חייבת להיות מובנת לתוך המוצרים שלך כבר מרגע הכנת המערכת.
אחראי הגנת המידע (DPO): בגופים גדולים, יש למנות אחראי הגנת מידע הממונה על תהלכיים ושקרים עם ארגוני ציבוריים, לבצע ניטור שיטתי נרחב של תהליכים.

דברים שישי להיערך אליהם
העבר את הנתונים למסד נתונים מאובטח – הפסק להשתמש בגליונות אלקטרוניים לא מאובטחים. שים לב למי יש גישה לנתונים (למשל, צוות זמני) ועדכן את הסיסמה באופן קבוע. אם אתה מדפיס נתוני אירועים, התייחס להדפסות כאל מידע רגיש והגדר למי יש גישה לחומרים בארגון ומחוץ לארגון שלך.
צור קשר עם ספקי הטכנולוגיה שלך – צור קשר עם כל ספקי האירוע שלך במיוחד למערכת הרישום, תגי השם, מערכת הושבה, חלוקת חדרים לחדרי המלון ולבקש הערכות לתקנות הגנה על הפרטיות GDPR.
נקה את מאגר הנתונים שלך – ודא שכל הנתונים הקיימים אצלך הם חוקיים. ודא כי מי שמצטרף נותן את הסכמתו. השמד את כל הנתונים שאתה כבר לא יכול להשתמש בהם או שאתה לא צריך אותם.

צור קשר עם צד שלישי – צור קשר עם מישהו ששיתפת איתו נתונים כגון נותני חסות לאירוע, שותפים או בעלי עניין וודא שכל מי שביקש להסיר יוסר. ודא שהם מודעים לחובות שלהם תחת GDPR.

סיכום
בימים האחרונים אני שומע לקוחות אומרים, זה לא משנה לי כי אני פועל לפי החוק הישראלי או לא אכפת לי מה האירופאים רוצים מי שרוצה שירשם. העניין הוא שהאיחוד נוקט כאן גישה כוללת ותקיפה שעיקרה אם אתה שומר פרטים של האזרחים שלי, יש לך עסק איתי וכדאי שתפעל לפי ההנחיות. התקנות מדברות על תביעות מליוני יורו. חברות רב לאומיות כבר נערכו לתקנות, אני מניח שגם רשויות וגופים ציבוריים יערכו לכך בחודשים הקרובים.
אנחנו בפורם וויזרד נערכנו לכך

שינוי גודל גופנים
ניגודיות