גופים רבים במשק עסוקים בימים אלו, בצדק, בשאלה אם תקנות הגנת המידע האירופאיות החדשות (GDPR), יחולו גם עליהם. השאלה הזו מטרידה גופים אלו לאור השלכות הרוחב הגדולות שיכולות להיות לתחולת התקנות, עם כניסתן לתוקף בחודש מאי 2018.
תקנות הגנת המידע האירופאיות –General Data Protection Regulation") GDPR") – חלות ומחייבות את מדינות האיחוד האירופי, ובאות להחליף את חוקי הפרטיות הקיימים במדינות החברות באיחוד, ואת החקיקה הקודמת בנושא (הדירקטיבה האירופית להגנת מידע – EC/95/46).
יחד עם זאת, הוראות ה- GDPR מרחיבות את תחולתן באופן משמעותי גם על גופים המצויים אל מחוץ לאיחוד האירופאי, אם גוף מסוים (המצוי מחוץ לאיחוד) אוסף, מנהל, מחזיק או מעבד מידע אישי אודות תושבי האיחוד, עוסק באספקת שירותים או מוצרים לשוק האירופאי, בעל נוכחות באיחוד, או יוצר פרופילים התנהגותיים על תושבי האיחוד, עוקב אחר דפוסי גלישה או התנהגות של תושבי האיחוד, ועוד.
בנוסף לכך, יותר ויותר חברות אירופאיות העובדות מול גופים בארץ מעלות באופן גובר דרישות מגופים אלו להתאים עצמם להוראות התקנות האירופאיות או להתחייב כי הם עומדים בהן, על מנת שהחברות האירופיות לא יתפסו חלילה בהפרת הוראות ה- GDPR – הפרה העלולה לעלות להן ביוקר. ארגונים שייתפסו כמפרים, עלולים להיחשף לקנסות מנהליים של עשרות מליוני אירו או אחוזים ניכרים מהמחזר השנתי שלהם. ברי, כי ארגון המצוי תחת תחולת ה- GDPR ואשר לא יערך כראוי לכניסתן לתוקף החל מחודש מאי הקרוב, לא מסתכן רק בפגיעה תדמיתית, אלא בסיכון כלכלי ממשי.
כניסתו של ארגון מסוים תחת תחולת התקנות האירופאיות תשית עליו עלויות ומשאבים כלכליים, טכנולוגיים וארגוניים כבדי משקל, ועשויה גם להגביל או לשנות את היכולת או האופן בו הוא אוסף, שומר או מעבד מידע אישי במהלך עסקיו השוטפים; שינוי או החלפת טכנולוגיות אבטחת מידע; הטמעת עקרונות ונהלים מחמירים לשמירה על פרטיות ועוד.
כניסתן לתוקף של תקנות הגנת הפרטיות האירופאיות תוזמנה, במקרה בלבד, לאותו מועד בו יכנסו לתוקף גם תקנות אבטחת המידע הישראליות החדשות – חודש מאי 2018. תקנות אבטחת המידע ממילא מעלות דרישות חדשות ומתקדמות מגופים בארץ – בהתאם לרמות האבטחה אשר תחולנה לגבי כל גוף, כפי שנקבעו בתקנות הישראליות אשר בחלקן אף חופפות את הדרישות בתקנות האירופאיות. אך גוף שיירצה להתאים עצמו גם לתקנות האירופאיות, יידרש למאמץ נוסף, לא קטן. מכאן הצורך בהיערכות ובבחינת היקף התחולה של התקנות האירופאיות על כך גוף, בנפרד מההיערכות הנדרשת ממילא על בסיס תקנות האבטחה הישראליות.