GDPR ומערכת אקטיב טרייל
חוקי אבטחת המידע והפרטיות מתעדכנים ללא הרף בניסיון ליישר קו עם השינויים הבלתי פוסקים בעולם הטכנולוגי. עם זאת, נדיר שאנו נתקלים בשינויים כה גורפים בנוגע להגנה על מידע אישי ואכיפתם, כמו אלה המגולמים ברגולציית ההגנה על הפרטיות (GDPR) באירופה, אשר תכנס לתוקף החל מתאריך ה-25 במאי 2018.
בתור אנשי שיווק דיגיטלי, סביר להניח שחוקי ה-GDPR ישפיעו על המאמצים השיווקיים שלכם ושל העסק שלכם, במיוחד, אם אתם ממוקמים באחת ממדינות האיחוד האירופי (האיחוד) או אם אתם נמצאים במגעים עסקיים עם חברות הנמצאות באחת ממדינות האיחוד או עם אזרחיה, בדיוק כפי שה-GDPR משפיעה על אקטיב טרייל. מדריך זה כולל את מיטב המידע והתובנות שלנו בעניין ה-GDPR והשלכותיה, ואנו משתפים את קהל המשתמשים שלנו במידע זה על מנת לסייע לכם להתכונן לקראת השינויים שכניסת רגולציה זו לשוק תביא עמה.
הערה: מטרת המדריך היא לספק מידע בלבד, ואין היא אמורה, בשום אופן, להסתמך על או להחליף ייעוץ משפטי או חוות דעת משפטית. כדי להבין כיצד חוקי ה-GDPR עשויים להשפיע על העסק או הארגון שלכם, אנחנו ממליצים לערוך התייעצות עם עורכי הדין העסקיים המתאימים או עם אנשי מקצוע אחרים בתחום.
חוקי הרגולציה להגנה על הפרטיות – GDPR
משנת 1995, נושא ההגנה על נתונים באירופה מנוהל ומוסדר על ידי הנחייה 95/46/EC] (“ההנחייה”), וכפי שאתם יכולים לתאר, הנחייה זו הייתה זקוקה לשינוי כולל זה זמן רב.
כתוצאה מכך, בשנת 2016, הנציבות האירופאית (EC – גוף הממשל של האיחוד האירופאי), חוקקה את חוקי הרגולציה להגנה על פרטיות, חוק פרטיות מקיף אשר ייאכף במלואו בכלל מדינות האיחוד האירופאי.
חוקי הרגולציה להגנה על הפרטיות יהיו ברי אכיפה החל מה-25 במאי, 2018.
אודות הזמן הרב שעבר בין חקיקת החוקים לבין כניסתם לתוקף, חברות וארגונים עסקיים לא יזכו “לתקופת חסד” ויצטרכו לעמוד בדרישות ה GDPR עד התאריך הנ”ל.
מטרת חוקי הרגולציה להגנה על פרטיות – GDPR
במהלך השנים, כדי להתאים עצמם לשינויים הטכנולוגיים המתרחשים, נציבות האיחוד האירופאי ומדינות האיחוד חוקקו תיקונים להנחיה משנת 95′ וחוקים מקומיים הנוגעים להגנה על נתונים, אך הדבר הביא לחוסר סנכרון בין מדינות ברחבי היבשת. “חוקי ה-GDPR הותאמו כך שתהיה הרמוניה בין חוקי פרטיות המידע ברחבי אירופה, במטרה להגן על פרטיותם של כל אזרחי האיחוד האירופאי ולעצב מחדש את האופן בו ארגונים באיזור רואים הגנה על פרטיות ומידע” הנציבות האירופאית, https://www.eugdpr.org/.
חוקי ה-GDPR מחזקים את ההשקפה האירופאית הרואה בזכות לפרטיות כשווה בחשיבותה לזכויות יסוד אחרות, ושולטים על האופן בו אנשים פרטיים וארגונים רשאים לאסוף, לאחסן, להשתמש ולמחוק נתונים אישיים.
עם היקפם הרחב ובהיותם ברי-אכיפה בכל מדינות האיחוד, לחוקים השלכות משמעותיות על חברות, ארגונים, גופים, בתי עסק, וממשלות ברחבי העולם.
מי מושפע?
חוקי הרגולציה להגנה על פרטיות משפיעים על שני סוגי ישויות מרכזיים:
- ארגונים השייכים לאיחוד – כל הארגונים אשר הוקמו ויוסדו באיחוד האירופאי.
- ארגונים חיצוניים – כל הארגונים אשר עוסקים בעיבוד וניהול מידע פרטי של אזרחי האיחוד האירופאי. חוקי הרגולציה להגנה על פרטיות חלים על כל ארגון בעולם אשר מעבד מידע פרטי של אזרחים מהאיחוד האירופאי, ללא קשר למקום בו מתרחש העיבוד.
מהסעיף השני של ה-GDPR נובע הפוטנציאל להשפיע על רוב גדול של ארגונים בעולם. לכן, מומלץ לכל הארגונים בעולם, מכל התעשיות והסקטורים העסקיים, לבצע בדיקה מעמיקה אם החוקים חלים עליהם, ולכל הפחות, לבדוק אם הם מעבדים מידע אישי של אזרחי האיחוד האירופי.
ציות לחוקים וקנסות
בין האספקטים הכי מרחיקי לכת של ה-GDPR, ניתן למצוא את הקנסות הכבדים והסנקציות שיוטלו עבור-אי ציות. ארגונים, גופים וחברות עסקיות שלא יעמדו בתנאי הרגולציה עלולים להיקנס בסכומים של עד 20 מיליון אירו או, לחילופין, 4% מסך ההכנסות השנתיות של הארגון, הגבוה מבניהם.
כבר ציינו שבמידה ואתם חברה או ארגון אירופאי, או כאלה המעבדים מידע פרטי של אזרחי האיחוד האירופאי (אפילו מידע טריוויאלי ופשוט כגון כתובת דוא”ל של אזרח האיחוד) עליכם לציית לחוקי ה-GDPR כדי להמשיך את הפעילות הנוגעת למידע הזה. מכיוון שישימות ה GDPR כל כך כוללנית, מומלץ לרוב הארגונים והחברות לבקש המלצה משפטית ומקצועית בנוגע לצורך לציית לחוקים אלה, ובמידה ונמצא צורך בכך, כיצד אותם ארגונים וחברות צריכים להיערך על מנת לוודא ציות מלא אחרי ה-25 במאי, 2018.
יש לציין שצורה כזו או אחרת, מדינות רבות ברחבי העולם מאמצים חקיקות האיחוד האירופי בענייני פרטיות, כך שייתכן ושכדאי לכם לשקול הכנת הארגון שלכם לציות לחוקי ה GDPR, גם אם אתם משוכנעים שלעת עתה הם אינם נוגעים אליכם.
המרכיבים המרכזיים של חוקי ה-GDPR
טרמינולוגיה –
להלן מספר מונחים שיסייעו לכם להבין את הסעיפים המרכזיים של ה GDPR:
מידע (דאטה) פרטי –
חוקי ה-GDPR מגדירים מידע פרטי כ: “כל מידע הנוגע לאדם אמיתי מזוהה או שניתן לזיהוי (‘נושא דאטה’)”. כלומר, כל פיסת מידע לכשעצמה או בצירוף למידע אחר יכולים לאפשר זיהוי של אדם מסוים.
הגדרה רחבה זו כוללת מיקום גאוגרפי, מידע פיננסי וכתובות IP, בנוסף למידע פרטי “מסורתי” יותר כגון מספרי דרכון וזהות, שמות, מידע ביומטרי וכתובות דוא”ל.
רוב המידע אודות משתמשים שאתם אוספים ושומרים במאגרי אקטיב טרייל, ייתכן ותואם להגדרות הללו, אפילו שמות בדויים או כינויים שניתן לקשור אותם לאנשים ספציפיים. בנוסף, חוקי ה-GDPR דורשים הגנה חזקה יותר למידע אישי רגיש כגון מידע בריאותי או מידע הנוגע לזהות אתנית ואין לאחסן מידע מסוג זה במאגרי החשבון שלכם באקטיב טרייל.
עיבוד מידע ונתונים –
בהקשר של חוקי ה-GDPR, אתם מעבדים מידע אישי של אזרחי האיחוד האירופאי אם, באופן כלשהו, אתם אוספים, מאחסנים, מנהלים ו/או עושים שימוש במידע אישי של אזרחי האיחוד האירופאי.
בציטוט ישיר מתוך ה-GDPR “עיבוד” הוא: “כל פעולה או סדרה של פעולות המתבצעת על נתונים ומידע אישי או קבוצות של נתונים ומידע אישי, בין אם באמצעות מערכות אוטומטיות או לא, למשל: איסוף, הקלטה, ארגון, הבנייה, אחסון, התאמה או שינוי, אחזור, ייעוץ, שימוש, גילוי, הפצה או חשיפה, הכוונה או שילוב, הגבלה, מחיקה או השמדה”.
בכל הנוגע לשימוש במערכת של אקטיב טרייל, במידה ואחת או יותר מרשימות הנמענים שלכם כוללות מידע פרטי של אזרחים מהאיחוד האירופאי (כגון שמם או כתובת הדוא”ל שלהם), על פי חוקי ה-GDPR הנכם נחשבים כמעבדים מידע ונתונים אישיים של אזרחי האיחוד.
בעל שליטה במידע –
אדם, תאגיד, ארגון, חברה או כל גוף אחר אשר לבד או בשיתוף פעולה עם אחרים עושה שימוש במידע פרטי של אזרחי האיחוד האירופאי, למטרותיו שלו.
בעל שליטה במידע מחליט איזה מידע לאסוף, לאיזו מטרה, איך יעובד, ואיזה שימוש ייעשה בו. מרבית הלקוחות של אקטיב טרייל נחשבים ‘בעלי שליטה במידע’ בשימוש שלהם במערכת אקטיב טרייל, כלומר, לקוחותיה של אקטיב טרייל מחליטים איזה מידע אישי הם מעוניינים לאסוף ולשמור במאגרי המערכת, איזה מידע להעביר למערכות שלהם וכיצד לעשות שימוש במידע זה.
מעבד –
‘מעבד’ הוא ארגון אשר מעבד מידע בשמו של ‘בעל שליטה במידע’. בהתייחס לשירותים שאנו נותנים ללקוחותינו, אקטיב טרייל משמשת כגוף ‘מעבד’.
הרעיונות המרכזיים של חוקי ה-GDPR
למרות שההנחיה משנת 1995 מהווה בסיס ראשוני לחוקי ה-GDPR, רבים מעקרונותיו המרכזיים של ה-GDPR הינם אגרסיביים ובכך, משנים משמעותית את עקרונות ההנחיה משנת 1995.
להלן הרעיונות המרכזיים של חוקי הרגולציה להגנת הפרטיות:
1. הגדרה רחבה יותר למושג ‘מידע אישי’ – כמתואר לעיל.
2. תקפות לגבי מספר רחב הרבה יותר של ארגונים, גופים וחברות – גם כאלה שמבוססים מחוץ לאיחוד האירופאי (גופים “חוץ אזוריים”) שמעבדים מידע ונתונים של אזרחים מהאיחוד האירופאי.
3. חוקי פרטיות מורחבים לאזרחי האיחוד האירופאי להם ארגונים, גופים וחברות המעבדים מידע של אזרחי האיחוד מוכרחים לציית, כולל:
- הזכות להישכח: כל אדם יכול לבקש שהמידע האישי שלו, אשר נשמר במאגרים של חברה, גוף או ארגון, יימחקו בהקדם ולתמיד.
- הזכות להתנגד: כל אדם יכול להתנגד לשימוש בחלקים מסוימים מהמידע האישי שלו.
- הזכות לגישה: כל אדם יכול לבקש מכל ארגון, גוף או חברה, לדעת את האופן בו נעשה שימוש במידע האישי עליו וכיצד הוא מעובד.
- הזכות לתיקון: כל אדם רשאי לבקש מארגון, גוף או חברה, להשלים נתונים חסרים או לתקן נתונים שגויים.
- הזכות לניידות: כל אדם רשאי לבקש מארגון, גוף או חברה, שהמידע האישי שלו יועבר לארגון, גוף או חברה אחרת. למשל, במידה והאדם מעוניין להחליף ספק שירות.
4. דרישות נוקשות יותר בנוגע לקבלת הסכמה – כאשר הדרישה החשובה ביותר מחייבת ארגון, גוף או חברה לקבל את הסכמת הפרט בכל פעם שהארגון עושה שימוש במידע אישי שלהם, למעט בתנאים מסוימים המתוארים בהמשך. בתור משתמשי אקטיב טרייל, יהיה עליכם לקבל הסכמה כזו מהנמענים ברשימות התפוצה שלכם, והדרך הפשוטה ביותר לעשות זאת תהיה, בד”כ, על ידי פניה ישירה.
מספר דברים שכדאי לשים לב אליהם בנושא ההסכמה:
- הסכמה חייבת להינתן בהקשר של שימוש מסוים.
- הסכמה חייבת להיות יזומה, כלומר, אנשים מוכרחים לאשר או להסכים (Opt-in), באופן מפורש, לאחסון או שימוש במידע אישי. ייתכן וסעיף זה יפסול, במקרים רבים, שימוש בתיבות סימון אשר מסומנות מראש או באופציות דומות נוספות לקבלת הסכמה.
- הסכמה צריכה להינתן בנפרד לסוגים שונים של עיבוד מידע. על כן, יש לוודא שבמעמד בקשת ההסכמה (Opt-in) יינתן הסבר מלא בנוגע לשימוש שייעשה במידע.
5. דרישות נוקשות יותר בנוגע לעיבוד מידע ונתונים – לאנשים תהיה הזכות לקבל תיאור “ברור ושקוף” בנוגע לאופן בו המידע והנתונים האישיים שלהם מעובדים, כולל:
- הסיבה בגינה המידע נאסף – על הסיבה להיות ספציפית ויש לעשות שימוש במידע אך ורק למטרה הספציפית שצוינה (“הגבלת מטרות”). בנוסף, יש לאסוף רק את המידע והנתונים בהם יש צורך ולא יותר (“מידע מינימלי”). חברות, ארגונים וגופים צריכים להיות מאוד זהירים בנוגע לסיבת איסוף המידע ועליהם לוודא שביכולתם לספק הסבר מלא לרשויות בנוגע לצורך במידע ואופן השימוש בו.
- תקופת אחסון – חברות, ארגונים וגופים צריכים לשמור על המידע האישי לתקופת הזמן המינימלית ביותר (“הגבלת אחסון”).
- פרטי משתמש עבור בעל השליטה במידע – דיון בנושא בהמשך.
- בסיס חוקי – חברות, ארגונים וגופים זקוקים לבסיס חוקי מלא בכדי לעבד מידע אישי (חל איסור לעבד מידע אישי על סמך ‘חשק’ או רצון אישי). לדוגמא, צורך בנתונים ומידע אישי כדי לעמוד בהתחייבויות חוזיות כלשהן או שאדם נתן את הסכמתו להשתמש במידע האישי שלו לשימוש מסוים.
חוקי ה-GDPR והעברת מידע ונתונים בין מדינות
הזכרנו מספר פעמים שלחוקי ה-GDPR יש השלכות גלובליות, וסיבה עיקרית לכך היא האופן בו החוקים מתייחסים להעברת מידע ונתונים אישיים של אזרחי האיחוד האירופאי ממדינות באיחוד למדינות שאינן חלק מהאיחוד. אמנם, מבחינה זו, חוקי ה-GDPR לא חורגים רבות מההנחיה המקורית של שנת 1995, כיוון שהיא נוגעת לתנאים שחייבים להתקיים על מנת להעביר מידע אישי מחוץ לגבולות מדינות האיחוד האירופי ובכך מציעה שהעברת מידע כזו אפשרית.
ברמת העיקרון, תנאים אלו מהווים הוראות לפיהן ארגונים רשאים להעביר, באופן חוקי, מידע אישי של אזרחי האיחוד האירופי מחוץ לגבולות האיחוד.
אחת ההוראות קובעת כי הנציבות האירופית יכולה לקבל החלטות מפורשות בנוגע “למספיקות”, לפיהן, הנציבות האירופית “רשאית להחליט, עבור כל מדינות האיחוד, שמדינה חיצונית, טריטוריה במדינה חיצונית או ארגון בינלאומי, מציעים רמה מספקת של הגנה על מידע. במקרים אלה, ייתכן והעברה של מידע אישי למדינה חיצונית או ארגון בינלאומי כזה יכולה להתרחש ללא אישור נוסף”. כלומר, הנציבות האירופית יכולה לקבל החלטה גורפת בנוגע לכך שלמדינה מסוימת הגנה מספקת על מידע אישי, כך שבמידה וארגונים מעבירים מידע אישי למדינה הזו, אין צורך להסתמך על אישורם של רשויות נוספות על מנת לבצע את ההעברה.
בעלי שליטה במידע ומעבדי המידע
ארגונים, חברות וגופים שפעילותם קשורה במידע ונתונים אישיים של אזרחי האיחוד האירופי נחשבים כבעלי שליטה במידע או כמעבדי מידע, לפי ההגדרות שסופקו מוקדם יותר במסמך. הגדרות אלו כמעט ולא השתנו מההגדרות המופיעות במסמך ההנחיה של 1995. עם זאת, חוקי ה-GDPR מטילים אחריות גדולה יותר (ושונה) על כל אחת מהקטגוריות. באופן טבעי, בעלי שליטה במידע הם בעלי האחריות הראשית להגנה על המידע האישי. מעבדי מידע, גם אם לא האחראיים העיקריים, כן מחזיקים באחריויות ישירות. לכן, מודעות לסטטוס שלכם כבעלי שליטה במידע או כמעבדי מידע בעיני חוקי ה-GDPR, הינה חיונית, ותאפשר לכם לדעת את המחויבויות שלכם.
מרבית משתמשי אקטיב טרייל שייכים לקטגוריה של בעלי שליטה במידע מכיוון שהם מחליטים איזה מידע נכנס, מועבר ונשמר במאגרי המערכת. כמו כן, הם אלה שמבקשים מאקטיב טרייל לעבד את המידע בשמם (כלומר, בתפקיד מעבדת מידע), לדוגמא, על ידי שליחת דיוור אלקטרוני באמצעות המערכת.
כמובן, אלו הם רק תמצות של הרעיונות והעקרונות המשמעותיות של חוקי ה-GDPR, ואנו ממליצים לבצע סקירה מלאה של החוקים (ולהסתייע בעזרה משפטית במידת הצורך), לפני שמקבלים החלטות בנוגע להכנת הארגון לקראת השקת ה-GDPR.
חוקי ה-GDPR, אקטיב טרייל ואתם
חוקי הפרטיות באקטיב טרייל
אנחנו באקטיב טרייל תמיד התייחסנו בכבד ראש לנושאי אבטחת פרטיות ומבחינה זו, חוקי ה-GDPR מספקים לנו הצדקה נוספת לאופן בו פעלנו לאורך השנים. מצד שני, ברמת המאקרו, חוקי ה-GDPR מציבים בסיס חדש אשר מטביע את ערך ההגנה על הפרטיות כערך עליון להתנהלות העסקית של ארגונים ברחבי העולם.
מנקודת המבט הפנים מערכתית של אקטיב טרייל, אנו סרקנו ותיעדנו תהליכים ונהלים, עדכנו מסמכים, חיזקנו חלק ממנגנוני אבטחת המידע שלנו, הוספנו מספר תפקידי מפתח, הקמנו ועדות ביקורת נוספות וכו’. כל זה נעשה כדי לוודא שהכל כשורה לפני ה-25.5 ועל מנת לוודא שביכולתנו לענות לבקשות לקוחותינו הנובעות מזכויותיהם כמתואר בחוקי ה-GDPR, כמו “הזכות להישכח”.
כיצד אקטיב טרייל עוזרת לכם לעמוד בחוקי ה-GDPR
סביר להניח שהנושא שהכי מעניין אתכם כלקוחות אקטיב טרייל, הם המאפיינים והתכונות של המערכת שלנו ושמקלות עליכם לציות לחוקי ה-GDPR, כדלקמן:
זכויות הפרט:
למרות שייתכן מאד שכבר הטמעתם תהליכים, אולי אפילו בתוך מערכת אקטיב טרייל, המערכת שלנו יכולה לעזור לכם לוודא שבאפשרותכם לענות לבקשות של נמענים אשר נובעות מהרחבת זכויות הפרט במסגרת חוקי ה-GDPR.
- הכרת המידע אשר אתם אוספים לגבי הנמענים שלכם (הזכות לגישה).
- תיקוני מידע של משתמשי קצה (הזכות לתיקון) – ע”פ זכות זו, נמענים יכולים לבקש לתקן את המידע אודותיהם בכל זמן נתון. באפשרותכם לבצע תיקונים אלו עבור הנמענים שלכם, באמצעות מערכת הניהול באקטיב טרייל.
- בקשות מחיקה (הזכות להישכח) – בהתאם לזכות זו, הנמענים שלכם יוכלו לבקש הסרה מלאה של כל המידע שלהם מהמאגרים שלכם, בכל רגע נתון. אקטיב טרייל יגיבו מידית במידת הצורך, ולחלוטין נמחק את המידע והנתונים הנוגעים לאותם נמענים מהמערכת. במידה ואתם זקוקים לשירות זה, פנו בבקשה למחלקת השירות והתמיכה שלנו והם יבצעו את המחיקה.
- התנגדות לשימוש במידע (הזכות להתנגד)
- העברת מידע למערכת אחרת (הזכות לניידות) – אקטיב טרייל מספקת לכם כלים לביצוע ייצוא
(export) של כל מידע או נתונים שתרצו, מתוך המערכת שלנו למערכת אחרת שתבחרו, בכל רגע נתון. במידה ואתם זקוקים לשירות זה, נשמח לעזור לכם בתהליך. במידה ואתם רוצים שהמידע והנתונים שלכם יימחקו לחלוטין אחרי הייצוא, פנו בבקשה למחלקת השירות והתמיכה והם יבצעו את התהליך עבורכם.
הסכמה ועיבוד מידע:
חוקי ה-GDPR מפרטים בדיוק מה עליכם לעשות על מנת לאסוף ולעבד מידע אישי וכתובות דוא”ל של לקוחות ונמענים באופן חוקי. איסוף מידע של נמענים ובקשת הסכמה במעמד ההרשמה הם מהשימושים העיקריים שניתן לעשות במערכת אקטיב טרייל, ואנו מספקים אמצעים שיעזרו לכם לעמוד בחוקי ה-GDPR בהקשר זה:
- אקטיב טרייל מציעה לכם מערכת בניית דפי נחיתה וטפסים אשר יכולה לעזור לכם לאסוף מידע לגבי לידים ונמענים.
- כאשר אתם מעצבים את עמודי הנחיתה והטפסים שלכם, יש לוודא שבגוף העמוד או בתחתית שלו (footer) קיים גילוי נאות (disclaimer). עליכם להבהיר איזה מידע תרצו שהנמענים יספקו לכם ולהסביר בבירור איזה שימוש ייעשה במידע הנ”ל.
- תוודאו שאתם מבקשים ומקבלים את הסכמתם המלאה של הנמענים והנרשמים לכך שהמידע שהם מספקים יישמר ויעובד על ידכם.
- תמיד תספקו לנמענים וללקוחות שלכם אפשרות פשוטה לבחור ב”הסרה מרשימת דיוור” ו\או “שינוי הגדרות”, כדי שהם יצליחו בקלות להסיר הסכמה או לשנות את העדפות השימוש במידע שלהם. אקטיב טרייל מקלה עליכם בעניין זה על ידי קישור אוטומטי שמציע “הסרה” בתחתית כל דיוור.
- וודאו מול קהל הנמענים והלקוחות שלכם את הסכמתם, על ידי אפשרות ההסכמה הכפולה (Double Opt-In) שאקטיב טרייל מציעה. בהתאם לאפשרות זו, אתם יכולים לשלוח דוא”ל אישור הרשמה, מיד לאחר מילוי הטופס.
- שנו באופן מידי ובפשטות דרך הממשק שלכם כל מידע שנמען מבקש לשנותו במאגרי אקטיב טרייל.
- כאשר נמען או לקוח ממלאים ושולחים אחד מטפסי ההרשמה שבניתם באקטיב טרייל, המערכת שומרת את כתובת הדוא”ל, כתובת ה-IP וחותמת הזמן הקשורה למילוי ושליחת הטופס. מידע זה מספק לכם הוכחת הסכמה מידית.כך תוכלו לשמור את הוכחות ההסכמה של הנמענים שלכם ולשלוח להם דוא”ל שיווקי, לשמור ולהשתמש במידע האישי שלהם או כל סוג אחר של עיבוד מידע עליו קיבלתם הסכמה מלאה.
חשוב לזכור: חוקי ה-GDPR אינם מבדילים בין הסכמה שניתנה לפני כניסת הרגולציה ואחרי כניסת הרגולציה לתוקף. כלומר, הסכמתם של כל הנמענים באופן גורף צריכה להתאים לחוקי ה-GDPR.
לכן עליכם להיוועץ עם יועץ משפטי לגבי עמידה בדרישות החוקים של כל הסכמה שהתקבלה לפני ה-25 במאי, 2018. ייתכן ותאלצו לבקש הסכמה נוספת \ שונה.
הסכמה וחברות צד ג’:
אקטיב טרייל מציעה סוגים שונים של אינטגרציות עם מערכות, אפליקציות וספקים צד ג’, כל אלה מרחיבים באופן משמעותי את מרחב הפעולות שתוכל לבצע בתוך ובאמצעות אקטיב טרייל. רוב האינטגרציות כוללות העברה של מידע ונתונים מ/אל מערכות של חברות צד ג’, ועיבוד המידע נעשה במערכות אלה. במידה ואתם עושים שימוש באחת מהאינטגרציות הנ”ל, עליכם לשים לב שכל הסכמה שאתם מקבלים מנמענים, מאפשרת לכם גם להעביר את המידע ולעבד אותו מול מערכות של חברות צד ג’.
הצהרת הפרטיות שלכם:
כמשתמע מהנ”ל, עליכם לוודא שהצהרת הפרטיות שלכם משקפת שחלק מהמידע האישי של הנמענים והלקוחות שלכם יעבור למאגרינו ויעבור עיבוד על ידי חברת אקטיב טרייל. לדוגמא, אתם יכולים לשקול לעדכן את הצהרת הפרטיות שלכם כדי לשקף באופן ספציפי את העובדה שאקטיב טרייל משמשת כמעבד נתונים עבורכם ולציין כיצד אתם משתמשים במערכת אקטיב טרייל כדי לאסוף ולעבד מידע ונתונים אלה.
תוכלו למצוא את המסמך המלא לגבי חוקי ה GDPR בכל שפות האיחוד האירופאי בקישור הבא:
http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1465452422595&uri=CELEX:32016R0679
באנגלית:
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
להורדת המדריך