הכללים חלים על בעלי/מנהלי הנתונים ( data controller), הגוף האוסף נתונים מתושבי אירופה או המעבד (processor) ארגון המעבד את הנתונים ארגון בשם בעלי/מנהלי הנתונים ( למשל ספק שרותי ענן) או מושא הנתונים ( person) הינו תושב אירופה . בנוסף, הכללים חלים על ארגונים שבסיסם מחוץ לאירופה, אם הם אוספים או מעבדים נתונים אישיים של תושבי אירופה.
בהתאם להגדרות הנציבות האירופית, "נתונים אישיים" הם כל מידע המתייחס לפרט, בין אם הוא קשור לחייו האישיים, המקצועיים או הציבוריים. זה יכול להיות כל דבר החל משם, כתובת ביתית, תמונה, מייל ועד לפרטי בנק, פוסטים ומידע ברשת חברתית, מידע רפואי, כתובת IP ועוד. הכללים אינם חלים על גופי ביטחון לאומי ואכיפת החוק, אבל דירקטיבה נוספת עוסקת בכל הקשור בנושא החלפת מידע אישי במסגרת פעילות משטרתית ואכיפת החוק הפלילי, תוך החלפת מידע בין רשויות בתוך ומחוץ לאירופה.
סט כללים אחיד יחול בכל מדינת האיחוד האירופי. כל מדינה תמנה נציבות בקרה (Supervisory Authority) שתפקידה לטפל ולחקור תלונות, להטיל סנקציות אדמיניסטרטיביות על חריגות, וכד'. ארגון או עסק שיש לו כמה בסיסים במדינות אירופה, תוגדר לו נציבות מובילה "lead authority" שתשתף פעולה עם שאר הנציבויות כדי להוות תחנת שרות אחת לארגון זה באירופה.
גוף הנקרא EDPB – European Data Protection Board יתאם בין כל הנציבויות ויחליף את קבוצת העבודה הקיימת Article 29 Working Party
הדרישה להסכמה מראש לאיסוף הנתונים נשארת ומורחבת. היא חייבת לכלול את תקופת שמירת הנתונים ומידע על אופן ההתקשרות למנהל הנתונים ולקצין הגנת הנתונים (data protection officer).
עיבודים אוטומטיים, כולל פרופיילינג, ניתנים לערעור. לאזרחים יש זכות לערער על החלטות הנוגעות להם, גם אם נעשו על בסיס אלגוריתמי בלבד.
על מנת שיוכל להראות ציות להוראת כללי GDPR , על בעל הנתונים ליישם שיטות שמראות ציות תוך כדי העיצוב וכברירת מחדל (privacy by design and default). חלק מכללים אלה כוללים צורך בהסתרת מידע- pseudonymizing של הנתונים (הסתרת נתונים תוך אפשרות שחזור מאובטח – בניגוד ל anonymization שם נאבד לחלוטין הקשר למקור) . מידע מוסתר עדיין נחשב למידע אישי.
באחריותו של בעל הנתונים ליישם כלים יעילים (effective) כדי להראות ציות של הפעולות והתהליכים לדרישות. הדבר נדרש גם אם עיבוד הנתונים נעשה על ידי גורם חיצוני (מעבד נתונים).
כאשר מתקיימים סיכונים לזכויות ולחופש של אנשים יש לקיים תהליך של הערכת סיכונים והשפעתם (impact assessment). התהליך הנ"ל מחויב במקרים של סיכונים גבוהים ואישור של רשויות ההגנה על נתונים (Data Protection Authorities ) נדרש במקרה זה. קציני GDRP - General Data Protection Officers נדרשים לאשר ציות תוך ארגונית.
יש למנות קציני GDPR עבור:
הסכמה מפורשת צריכה להינתן הן לאיסוף המידע והן למטרת האיסוף . ( לפי סעיף 7; כמוגדר בסעיף 4) . הסכמה עבור ילדים צריכה להינתן על ידי הורה הילד או האפוטרופוס, והיא צריכה להיות ברת בדיקה. בעלי המידע צריכים להיות בעלי יכולת להוכיח הסכמה והיא צריכה להיות ברת ביטול.
כאשר עיבוד הנתונים נעשה על ידי רשויות ציבוריות (פרט לבתי משפט או גופים משפטיים הפועלים בתפקידם השיפוטי, או בסקטור הפרטי) וכאשר מרכז הפעילות של בעלי או מעבדי הנתונים הוא טיפול שוטף וסיסטמתי של מידע על אנשים (data subjects), יש למנות אדם בעל ידע בחוקי הגנת המידע ובנוהלים המקובלים בנושא. אדם זה יסייע לבעלי ומעבדי הנתונים לנהל ולנתר את המערכות הפנימיות כדי שיצייתו לחוק. תפקידו של קצין GDPR , דומה לזה של קצין הציות (Compliance Officer). קצין GDPR צריך להיות בעל ידע ויכולת לנהל תהליכי IT, ביטחון מידע (כולל התקפות סייבר) ונושאים אחרים הקשורים להמשכיות עסקית ולאחזקת מידע אישי רגיש. הידע והכישורים כאן הם מעבר להבנת המשמעויות החוקיות והכללים בנושא.
מינוי קצין GDPR מהווה אתגר לכל הנהלה ומועצת מנהלים לאור מגוון הדרישות מהתפקיד. המחזיק בתפקיד כזה יצטרך לבנות לעצמו צוות תמיכה מקצועי והוא צריך להיות עצמאי מהארגון המעסיק אותו.
פרטים על הנושא ניתנו ב- 13 לדצמבר 2016 (revised 5 April 2017) יחד עם Google Spain SL, Google Inc. v Agencia Española de Protección de Dados, Mario Costar González.
GDPR מתייחס להסתרת נתונים כתהליך שבו נתונים אינם ניתנים לייחוס לאדם ספציפי ללא מידע נוסף. דוגמה לכך היא הצפנה - כאשר לא ניתן לפענח את המידע ללא מפתח ההצפנה. GDPR דורש שהמידע הנוסף, כגון מפתח ההצפנה, יוחזק במקום נפרד מהנתונים עצמם. הסתרת מידע מקטינה את הסיכון לפגיעה במידע או גילויו ומסייעת למנהלי המידע ומעבדיו לענות על הדרישות של החוק.
בעת פגיעה בנתונים, חייבים בעלי הנתונים להודיע לגורם המפקח ( Supervisory Authority) , ללא דיחוי , תוך 72 שעות מהתרחשות האירוע. אין להתייחס ל"קוטן האירוע" ויש לדווח על כל דבר. האנשים הנוגעים בדבר צריכים לקבל הודעה על כך אם = נקבעה שחלה השפעה שלילית ( ראה סעיף 34).
מעבד הנתונים חייב להודיע בנוסף , וללא דיחוי, לבעלי הנתונים.
אין צורך להודיע לאנשים אם המידע הנפגע הוא אנונימי או עבר הסתרה בתוספת צעדים טכניים וארגוניים הנדרשים (ראה סעיף 34).
הסנקציות הבאות ניתנות להפעלה על ידי הגורם המפקח:
הזכות להישכח הוחלפה בזכות להימחק, שהיא יותר מוגבלת. סעיף 17 מקנה לאדם את הזכות לדרוש מחיקה של מידע אישי הקשור אליו על בסיס מספר סיבות. בהן, אי עמידה בסעיף 6.1 ( חוקיות) שכולל מקרה שבו זכותו הלגיטימית של בעל הנתונים, פחותה מהאינטרס והזכויות הבסיסיות והחופש של האדם הדורש הגנה על מידע אישי ( ראה Google Spain SL, Google Inc. v Agencia Española de Protección de Dados, Mario Costar González )
אדם יוכל להעביר את המידע האישי שלו ממערכת עיבוד אלקטרונית אחת לאחרת, בלי שהדבר יימנע ממנו על ידי בעלי הנתונים. הדבר אינו כולל מידע שעבר אנונימיזציה שאינה מאפשרת זיהוי , אלא מידע שניתן לקשר לאדם ספציפי. מידע שסופק ישירות על ידי האדם והן מידע ש"נצפה" על ידי גורם נוסף כגון התנהגות , כלול בהגדרה זאת. בנוסף, נדרש מנהל המידע לספק את המידע לניוד בפורמט (מבנה) אלקטרוני סטנדרטי, פתוח ומוכר (Open Standard electronic format).
כאן דורש החוק שהגנת הנתונים תהיה מעוצבת כחלק מפיתוח התהליכים העסקיים של המוצרים והשירותים. כלומר, שנושא הפרטיות יהווה ברמת העיצוב הגבוהה ברירת מחדל וברמה הטכנית והתפעולית יינקטו צעדים על ידי בעלי הנתונים כדי להבטיח שכל התהליכים, מתחילתם ועד סופם, מצייתים לכללי GDPR. בעלי הנתונים יפעילו מנגנונים שיבטיחו שמידע אישי יעובד אך ורק לפי הצורך ולמטרות מוגדרות מראש.
דו"ח שנכתב על ידי ENISA - The European Union Agency for Network and Information Security מרחיב בנושא כל הנדרש להתבצע להשגת פרטיות והגנת מידע כברירת מחדל. הוא למשל מציין שהן מפתח הצפנה והן מפתח הפענוח חייבים להימצא מקומית בידי אותו גוף ולא בידי שרות מרוחק כדי להבטיח שמירת פרטיות. בנוסף, מצוין בדו"ח כי שמירת נתונים אצל ספק שירותי ענן חיצוני היא יחסית בטוחה, כל זמן שבעל הנתונים ולא מנהל שירותי הענן מחזיק את מפתח הפענוח.
רישום של כל פעולות העיבוד שנעשו יישמר, כולל הסיבות לביצוען. רישום זה יימסר לגורם המפקח (supervisory authority) לפי דרישה.
הצעת GDPR שוחררה ב-25 לינואר 2012 מתוך כוונה שתאומץ פורמלית בתחילת 2016.
הכללים נכנסו לתוקף אחרי פרסומם בעיתון הרשמי של האיחוד האירופי ב-4 למאי 2916 תוך ציון כניסתם לתוקף תוך שנתיים.
25 במאי 2018 הוא התאריך הרשמי לכניסתן לתוקף של ההוראות בכל מדינות אירופה.
בריטניה מצטרפת לחוקי הגנת המידע והפרטיות האירופייםבריטניה מצטרפת לחוקי הגנת המידע והפרטיות האירופיים
הסמכת קציני GDPR
רוצים להיות Certification of General Data Protection Officers? פנו אלינו