מהפיכת ה-GDPR כבר בעיצומה ובארץ יש עדיין ארגונים רבים שמתעלמים ממנה, בין השאר משום שמנהלי משאבי האנוש משוכנעים שלארגון שלהם אין קשר ל-GDPR, וכי כאב הראש הזה הוא בעייתם של הארגונים הגדולים בלבד. האמנם?
רוב הסיכויים שגם אם בארגון שלכם יש פחות מ-50 עובדים, לפחות כמה מהם הם בעלי אזרחות באחת ממדינות אירופה. ורוב הסיכויים שמתישהו במהלך העשור האחרון קיבלתם קורות חיים דיגיטליים ממועמדים שהם אזרחי אחת ממדינות האיחוד האירופי. ומכיוון שכך, הרי שאם לא תצייתו לתקנות ה-GDPR, אתם עלולים לקבל מבול של תביעות שעלול להסתיים בסכומים שיכולים להביא אתכם לסגירת העסק.
בארה"ב עסקים קטנים כבר מתארגנים לציות ל-GDPR
אם נביט על מה שקורה בארה"ב נראה, כי גם בעלים של עסקים קטנים בארה"ב מבינים שהם חייבים להציב גבוה בסדרי העדיפויות שלהם את העמידה בתקנה הכללית להגנה על נתונים (GDPR).
כל הארגונים, קטנים כגדולים, חייבים להיות מתואמים עם תקנות ה-GDPR, בכל הקשור לתהליכים ומסמכים, בלי קשר למיקומו הגיאוגרפי של הארגון ולמקום מגוריהם של עובדיו.
יתרה מכך, התאימות מול תקנות ה-GDPR עלולה להוות גורם מכריע במיוחד עבור בעלי עסקים קטנים שהיקף המשאבים שלהם קטן בהרבה מזה של הגדולים.
תקנות ה-GDPR קובעות את הדברים הבאים:
1 כל אדם או ארגון המעורבים בעיבוד נתונים השייכים לאזרחי האיחוד האירופי, כולל גופים מצד שלישי המעורבים בעיבוד נתונים, עלולים לשאת באחריות לפרצה.
2 כאשר עובד או מועמד בעלי אזרחות אירופית שמסרו נתונים על עצמם, כולל קורות חיים דיגיטליים, החליטו שהם כבר אינם מעוניינים שהחברה לה מסרו את הנתונים שלהם, תעבד את הנתונים שלהם, הנתונים חייבים להימחק.
3 כל חברה, בכל גודל ומספר עובדים, חייבת להודיע לרשויות על כל הפרה חמורה של הנתונים (השייכים לעובדים או מועמדים שהם אזרחי האיחוד האירופי) בתוך 72 שעות מזיהוי או איתור ההפרה.
4 אם במאגרי המידע שלכם שמורים נתונים השייכים לילדים מתחת לגיל מסוים, בין אם נאספו באמצעות הרשתות החברתיות או באמצעים אחרים, נדרשת הסכמת ההורים בכתב (כלומר הסכמה לשמירת הנתונים, עיבודם, הצלבתם ועוד).
5 לעובדים ומועמדים יש זכות לדרוש את ניידות הנתונים כדי לאפשר להם להעביר את הנתונים שלהם בקלות מארגון אחד לאחר.
ברמה העקרונית, חברות שאוספות נתונים על מועמדים פוטנציאליים, בין אם זה ברשתות החברתיות או מכל מקור אחר, יצטרכו, במוקדם או במאוחר, למנות מנהל הגנה על נתונים שתפקידו יהיה לוודא כי הנתונים השייכים לאזרחי האיחוד האירופי מעובדים, נשמרים, מוצלבים וכו, על פי כל כללי ה-GDPR.
עם זאת, במקרה של ארגון קטן המעסיק 50 עובדים או פחות מכך, כלומר, כמויות הנתונים האישיים שהארגון מעבד ושומר אינן גדולות מאוד, הרי שיתכן שכדי לעקוב אחר מידת עמידתו של הארגון בכללי ה-GDPR לא יהיה צורך במנהל הגנה על נתונים במשרה מלאה. ולמרות זאת, כדאי מאוד לקבל יעוץ מבעלי מקצוע בכל הקשור להגנה על הנתונים, עיבודם, אחסונם וכו באופן שהארגון יעמוד בתקנות ה-GDPR ויהיה חסין מפני תביעות.