פרטיות היא זכות יסוד בחוק: ״כל אדם זכאי לפרטיות ולצנעת חייו״

בתחילת שנת 2016 הסכימו האיחוד האירופי וארה"ב על הסדר Privacy Shield – ״מגן הפרטיות״ הסדר משפטי ופוליטי חדש שנועד להחליף את Safe Harbor כאשר הרעיון הוא מנגנון הלימות (adequacy) מיוחד שגובש בין האיחוד האירופי לבין ארצות הברית החל על חברות שהתחייבו לעמוד בדרישותיו. בסיס ההסכמה היתה התפיסה כי החקיקה האמריקאית עומדת ברף ההגנה על מידע אישי הנדרש בהוראות רגולציית האיחוד האירופי (GDPR) והאמנה האירופית לזכויות האדם. מנקודת המבט של האירופאים, ההסדר נפסל ותוקפו בוטל עם פסיקת בית הדין הגבוה של האיחוד האירופי  בפסק הדין שרמס 2 , בעיקר בשל השימוש של סוכניות המודיעין האמריקניות במידע אישי מכוח דיני הביטחון הלאומי בארצות הברית

חברה אשר מבצעת פעולה או אוסף של פעולות במידע אישי הנוגע לנושאי מידע ממדינות האיחוד האירופי כגון שמירת המידע האישי, שימוש במידע, שיתוף המידע בתשדורת, מחיקה, עריכת שינויים במידע, הפצת מידע אישי, סידור המידע ועוד תחשב כחברה אשר חלה עליה החקיקה להגנת נתונים של האיחוד האירופי ומשכך עליה להיערך באמצעות הכנת תוכנית ציות מתאימה שבין היתר כוללת את אפשרות ההוכחה להציג בין היתר באמצעים אלקטרוניים את הראיות לכך שהפעילות מבוצעת על פי הוראות הדין, בהתאם לדרישת הרגולציה מבעל השליטה במידע

 GDPR תקן 

או בשמו היותר מדוייק - רגולציית הגנת הפרטיות/ הגנת הנתונים של האיחוד האירופי, מסדיר את אופן הציות בנושא

בכל הנוגע לדיני הגנת הפרטיות, קיים קשר רגולטורי בין מדינת ישראל לבין האיחוד האירופי אשר ידוע כהסדר  adequacy decision בעגה המקצועית ומשמעותו היא  ההבנה כי חברה ישראלית אשר מקפידה על עמידה בדיני הגנת המידע והגנת הפרטיות הישראליים תיחשב כחברה שניתן להעביר אליה מידע אישי של אירופאים באופן כללי  (הכרה אירופית משנת 2011 על בסיס תאימות לדירקטיבה להגנת מידע אישי) ובכפוף לדרישות נוספות בהתאם לרגולציית הגנת המידע האירופית הכללית GDPR

CCPA תקן אמריקאי

התקנות האמריקאיות חלות על חברות המבצעות עסקים  במדינת קליפורניה   CCPA  

המושג הנדסת הפרטיות או בשמו המוכר יותר עיצוב לפרטיות מתייחס להטמעת תהליכים וכלים עוד בשלבי פיתוח המוצרים/ שירותים הכוללים איסוף/ עיבוד מידע אישי של נושאי מידע הן בשל יישום עקרונות ומניעת חשיפה רגולטורית בנושא הזכות לפרטיות והן בשל יישום עקרונות ומניעת חשיפה רגולטורית בנושא הגנת המידע, לדוגמא הטמעת שיקולי פרטיות ואבטחת מידע בתוך מערכות ממוחשבות בשלבי העיצוב, התכנון והשימוש באופן שאינו מוסף כתוסף, אלא בנוי כחלק הכרחי של המערכת, להבדיל מן המושג ״טכנולוגיות מקדמות פרטיות״ אשר ניתן להוסיפן למערכת קיימת גם כטלאי, מה שלא עונה על הגדרת הנדסת הפרטיות בהתאם לדין 

אירועי כופרה, דלף מידע, הפסדי עתק, פשיטת רגל של חברה ותביעות ייצוגיות הם רק חלק מתרחישים הקשורים באופן ישיר להתממשות סיכוני פרטיות במידע. מטרת סקר השפעה על הפרטיות היא להקטין את הסיכון לפגיעה בפרטיות במידע כמו גם סיוע בהטמעת עקרונות של הנדסת הפרטיות בהגנה על מידע אישי. תסקיר השפעה על הפרטיות המיושם בארגון בשלבים מוקדים מסייע למנוע התממשות סיכוני פרטיות כגון מהימנות המידע, רלבנטיות המידע, תקופת אחסון מידע שלא לצורך/ למטרה שבגינה נאסף המידע, שימוש במידע והעברתו לצד שלישי ללא הסכמת מושא המידע ועוד

עורכי דין, רו״ח, יועצי מס, יועץ פנסיוני, פסיכיאטרים ובעלי מקצוע נוספים עליהם חלה חובת סודיות בין אם על פי דין ובין אם מכוח הוראות אתיקה מקצועית, המנהלים מאגר מידע מוחרגים מהגדרת ״מאגר מידע המנוהל בידי יחיד״ ונדרשת בחינה לעניין רמת האבטחה על מאגר המידע המחוייבת מכוח תקנות הגנת הפרטיות

במידה ואתם שומרים מידע פרטי על לקוחות/ ספקים/ עובדים וכו׳ כגון שם פרטי, שם משפחה, תאריך יום הולדת, כרטיס אשראי ועוד ולנתונים יכולים לגשת עד 3 משתמשים (כולל בעל העסק) - ייתכן ומדובר ב-״מאגר המנוהל בידי יחיד״ כהגדרתו בתקנות הגנת הפרטיות וחלות עליכם חובות בהתאם לדין כגון הכנה ותחזוקה של מסמך מפורט בנוגע למאגר המידע, אבטחה פיזית של מאגר המידע, הגנה על מאגר המידע באמצעות  זיהוי ואימות משתמש, תיעוד אירועי אבטחת מידע, הגבלת גישה למאגר מהתקנים חיצוניים ועוד

סעיף 46  לחקיקה להגנת נתונים של האיחוד האירופי עוסק באיסור העברת המידע האישי של  אירופאים אל מחוץ לגבולות האיחוד אלא אם מתקיים אחד החריגים הנקובים בו כגון העברת מידע למדינה שהוכרה בידי האיחוד כמספקת רמה נאותה של הגנה למידע אישי של אירופאים או העברת המידע אל מחוץ לשטחי האיחוד נסמכת על חוזים בנוסח שאושר בידי נציבות האיחוד האירופי