בתחילת מאי 2023 פורסמו תקנות ישראליות חדשות המטילות חובות חדשות על כל חברה שמקבלת מידע אישי מאירופה (תקנות הגנת הפרטיות [הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי], התשפ"ג- 2023).
התקנות חלות על כל החברות במשק, ובהן המלונות.
בתמצית:
התקנות קובעות חובות חדשות לגבי מידע קיים ומידע חדש שיגיע למלונות לגבי מאגרי המידע של המלונות המכילים מידע אודות האורחים (כמו גם אודות עובדים ואף ספקים ככל שקיי מידע אישי שלהם, שהוא מידע רגיש):
- חובת מחיקת המידע – ככל שהמידע אינו נחוץ עוד, נתבקש למחיקה ע"י נשוא המידע (למשל: ע"י האורח) או נתקבל במלון שלא כדין.
- מחיקת מידע עודף – בעל מאגר המידע צריך למחוק מידע שאינו נחוץ עוד למטרה לשמה נאסף, או להפוך את המידע לאנונימי.
- חובת דיוק מידע – בעל המאגר נדרש לוודא את נכונות המידע המוחזק אצלו, שלמותו ועדכונו.
- חובת יידוע – בעל המאגר נדרש ליידע את נשוא המידע, מיד לאחר שקיבל מידע אודותיו או לכל המאוחר עד חודש מיום שקיבל לידיו את המידע, על זהות בעל מאגר המידע ומנהל המאגר כולל פרטי התקשרות, המטרה לשמה נאסף המידע, סוג המידע שהועבר, זכויות נשוא המידע לעיון תיקון ומחיקה, וכו'.
"מידע רגיש" – כהגדרתו בחוק הגנת הפרטיות: נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו ועתה – גם חברותו בארגון עובדים ומוצאו של אדם;
בתקנות קבוע חלון זמנים של 3 חודשים בלבד להטמעת הדרישות והן מחייבות חברות לנקוט צעדים מיידיים כדי להיערך.
על רקע זה, מצ"ב לעיונכם עדכון קצר של משרד גורניציקי, בעברית ובאנגלית של הנושא:
אנו לרשותכם לכל שאלה בנושא,
עו"ד ניר קפלן.