GDPR: האם העסק שלכם מוכן למהפכת הגנת הפרטיות של האיחוד האירופאי?

אחרי ארבע שנים של הכנות ובדיקות מדוקדקות – אישר סוף סוף הפרלמנט האירופי את הרגולציה של תקנות הגנת הפרטיות של האיחוד האירופי (General Data Protection Regulation), הידועה גם בשם GDPR . זוהי תקנה אבטחת פרטיות חדשה, המחליפה את התקנה הארכאית הקיימת (Date Protection Directive 95/46/EC), ומיועדת להסדיר את נושא האבטחה על מידע אישי ולהגדיר סטנדרטים ברורים שעל פיהם מחוייבים לפעול כל המדינות, הארגונים והעסקים באיחוד האירופי.

תקנות הרגולציה החדשות ייכנסו לתוקף החל מה-25 במאי 2018, ודורשות היערכות מקיפה נרחבת מצד ארגונים וחברות. הפרה של התקנות תגרור קנות וסנקציות מחמירות מאוד, בגובה של עד 4% מהמחזור השנתי, או 20,000,000 מליון יורו, הגבוה מבין השניים.

במדריך המקיף שהכנו עבורכם, אנו מביאים את ההיבטים העיקריים של ה- GDPR- מה כוללות התקנות החדשות, האם הן מחייבות גם חברות ישראליות, ואיך להיערך בהקדם ולהימנע מסנקציות מחמירות וקנסות של מיליוני יורו שיוטלו על מפירי החוק.

עקרונות הגנה על נתונים - GDPR

GDPR רחב היקף: על מי חלות התקנות החדשות?
תקנות ה-GDPR חלות על כל החברות וארגונים העושים עסקים עם מדינות השייכות לאיחוד האירופי, ובכלל זה, חברות, שבמסגרת השירותים או המוצרים שהן מספקות – אוספות, מעבדות, שומרות ומעבירות מידע אישי של אזרחי מדינות האיחוד האירופי. התקנות החדשות מחייבות למעשה כל ארגון המשתמש בצורה זו אחרת במידע אישי של אזרחי אירופה, לרבות ישראלים המחזיקים בדרכון אירופאי.
זהו שינוי משמעותי מאוד בתחום אבטחת המידע, שכן אם לפני החקיקה הנוכחית, תחום השיפוט הגיאוגרפי היה פרוץ ומעורפל, וכל מדינה באירופה החילה חוקים מקומיים משלה, הרי שכעת כל החברות יידרשו לחוק כלל אירופי אחיד ומחייב בכל הקשור להגנה על פרטיות המידע.
עפ"י התקנות החדשות, השליטה על המידע הפרטי חוזרת למעשה לידי האזרחים, ולעניין זה השלכות מרחיקות לכת, הן עבור אנשים פרטיים, ובוודאי עבור חברות וארגונים.
במילים אחרות, כל תאגיד, חברה או ארגון המאחסנים מידע אישי על תושבי האיחוד האירופי, או אם השרתים שלהם פועלים מאירופה, גם אם על שרתי ענן – יהיו כפוף לתקנות הרגולציה החדשות והמחמירות.

הזכות להסכמה
במסגרת התקנות החדשות, כל ארגון או חברה מחוייבים לקבל את הסכמתם המפורשת של המשתמשים לעשות שימוש במידע שלהם. נוסח ההסכם חייב להיות בולט, ברור וקל להבנה, ולא להסתתר עוד בתקנונים ארוכים וכמעט בלתי נראים. כמו כן, נוסח ההסכמה צריך לכלול את המטרה שלשמה נאסף המידע האישי ומה מתכוונת החברה לעשות בו – איזה מידע ייאסף, מה ייעשה בו, עם מי ישותף ואיך מגינים עליו.
בנוסף, חברות יחוייבו לעצב את מערכות עיבוד המידע שלהן כך שיותאמו לדרישות החוק המחמירות ("פרטיות על ידי עיצוב" ו-"פרטיות כברירת מחדל"). משמעות הדבר כי מנגנוני אבטחת המידע צריכים להיות מובנים בתוך המוצרים והשירותים עצמם עוד בשלב הפיתוח, ולהיות גלויים וברורים לכל.

הזכות להישכח
החלת תקנות ה-GDPR החדשות מחזירות את השליטה על המידע לידי המשתמש ויפעלו בצורה משמעותית הרבה יותר לטובת הפרט. בנוסף, הרגולציה החדשה מרחיבה מאוד את ההגדרה של מהו "מידע אישי", כשמהיום כלולים בה אלמנטים רבים יותר, בהם: שם פרטי ומשפחה, מספר חשבון בנק, כתובת מגורים, מידע רפואי, תמונות, סרטונים, כתובת מייל אישית, כתובות IP, מספרי מובייל, מזהי כרטיסי SIM, קובצי cookie של האתר, נתונים ביומטריים ומטה-דאטה רבים נוספים.

כך, אם לפני החלת ה- GDPR השתמשו ארגונים בטכנולוגיות חכמות כדי ליצור פרופילי משתמשים אוטומטיים שבעזרתם יכול להציע להם פרסומות/שירותים או מוצרים מותאמים עפ"י המידע שנאסף אודותם – הרי שכעת תעמוד למשתמש הזכות להתנגד לאיסוף מידע לצורך יצירת הפרופיל.

בקשר זה מעניין להתעכב על סעיף 17 בתקנות החדשות הכולל את המושג "הזכות להישכח" (right to be forgotten). פירוש הדבר הוא שארגונים וחברות יחוייבו למחוק כל נתון אישי של משתמש ממאגר הנתונים, גם במקרים בהם המידע נמצא ברשות החברה שנים רבות

זאת ועוד, ה- GDPR מכיל גם את סעיף "ניידות המידע", במסגרתו למשתמש תהיה זכות לקבל את כל המידע האישי שנאסף אודותיו ע"י מנועי החיפוש או מידע שהוא סיפק ברשת בעצמו.

שינוי משמעותי נוסף הוא כי במקרים בהם התגלתה פרצת אבטחה שגרמה לדליפה או גניבה של מידע אישי – על החברה לדווח על כך לרשות הפיקוח המקומית בתוך 72 שעות לכל היותר.

אכיפה מחמירה וקנסות במיליוני יורו
אי עמידה או הפרה של תקנות ה-GDPR עלולים לגרור סנקציות חמורות וקנסות גבוהים יותר מאי פעם. על פי לשון החוק, על חברות שיפרו את התקנות יוטלו קנסות באחת משתי רמות: הפרות קלות יחסית יגררו קנסות של כ-10 מיליון יורו או 2% מההכנסה השנתית של החברה; בעוד הפרות חמורות יותר יגררו קנסות של כ-20 מיליון יורו, או 4% מההכנסות השנתיות (הסכום הגבוה מבין השניים). התקנות עצמן, כאמור, צפויות להיאכף כ"חוק אוניברסלי אחיד שיחול על כל החברות שעושות עסקים עם חברות הפועלות באיחוד האירופי".
בתוך כך, בשבועות האחרונים, פקידי האיחוד האירופי החלו לחשוף את תקנות הרגולציה החדשות, ונדמה שרבים מהארגונים אינם מוכנים ליישם אותן במלואן. כך למשל, הרשות להגנת נתונים של צרפת, ה-CNIL, העלתה כמה דוגמאות להפרות אבטחה, כמו גם מדינות אחרות באיחוד האירופי. אפילו חברות בארה"ב, שחלקן כלל לא ראו עצמן קשורות לחקיקה החדשה, יצטרכו עכשיו להתחיל להתכונן.
יחד עם זאת, אופן האכיפה בפועל עדיין לא ברור עד הסוף. מצד אחד, ספקי פתרונות אבטחה מזהירים מההשלכות החמורות ונוקטים במדיניות הפחדה במטרה להציע לחברות השונות את שירותיהן היקרים. מצד שני, פקידי ממשלה מרגיעים כי אכיפה מעשית של ה-GDPR תהיה מסע מתמשך ומורכב, והיא לא תהווה מלכודת מהירות עבור עסקים וחברות.
את המצב העדכני ביותר מסכם עורך דין שאנון יאבורסקי, המעורב בסיוע לחברות לעמוד התקן החדש, שאמר למגזין The Verge כי: "אנחנו יודעים בערך איך אמורה להיראות ההתאמה של התקנות, אבל אנחנו עדיין לא יודעים איך תיראה האכיפה או כמה הפיקוח הרגולטורי של האיחוד האירופי יהיה מחמיר וקפדני".
אם נתייחס לדבריה של אליזבת דנהם ממשרד נציב המידע (ICO), הרי שהקנסות הם המוצא האחרון של תהליך הרגולציה. דנהם,יחד עם גורמים רשמיים אחרים, טוענת כי "המטרה של ה-GDPR היא להבטיח יחס הוגן ככל האפשר גם כנגד אלה שאינם עומדים בסטנדרט. בתחילה נזהיר, אח"כ נמליץ לתקן את הלקויים, ורק לבסוף ניתן קנסות למי שחטא בהפרות חמורות".

איך מתכוננים ליישום התקנות: שיטות עבודה מומלצות
עמידה בדרישות החוק החדשות מצריכה היערכות מקיפה של חברות וארגונים וחברות. המדריך GDPR Best Practices Guide מדגיש מספר נהלים ותפקידים שיהיו אמונים על יישום מוצלח וימנעו הפרות בעייתיות.
כעיקרון, המתודולוגיה מורכבת משלושה שלבים – הכנה, הפעלה ותחזוקה – כשכולם ביחד וכל אחד לחוד יסייעו לממש את מטרת העל – "אחריות מתמשכת ויישום מלא של עקרונות ה-GDPR".
השלב הראשון הוא להכין את הארגון שלכם לאימוץ תקנות הרגולציה החדשות באמצעות הכשרת צוותי הדרכה ובניית סגל מקצועי שמסוגל לאכוף את הכללים ולזהות פונקציות רלוונטיות שעלולות לשבש את מדיניות אבטחת המידע
השלב שני הוא שלב תפעולי, שבו הצוותים יקבלו אינפוטים מעשיים, יערכו בדיקת נאותות, יתעדו ויתנו מענה לסוגיות השונות שיתעוררו בעקבות החלת התקנות החדשות
בשלב השלישי, ובמידה וכל השלבים האחרים הושלמו כראוי, יש להתמקד בתחזוקה שוטפת של היישום, תוך ביצוע הערכות תקופתיות ומציאת פתרונות גמישים לכל אורך הדרך

בנוסף מומלץ לפעול גם על פי ההנחיות הבאות:

  • מינוי קצין אבטחת מידע שיהיה אחראי על ציות כללי הרגולציה החדשים, ויהיה בידיו את כל הידע והיכולת להנחות, להדריך ולייעץ בכל הקשור להשלכות התקנות על הארגון
  • עדכון ורענון של נהלי החברה בתחום מדיניות הפרטיות ואבטחת המידע, תוך יישום מלא של הדרישות – פרטיות ע"י עיצוב, פרטיות ע"י ברירת מחדל, הזכות להסכמה וכו'
  • חיזוק התרבות הארגונית בהתאם לדרישות החוק ותוך קיום הדרכות לעובדים רלוונטיים
  • פיתוח מדיניות שקופה ואחראית, תוך פילוח כל המידע הקיים ברשותכם, תיעוד ההיסטוריה שלו ומחיקת מידע לא רלוונטי על המשתמשים שנאסף על ידי החברה

כיצד GDPR ישפיע על מלונאים?
ה- GDPR ישפיע על מלונאים ועל עסקים בתעשיית האירוח באותה הדרך שהוא משפיע על כל התעשיות האחרות. שיווק לאורחים יהיה צריך מעכשיו לכבד שורה של חוקים כדי להתאים לתקנות החדשות, והאינפוגרפיקה של קואליציית ה- GDPR המובאת להלן, מסכמת היטב את הכללים:

איך GDPR ישפיע עלי

 

GDPR כמנוף לחדשנות
בעוד שארגונים וחברות רבים רואים בסוגיית ה- GDPRמשימה מורכבת ויקרה, ומביעים חשש כי הדבר ישפיע לרעה על טכנולוגיות חדשות כמו בינה מלאכותית (AI) – מומחים רבים מצביעים על הרגולציה דווקא כמנוף פוטנציאלי לעידוד חדשנות, ומציינים כי התנגדות לחוק החדש מתעלמת בסופו של דבר מזכותו של האזרח לפרטיות ועלולה ליצור לחברה תדמית שלילית, כמי שמעוניינות לעשות רווחים על גבו האזרח הקטן.

הנה כמה דרכים שבהן הרגולציה החדשה יכולה ליצור דרכים מקוריות שטרם נראו בכל הקשור לפיתוח חדשנות ומצוינות:
חדשנות בשקיפות מלאה: תהליכים חדשניים שייושמו בהתאם לכללי הרגולציה החדשים – יהיו מסודרים ומאורגנים יותר ויעמדו תחת מגבלות החוק. כך למשל, היקף המידע האישי שייאסף, יעובד וישותף – יוביל לשקיפות רבה יותר אל מול הלקוחות, וייצור אמון גבוה יותר בינם לבין הארגון. בתרחיש שבו לקוח נמנע מקבלת שירותים על ידי שימוש באלגוריתמים או AI, הוא צריך למעשה גישה לאדם שמסוגל להסביר לו את המצב. ללא יישום מלא של תקנות ה- GDPR- סוג זה של אמינות כמעט ולא יהיה קיים, אולם בזכותו תינתן לצרכן שקיפות מלאה שתגביר את אמונו.

פרטיות על ידי עיצוב: האסטרטגיה החדשנית מטמיעה את השמירה על פרטיות המידע בתוך המערכות כשהן עוד מצויות בשלב הפיתוח או כשהן עולות בגרסה חדשה. למעשה, אסטרטגיה זו מאלצת ארגונים להשקיע בעיצוב מערכות איסוף ועיבוד מידע תוך התאמתן לתקנות החוק המחמירות, ותוך שימוש בטכנולוגיות המגנות על פרטיות המידע. דבר זה יוביל לרעיונות חדשניים ויצירתיים וביכולתו להקטין את העלויות העתידיות. הנה כמה דוגמאות המחזקים טענה זו:

  • זיהוי מוקדם של בעיות פוטנציאליות ומציאת פתרון פשוט וזו יותר, מאשר דחיית הטיפול לשלב מאוחר יותר
  • פיתוח מודעות ארגונית עמוקה יותר לשמירה על פרטיות המידע, שתהווה חלק בלתי נפרד מהתרבות הארגונית
  • יצירת כלים מובנים למניעת פגיעה בפרטיות, תאפשר למפתחים ליצור תהליכים יעילים יותר לטיפול בסוגיות הקשורות ב-GDPR
  • בניית מסגרות עבודה תומכות שתסייע לארגונים להפחית את הסיכון להפרות ופרצות אבטחה

פרטיות על ידי עיצובפרטיות על ידי עיצוב. מתוך https://www2.deloitte.com

ליישום תקנות ה- GDPR ישנם יתרונות רבים נוספים, אולם יצירת אבטחת פרטיות מקצה לקצה לבדה היא חדשנית מספיק עבור ארגונים שצריכים לאמץ את הרעיונות הללו בהתחייב מהחוק. מחקר שפורסם לאחרונה על ידי Deloitte מציג את ה- GDPR כפוטנציאל שיביא לשינוי חיובי: "אבטחת הפרטיות בכל שלב של מסירת המידע – איסוף, שימוש, שימור, אחסון, סילוק או מחיקה – חיוני כדי למנוע הסתבכויות משפטיות, מאפשר שמירה על ציות לתקנות, ומספק הגנה על המותג שלכם ושמירה על אמון הלקוחות".

על קצה המזלג: עיקרי תקנות ה- GDPR לאבטחת הפרטיות

  • חוק כלל אירופאי אחיד: החוק האוניברסלי יחול על כל חברה או ארגון שעושה עסקים או מציע שירותים לחברות במדינות האיחוד האירופי. כמו כן יחול החוק על כל ארגון המשתמש במידע אישי של אזרחי האיחוד, לרבות ישראלים המחזיקים בדרכון אירופאי
  • הזכות להסכמה: כל חברה מחוייבת לקבל הסכמה מפורשת של המשתמשים לעבד את המידע שלהם. נוסח ההסכם חייב להיות בולט, לא להסתתר מאחורי תקנונים ארוכים, וכן לכלול את המטרה שלשמה נאסף המידע ואיך מתכוונת החברה להגן עליו
  • הזכות להישכח: ארגונים וחברות יחוייבו למחוק כל נתון אישי של משתמש ממאגר הנתונים שלהם, גם במקרים בהם המידע נמצא ברשות החברה שנים רבות
  • ניידות המידע: למשתמש תהיה זכות לקבל את כל המידע האישי שנאסף אודותיו
  • פרצת אבטחה: פרצת אבטחה שגרמה לגניבה של מידע אישי תדווח ע"י החברה לרשות הפיקוח המקומית בתוך 72 שעות לכל היותר
  • אכיפה מחמירה: חברות שלא יעמדו בתקנות האבטחה החדשות חשופות להטלת קנסות בגובה של עד 4% מההכנסות השנתי שלהן, או 20 מיליון יורו, הגבוה מביניהם

אין תגובות למאמר

עדיין לא נכתבו תגובות.

כתוב תגובה

שדות חובה מסומנים בכוכבית (*)