מה חשוב לדעת על תקנות אבטחת המידע והפרטיות באירופה?

אז מה זה GDPR?

רגולצית הגנת המידע והפרטיות באירופה היא תוצר של שנים של עבודת המחוקק האירופי. תחילתה בפרשת סנואודן ומטרתה להחזיר את השליטה במידע האישי שלנו, לידינו (כמובן אם אנחנו גרים באירופה).

הרגולציה מעניקה לאנשים שליטה על המידע אודותיהם, איסופו, העברתו לאחרים וכל יתר צורות השימוש בו. אולם באותה מידה ממש היא גם מטילה חובות משמעותיות על עסקים, שיהיו צריכים להתאים עצמם לחובותיהם ברגולציה.

רגולציה זו, שנכנסת לתוקף בסוף חודש מאי 2018, כמוה כחוק מחייב בכל מדינות אירופה.

“מה אכפת לי. אני עסק בישראל, לא באירופה”

מרבית המנהלים ובעלי העסקים הישראלים פוטרים את הרגולציה במשפט זה, ואינם פועלים להתאמת עסקיהם לדרישותיה.

לצערי, מסקנה כגון זו עלולה להתברר כמלכודת פתאים שתגרום לנזקים וקנסות כבדים ואף לחיוב אישי של המנהלים ואנשי המקצוע שיחשבו כרשלנים.

ה-GDPR מחילה את עצמה בראש וראשונה על חברות שיש להן פעילות באירופה. “פעילות באירופה” כוללת גם קיומם של משרדים, אנשי מכירות, נציגים וכדומה, אך לא רק. גם אתר בשפה אירופית, תשלומים במטבעות אירופיים או מכירת מוצרים לכתובות אירופיות ואף יתכנו נסיבות אחרות שגם הן תחשבנה כפעילות באירופה.

מעבר לכך, גם חברות שמנטרות ואוספות נתונים על פעילות המשתמשים באירופה באתר החברה, יהיו כפופות לרגולציה.

סוגי העסקים הכפופים ל-GDPR

הרגולציה מבחינה בין שני סוגי עסקים עליהם היא חלה. האחד הוא הגוף אוסף המידע (“בעל מאגר המידע” כהגדרתו בישראל), אשר מחליט איזה מידע יאסף וממי,  למי יועבר ובפני מי יחשף ואילו שימושים יעשו בו. גוף זה קרוי ברגולציה Data Controller.

למולו מצויים מעבדי המידע (ה-Data Controllers), אשר בפועל מבצעים את הנחיותיו של בעל מאגר המידע ביחס למידע אותו אסף

לכל אחד מגופים אלו היקף חובות ואחריות שונה, שחשוב להבינם ורם נבדוק מה החובות המוטלות על העסק שלכם לפי ה-GDPR.

כלל המוצא – יש לאמץ התנהגות שונה מהרגיל ביחס למידע הנאסף

“מה ההודעה שאני צריך לתת למשתמשים שלי כדי לעמוד ב-GDPR?” היא המלכודת הראשונה שעומדת בפני עסקים שפונים ליעוץ משפטי בנושא.

עסק שכזה לא הפנים את אורח המחשבה הנדרש לפי הרגולציה, ועשוי למצוא עצמו במיצר.

שני עקרונות בסיסיים חייבים להנחות את כל פעילותכם בעסק שלכם ביחס למידע ואלו הם: 1. הפרטיות כחלק מתכנון המוצר או השירות (Privacy by Design); 2. הפרטיות כברירת מחדל (Privacy by Default)

עקרונות אלו משמעם ששיקולי הגנת ואבטחת המידע והפרטיות צריכים לקחת חלק פעיל בכל שלבי התנהלותו של העסק שלכם, החל מתכנון המוצר או השירות, עבור בהתנהלותכם היומיומית (שלכם ושל עובדיכם) וכלה באופן הפעילות והשימוש שלכם ושל המוצר שלכם במידע האישי הנאסף.

GDPR

טוב, אז מה עלי לעשות?

תקצר היריעה במסמך קצר שכזה כדי להנחות באופן מלא כיצד חובה על עסק להתנהל לפי ה-GDPR.

עם זאת, ישנם מספר עקרונות מהותיים שחשוב שתהיו מודעים להם ותפעלו לפיהם:

  1. עקרונות החוקיות, ההגינות והשקיפות: פעלו בהתאם לחוק (האירופי), פעלו בצורה מאוזנת והגונה, שיקלו גם את פרטיות המשתמשים כחלק מהשיקולים העסקיים שלכם ואל תסתירו נתונים חשובים ממי שאתם אוספים מידע ביחס אליו. מיצאו מה מבין הבסיסים החוקיים המפורטים ברגולציה מתאים למטרה לשמה אתם אוספים את המידע הספציפי והתאימו את עצמכם אליו. אחרון – הציגו בפני המשתמשים ונשואי המידע את זהותכם ואת מכלול פעולותיכם במידע, באופן מלא, בולט ומובן.
  2. עקרונות הגבלת המטרה, מיזעור המידע והגבלת האחסון: כל איסוף מידע ספציפי חייב שיהיה מבוסס במטרה שקבעתם לפי הסעיף הקודם. אל תאספו מידע מעבר לנדרש לפי המטרה, וכשהגיעה המטרה לסיומה – מיחקו את המידע ואל תשמרו אותו עוד. אל תדרשו מידע שאינו הכרחי לצורך המטרה.
  3. עקרון הדיוק: דאגו שהמידע בידיכם ישאר תמיד מעודכן, מלא ונכון.
  4. עקרון אבטחת המידע: אבטחת מידע חייבת להתבצע לאורך ארבעה תחומים עיקריים: אבטחה טכנולוגית (דוגמת חומות אש ואנטי וירוס), אבטחה משפטית (דוגמת ניסוח נכון של ההודעות על האיסוף, נוסח ההסכמה, מדיניות הפרטיות שלכם למשתמשיכם ונוהל הפרטיות המוטל על עובדיכם), אבטחה ארגונית (דוגמת נהלים לטיפול בפניות אזרחים ביחס למידע והדרכה של עובדיכם) ואבטחה פיזית (דוגמת סורגים בחדרים הרגישים וארונות נעולים המחזיקים מידע רגיש).
  5. עקרון הסודיות והאחריות: וודאו שכל עובדיכם וכל מי שאתם עובדים איתו מודעים לחובות הרגולציה ומחוייבים לעמוד בהן (ואף עומדים בהן בפועל). דאגו שלא יהיה מידע כלשהו שיגיע לידיעת מישהו שאינו כפוף לחובות הרגולציה, שכן תקלה שתיווצר בהתנהלותו – תוחל עליכם.

מה זו הסכמה לפי ה-GDPR:

לא נוכל לסיים ללא תשובה מהירה לשאלה שמטרידה גופים עסקיים ללא הפסק, והיא – כיצד מקבלים הסכמה לפי ה-GDPR?

הסכמה חייבת להתקבל בפעול אקטיבית, ישירה שבוצעה על ידי נשוא המידע ותועדה על ידיכם. פעולה זו חייבת להנקט לאחר שכל המידע המחוייב ברגולציה נמסר למשתמש ותוכנה חייב להיות אישור אקטיבי של כל הפעולות המהותיות של איסוף המידע והשימוש בו שאתם מבקשים לבצע.

אסור שההסכמה תופיע בקופה מסומנת מראש, ואסור שהיא תהיה מותנית בתנאי כלשהי (למשל: “לא תוכלו לקבל את השירות אם לא תיתנו לנו את כל המידע אותו אנחנו מבקשים” אינה הסכמה כדין אם המידע המבוקש אינו מחוייב לצרכי אספקת השירות).

אחרון חשוב להדגיש – המערכת הטכנולוגית שלכם צריכה להיות יכולה לתעד את נוסח ההסכמה וההודעה שהוצגו בפני כל לקוח, את עצם פעולת ההסכמה שלו וכמובן להיות כזו שלא ניתן לשנותה וללא מעקב, בדיעבד.

סוף דבר

אסיים ב”צפירת הרגעה”. הרשויות האירופיות הבהירו כי מטרתן העיקרית בשלב הראשון הינה לגרום לכמה שיותר עסקים לגיטימיים לפעול בהתאם לרגולציה שנקבעה. עסק שיתאמץ, ויתאים עצמו לרגולציה, ימצא במצב מועדף לעומת עסק שיבחר להתעלם וימתין עד לתביעה הייצוגית או לתלונה בפני רשויות האכיפה האירופיות.

לכן, הקדימו את המאוחר; לימדו את הנושא; בידקו האם אתם כפופים לרגולציה ואם כן – קבלו החלטה כיצד ברצונכם להתקדם.

כל התקדמות שתאמצו שתקדם אתכם לקראת התאמה לרגולציה,תפעל לטובתכם בעת צרה. ככל שתתאמצו יותר להתאים את עצמכם, כך הסיכון שיוטל עליכם בהתנהלות היומיומית יהיה נמוך ככל הניתן.

בהצלחה.

מאת: יורם ליכטנשטיין, עו”ד ומוסמך הגנת פרטיות ומידע לפי הדין האירופי, CIPP/E.