רגולציית ה-GDPR – שילוב חדש בין אבטחת מידע ופרטיות
עו”ד יובל ריינפלד, דוקטורנט
תחום אבטחת המידע והגנת הפרטיות עבר שינוי משמעותי עם חקיקת הרגולציה האירופית General Data Protection Regulation (GDPR) שנכנסה לתוקף בשנת 2018, הרגולציה יצרה מפגש בין שני ענפים אשר בעקבות הרגולציה, שיתוף פעולה הדוק וקוהרנטי ביניהם הינו דבר מחייב – אבטחת מידע ופרטיות. אבטחת מידע אינה המצאה של העשור האחרון, חשיבות אבטחת מידע הועלתה עוד בשנות ה-80 של המאה הקודמת כאשר היה ברור שעם המצאת המחשב והחידושים שהביא עמו, ישנו צורך להגן על פלטפורמה זו מפני סכנות. בשנות ה-90 וירוסים ותוכנות זדון החלו לצוץ ועולם האבטחת המידע מאז מצוי בנסיקה מתמדת וחשיבותו כנדבך במערך של חברות אינה ניתנת לערעור. יחד עם זאת, אבטחת מידע במתכונתה דאז, שמה לנגד עיניה, את הצורך בשימור עולם המסחר והכלכלה, הגנה שנועד לשמר קניינם הרוחני של חברות וסודות המסחר שלהן, תקינות עולם המסחר תוך שמירה על אינטרסים כלכליים לצד אינטרסים נוספים של חברות. עם כניסתה לתוקף של רגולציה האירופית, אבטחת המידע נדרשת לשים בקדמת הבמה את סוגיית הזכות לפרטיות. לא עוד אינטרסים כלכליים, חשובים ככל שיהיו, יוצבו במרכז לא אינטרס האדם וזכויותיו- היבט זה מחייב שינוי מהותי מהיסוד. זו רגולציה בעלת מעמד על-לאומי מעין חוקתי כזו שאין דומה לה באף יבשת אחרת בעולם וכזו שמדינות רבות הולכות בעקבותיה כולל ישראל.
השינוי פרספציה הגדול שהביא עמו ה-GDPR הוא עצום, הוא אמנם נוגע באופן ישיר לחברות העוסקות בפעולות עיבוד מידע אישי כחלק עיקרי לפעילותן, אך גם יחול באופן עקיף ומשני במקרים אחרים. הרצון לחנך חברות מסחריות, גדולות כקטנות, להיות טובות יותר לבני אדם, להבטיח שהמידע של אותם פרטים מוגן היטב כדי להבטיח שאינטרס חוקתי זה שמקורו בזכויות אדם, הוא זה שהביא את הרגולטור לשמר בקפידה את הערך שמניע את הרגולציה ביסודה. היתרון הגדול שהביא עמו ה-GDPR הוא בקירוב ספרת הגנת הפרטיות עם הספרה הנוגעת לאבטחת המידע, עולם המשפט והרגולציה מתמזג באופן הרמוני לעולם הטכנולוגיה ומחייב את כלל הצדדים לערוך חשיבה מחדש, כזו שתביא להגנה חזקה יותר על זכויות אזרחים באמצעות בחינה טכנולוגית ומשפטית משותפת. אחרת, כפי שאנו עדים, חברות יהיו חשופות לקנסות כבדים שעם השנים רק ילכו ויהיו משמעותיים יותר. רשויות הפיקוח פועלות ב”אפס סובלנות” למפרי הרגולציה ולאלו שאינם מטעימים אותה כנדרש.
מדד קנסות כללי מאז כניסת הרגולציה לתוקף:
מתוך אתר https://www.enforcementtracker.com/
ה-GDPR, מביא עמו חידושים רבים בין היתר בהגדרת זכויות הפרט, בהקמה של תפקידים ואורגנים חדשים, בהשתת קנסות משמעותיים ובשינוי הפרטיות והטכנולוגיה שחברות נדרשות אליו, אך מעל הכל ה-GDPR משנה את כללי התחולה הטריטוריאלית, ומביא חברות המצויות מחוץ לאיחוד האירופי, לערוך בירור מעמיק האם בפעולותיהן יש חובה כדי להטמיע את ה-GDPR בתוך פעילות החברה שלהן. ה-GDPR יכול, אף, שיחול על חברה אף אם אינה עוסקת באופן עיקרי בפעולות עיבוד של מידע, אך מעבירה נתונים לחברות הכפופות לכללי הרגולציה. ה-GDPR מרחיב את יריעתו גם על פעילות של חברות רב-לאומיות וחברות בינלאומיות ומאותת כי מהות הרגולציה תחול בכל מקום בעולם. רגולציה זו, תצריך מכל חברה, אף אם אינה מגיע מתחום ההיי-טק, לשאול את עצמה, האם אני עומדת בכללים אלו? ובמידה ולא מה עליי לעשות?
הרגולציה מחייבת שינוי באופן בו חברות מנהלות את מערכיהן החל מחברות היי טק, בנקים, חברות ביטוח, משרדי עורכי דין, חברות אנרגיה ועוד, כולם ללא יוצא מן הכלל יהיו חייבים להטמיע רגולציות של הגנת הפרטיות בשלב כזה או אחר אם יתברר שהן עוסקות באופן ישיר או עקיף בעיבוד מידע אישי.
התקנת הרגולציה מחייבת כל חברה לבחון האם היא מחויבת על פי אופי פעילותה לאמץ את הרגולציה ובמידה וכן, להטמיע באופן מלא את הרגולציה תוך ליווי שוטף של אנשי טכנולוגיה ורגולציה, בין היתר הרגולציה מחייבת: להטמיע את סוגיית ההסכמה – חברות חייבות להסכמה מלאה של משתמש; דוקומנטציה – אם חברות שומרות מידע של אזרחים עליהם להוציא דוח מפורט המפרט איזה מידע מוחזק, מאיפה הגיע? למי יש גישה אליו? איך הוא מעובד? ומה המטרה והסיבה להחזקת אותו מידע?; – גישה למידע – משתמשים בעלי זכות לבקש מידע מחברות על האופן שבו המידע בעניינם מוחזק עד 30 יום מרגע; הזכות למחוק מידע –לאזרחים הזכות לבקש למחוק מידע ולחברה יש חובה להכין דוח; זכות לשנות מידע – לאזרחים יש זכות לשנות מידע לא מדויק; זכות להתנגד – לאזרחים זכות להתנגד שמידע מסוים ישמר עליהם; -הקמת תפקיד חובה למנות קצין אבטחת מידע; דיווח תוך 72 שעות על דליפת מידע שעלול לפגוע באזרחים; הכנת דוחות ניהול סיכונים; עריכת חוזים בין מעבד למנהל ובין מעבד/מנהל לצדדים שלישיים ועוד. כל אלו מחייבים חשיבה מחדש והערכות כנדרש אחרת הנזקים יהיו כבדים.
במסגרת הטמעת ה-GDPR, ישנן מגוון שירותים המוצעים לצורך הבטחה כי חברות לא יהיו חשופות לקנסות כבדים שמשמעותם נזקים כלכליים כבדים בהרבה. בין היתר מתן חוות דעת האם חברה נדרשת להטמעת ה-GDPR, ליווי לצורך התאמה ומוכנות לפי כללי ה-GDPR, פיתוח תכניות פרטיות, פיתוח אסטרטגיות פרטיות בחברה, מיפוי נתונים, מתן דוחות הערכת סיכונים, העברת הדרכות לעובדי החברה, דוחות ניאותות ודוחות ציות, עריכת חוזים בין מנהל/מעבד ובין מנהל/מעבד לצדדים שלישיים ועוד.
אנו מזמינים חברות לפנות אלינו לצורך יעוץ ראשוני בעניין.