שעון החול הולך ואוזל – ה-GDPR מתקרב

חברי דירקטוריון בחברה, מנכ"לים, סמנכ"לים – מאי 2018 מתקרב, האם אתם ישנים בשקט? השאלה הזו רלוונטית לכל נושא משרה בחברה – כי שעון החול הולך ואוזל.

בעוד מעט יותר מחצי שנה, מהפיכת החקיקה בתחום הפרטיות תיכנס לתוקפה. רגולציית ה-GDPR האירופית ותקנות הגנת הפרטיות הישראליות, צפויות לשנות באופן מהותי את האופן שבו ארגונים מנהלים את הנתונים האישיים של המשתמשים.

אלא שבאופן מפתיע, נכון להיום – מעט מאוד חברות מוכנות, או נמצאות בתהליך מתקדם, של היערכות לקראת מתן מענה לדרישות הרגולטוריות.

הבה נתמקד מעט ברגולציה האירופית, זו צפויה לעשות טלטלה, שהיא  הגדולה ביותר בהגנה על נתונים. התוצאות מדאיגות, כאשר מסתכלים על כמות הארגונים אשר אינם מודעים להשפעה שתהיה לרגולציה זו עליהם.

רוב החברות הישראליות מניחות כי הרגולציה הזו אינה רלוונטית עבורן. אבל… הפתעה, הפתעה! הרגולציה הזו תחול גם תחול – פרטיות נתונים, שימוש נאות במידע על לקוחות והודעות הפרה (של ההגנה על הפרטיות) – כל אלה צריכים להילקח ברצינות רבה.

על מי תשפיע הרגולציה?

השפעתה של רגולציית ה-GDPR רחבה ביותר, הן בתוך האיחוד האירופי והן מחוצה לו, בעיקר לחברות המציעות מוצרים ושירותים דיגיטליים ואוספות, תוך כדי כך, מידע התנהגותי ופיננסי על אזרחים ותושבים של ארצות האיחוד האירופי.

כל חברה העוסקת באיסוף מידע אישי – המהווה יכולת לזיהוי של המשתמש, דוגמת שם, כתובת, אנשי קשר בדואר אלקטרוני, תמונות, כתובות IP, פרטי כרטיס אשראי, מידע רפואי, ועוד – על תושבי או אזרחי האיחוד האירופי, חייבת להודיע לאנשים הללו על המטרות שלשמן ייעשה שימוש בנתונים ומדוע הוא נאסף.

החברות נדרשות לקבל ולשמור על הסכמה מפורשת מכל אדם, במיוחד עבור כל פרופיל אוטומטי, או העברות נתונים. החברות צריכות גם להיות מסוגלות לאחזר את הנתונים מהמערכות שלהן בתוך חודש אחד, כדי לענות על בקשות גישה או מחיקה של המשתמש לנתונים אלה.

שעון החול הולך ואוזל? צילום: Flynt/BigStock

בין החברות הללו, אשר צפויות להיות מושפעות מהרגולציה החדשה, ניתן למנות כאלו אשר עוסקות בשירותיי דיוור; גיוס והשמה; שיווק דיגיטלי; מתן שירותי תוכנה כשירות, SaaS; פלטפורמות לבניית אתרים; חברות העוסקות במתן שירותים המספקים ניתוח על מידע אישי, כגון שירותיי ניטור מרחוק.

מעבר לכך, בשל הרגולציה, החברות תהיינה צריכות לתת תשובות על מגוון רחב של שאלות, כגון האם יש לחברה עובדים העובדים באירופה? האם יש לה שותפים עסקיים, או אנשי קשר עסקיים באירופה?

כל עוד אותם אנשים, עובדים ושותפים עסקיים חיים ונושמים על אדמת האיחוד האירופי, יש לבדוק האם הם נמצאים במעגל הדרישות הרגולטוריות. הופתעתם? חושו בנוח, אינכם לבד: רבים וטובים מופתעים ואינם מודעים להיקף החקיקה ולאופן בו היא תשפיע עליהם.

קנס של מיליוני יורו

העונשים על אי-ציות לרגולצייה האירופית הם כבדים. הפרה של תקנות אלו תביא להטלת קנס מנהלי – וזאת בלא צורך באישור בית משפט – על בעלי השליטה במידע, כלומר, על המנכ"ל או שורה של בכירים בארגון, כמו גם על מי שטיפל במידע.

ההפרות עלולות להיחשב כפליליות. הקנסות עלולים להגיע להיקף כספי של מיליונים רבים: עד 4% מהמחזור שנתי או 20 מיליון יורו – הסכום הגבוה מביניהם. העבירות האלו כוללות, בין היתר: הפרה של עקרונות הגנת המידע והתנאים להסכמת השימוש בו, הפרת זכויות נושאיי המידע, הפרת הוראות הנוגעות להעברת מידע מחוץ לאיחוד האירופי ועוד.

לכן, אסור לנקוט באסטרטגיה של "נחכה ונראה מה יהיה", כי התנהגות שכזו עלולה להוביל את הארגון לאסון פיננסי. נושאי המשרה בארגון, בכירים, אך לא רק הם – חייבים ליטול אחריות וליזום גישה חדשה של מעורבות. עליהם להכיר לעומק את הרגולציה, את הדרישות והמשמעויות שנובעות ממנה. עליהם להקצות זמן עם האנשים הרלוונטים בארגון שצריכים להיות מעורבים – המחלקה המשפטית, המחלקה הפיננסית וכמובן מנהלי התשתיות.

נדרש לאמץ פרדיגמה שלמה ומובנית שיכולה לעזור לאותם בכירים בארגון. יש להבין מה שצריך לעשות כדי לעמוד בדרישות הרגולציה. נדרש להכין מפת דרכים אשר תסייע לארגון ולמנהלים שלו.

ונסיים בשורה אופטימית: החדשות הטובות הן שעדין לא מאוחר מדי – אפשר להספיק להשתלט על המצב.

אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק