GDPR: לעשות מהלימון לימונדה

בעידן המודרני והקיברנטי, מידע שנאסף על המשתמשים מאוחסן בידיהן של חברות מסחריות, ומאפשר להן לספק שירותים, המשפרים את חיי כולנו. כתוצאה מכך הפכו הנתונים הפרטיים שלנו למשאב רב ערך.

ככל שחשיבות איסוף הנתונים הולכת וגדלה, איסוף הנתונים על ידי החברות ילך ויגדל, דבר שלצד הנוחות הנובעת מהשירותים המשופרים, טומן בחובו גם סכנות וקשיים ניכרים. לפיכך נדרשת גישה חדשה להגנה על נתונים אישיים.

רגולציית הגנת המידע האירופית (GDPR) הינה צעד הגיוני, הבא להבטיח את נושא הפרטיות שלנו, השימוש ושלמות הנתונים הנשמרים בעידן המודרני אצל החברות הממשלתיות והמסחריות.

כשמדובר ברגולציית פרטיות והשלכותיה, על אבטחת המידע בארגונים מושם דגש על העונשים בגין אי-עמידה ברגולציה ועל הגישה שיש לנקוט כלפי החברות במקרה של הפרת הדרישות הרגולטוריות בנוגע לשימוש בנתונים או לשמירתם.

עבור חברות רבות, תקינה חדשה זו דורשת שינוי מחשבתי והתמקדות מוגברת באבטחת נתונים. בעבר, צוותי האבטחה נקטו בנקודת מבט כוללת בנושא הערכת הסיכונים עם דגש על כלים כגון חומות אש (Firewalls), מערכות גילוי פריצה, ואנטי-וירוס כדי להגן על השרתים הארגוניים.

לשמור את הזכות להישכח

רגולציית ה-GDPR נוקטת בגישה אחרת, שמתחילה בהבנת מחזור החיים המלא של נתוני המשתמשים, היכן מצויים הנתונים, היכן הם מאוחסנים, כיצד הם מעובדים וכיצד המידע זורם בין גופים שונים.

על מנת שהחברות תוכלנה להתאים את עצמן לרגולציה הזו, עליהן להביא בחשבון ארבעה שינויים עיקריים הנוגעים להגנה על נתונים אישיים:

● אכיפה מוגברת – עם הכללים החדשים להגנה על נתונים, לרשויות להגנת המידע יהיו יותר משאבים וסמכויות שיאפשרו את אכיפת הרגולציה, והציות המשפטי יעמוד בראש סדר היום של החברות בכל הגדלים ובכל המגזרים.

● אחריות גדולה יותר – הרגולציה החדשה הופכת את הארגונים לאחראים הישירים על ההגנה על הנתונים האישיים של המשתמשים. האחריות הזו כוללת אמצעי אבטחה מפני הפרות בגין שמירת הנתונים, ונקיטת פעולה מהירה ויעילה על  מנת ליידע אנשים ורשויות במקרה שמתרחשת הפרה.

● Privacy by Design – קיימת מחויבות של מחלקות הפיתוח של הארגונים השונים להסתכל מקרוב על הנתונים שהיישום אוסף וכיצד מתבצע הטיפול בהם, ולבצע את השינויים וההתאמות הנדרשים על מנת לאפשר למוצר לענות על הדרישות הרגולטוריות בנושא הפרטיות. נקודת מבט זו אינה מתמצה רק בשלב הפיתוח, אלא ממשיכה דרך שרשרת האספקה, דרך טיפול בנתונים וכלה בשקיפות והעברת הנתונים.

● הצבת הפרט בראש סדר העדיפויות – רגולציית ה-GDPR מעצימה את הפרט על ידי הצבתו במרכז בהסתכלות באספקלריה של הגנת הנתונים. לדוגמה, הזכות של הצרכן לבקש מחברה למחוק את המידע האישי שלו שנאסף על ידה, וכך לשמור את זכותו "להישכח".

להפיק את מלוא היתרונות מהנתונים

מצד אחד, הדרישות והשינויים שמציבה רגולציית ה-GDPR גורמת אי נוחות רבה ביותר אצל החברות, ולו בשל:

● חוסר מודעות – חברות רבות פשוט אינן מודעות למידת ההשפעה הפוטנציאלית על העסק שלהן שיש להיערכות הנדרשת בגין הגנת הנתונים.

● נתונים – לארגונים רבים ישנה הבנה מוגבלת הנוגעת לנתונים האישיים שהם מחזיקים, איפה נמצאים הנתונים, מהן ההרשאות הקיימות, מי משתמש בנתונים ומדוע.

● מורכבות – הביטחון והשמירה על הפרטיות על פי תפיסת הרגולציה מחייבים תהליכים, נהלים ואחריות חדשים וחברות רבות אינן בטוחות מה הצעדים שיש לנקוט, והאם יש להן הזכות לשנות מיומנויות ופתרונות טכנולוגיים.

אבל מצד שני, במקום להסתכל על רגולציית הפרטיות כעל נטל, ניתן להסתכל עליה כעל הזדמנות חיובית לצמיחה. הפרטיות תיצור שינוי תרבותי לעסקים. הבטחת הנכונות של הנתונים שבשימוש הארגון, תוביל לאפשרות חילוץ מידע שימושי ותובנות לפעולה ממנו, למטרות שיווק, שימור לקוחות, חדשנות ועוד.

התקנות מעניקות לארגון הזדמנות להעריך מחדש את המדיניות של איסוף מידע באופן הוליסטי – עבור כל הנתונים, ולא רק נתונים אישיים. הנתונים הם הנכס החשוב ביותר של הארגון, והוא גדל בהתמדה. חשיבותו של הנכס הזה הולכת וגדלה, ונראה כי על הארגונים להיערך נכונה לעידן המידע בו אנו נמצאים.

גיבוש מדיניות איתנה בנושא הנתונים, לא רק יסייע לארגון לעמוד בדרישות הרגולטוריות, אלא יעזור לארגון להפיק את מלוא היתרונות מהנתונים הללו בצורה הטובה ביותר.

עמידה בתקנות החדשות תקטין את הסיכונים של הפרות נתונים וקנסות גדולים, וכתוצאה מכך, תשפר ותשמור על המוניטין של העסק שלך, תוך הגברת נאמנות הלקוחות ותפיסות חיוביות.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.