רגולציית הפרטיות – חודש מאי כבר כאן

היום, 8 במאי 2018, נכנסות לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. לקראת סוף החודש, תיכנס לתוקף גם הרגולציה החדשה בנושא הגנת הפרטיות באיחוד האירופי, ה-GDPR. האם אנו עומדים בפני שחר של יום חדש בנושא הפרטיות? האם עולם הפרטיות והמידע כפי שלמדנו להכיר אותו בעשורים האחרונים, עומד לעבור טלטלה ושינוי מן היסוד?

הרשת עדיין סוערת מפרשת קיימברידג' אנליטיקה (Cambridge Analytica), בה התברר כי נתוניהם של 87 מיליון משתמשי פייסבוק (Facebook) נוצלו על ידי החברה לשם בניית פרופילים התנהגותיים, באופן שעלול להטות את תוצאות הבחירות בארצות הברית.

לאחר שמנכ"ל פייסבוק, מארק צוקרברג, הבטיח בשימוע בסנאט האמריקני לנהל מדיניות פרטיות אחראית, ולאחר שפייסבוק הודיעה לגולשים כי ההגנה על פרטיותם היא עקרון מרכזי עבור פייסבוק, והתחייבה לתאימות לחוקי הגנת הפרטיות של האיחוד האירופי ול-GDPR – פורסם לאחרונה כי פייסבוק העבירה 1.5 מיליארד משתמשים מהכפיפות למטה הבינלאומי של החברה באירלנד לכפיפות לחברה בקליפורניה, אשר אינה נמצאת תחת רגולציית ה-GDPR, וזאת באמצעות שינוי בתנאי השימוש של פייסבוק.

האם נסיונות כאלה של חברות המחזיקות ומעבדות מידע להתחמק מתחולתה של רגולציית הפרטיות, מעידות על היותה של הרגולציה אות מתה, שאכיפתה תהיה כמעט בלתי אפשרית, ושבסופו של דבר השפעתה על עולם הפרטיות תהיה מזערית? או שעם הזמן נלמד כי הרגולציה אכן חוללה שינוי בתפיסה הבסיסית של הפרטיות, בתפיסה של זכויות הפרט בנושאי הפרטיות, בתפיסה של privacy by design והחדרת נושאי הגנה על הפרטיות כחלק מעיצוב המוצר? ימים יגידו.

עולם שלא הכרנו

אין ספק, שאם רגולציית הפרטיות החדשה אכן תחולל שינוי מהותי, העתיד בתחום המידע נראה שונה מכל מה שהכרנו עד כה.

בינתיים, לנוכח כניסתה לתוקף של הרגולציה הישראלית, וערב כניסתה לתוקף של הרגולציה האירופית, על כל בעל מאגר מידע או מחזיק במאגר כזה, לשאול את עצמו איזו רגולציה חלה עליו ומה עליו לעשות על מנת לקיים את הדרישות הרגולטוריות בכל הנוגע למאגרי המידע שלו ולהגנה על פרטיות נושאי המידע המצוי בידיו. לשם כך עליו לשאול את עצמו – האם אני כפוף לתחולת הרגולציה הישראלית בלבד, או גם זו האירופית?

כל בעל מאגר בישראל כפוף לרגולציה הישראלית (לא כולם כפופים לרגולציית ה-GDPR), ולכן על כל בעל מאגר או מחזיק במאגר לשאול את עצמו תחילה כיצד יש לסווג את מאגרי המידע המצויים ברשותי – האם מדובר במאגר/ים ברמת אבטחה בסיסית, בינונית או גבוהה?

כפי שהמלצנו כאן בעבר, כדאי לנצל את התאימות לרגולציית הפרטיות כדי לעשות "נקיון פסח" במאגרי הנתונים שברשותנו, למחוק מידע שאינו נחוץ עוד, לרכז מידע מפוזר ולעשות חשיבה מחודשת בנושא מדיניות איסוף המידע. על בעלי ומחזיקי מאגרים בכל רמות האבטחה להכין מסמך הגדרות המאגר, על פי דרישות התקנות ולערוך נוהל אבטחת מידע. הכנת מסמכים אלה תאפשר לבעל המאגר או למחזיק בו היכרות עמוקה והבנה טובה של מהות המידע, צרכי השימוש בו ודרכי ההגנה עליו, באופן שיוכל לשפר את עבודת הארגון. על בעלי ומחזיקי המאגרים לדאוג לקיום אמצעי אבטחת המידע, על פי דרישות התקנות ובהתאם לסיווג המאגרים שברשותם.

לא תברחו מה-GDPR

ככל שבעל מאגר מידע או מחזיק בו יגיע למסקנה כי בנוסף לתקנות הגנת הפרטיות הישראליות, הוא כפוף גם ל-GDPR, בין אם בשל היותו מוכר או פונה בהצעה של מוצרים או שירותים ללקוחות באיחוד האירופי, בין אם בשל השתייכותו לרשת אירופית המחילה עליו את ה-GDPR כחלק מהיערכות כוללת שלה, בין אם בשל קיום נוכחות פיזית או אינטרנטית שלו באיחוד האירופי, ובין מסיבות אחרות, יהיה עליו להיערך גם לקיום הוראות ה-GDPR, נוסף על הרגולציה הישראלית.

כפי שציינו בכתבות קודמות, בניגוד לתקנות הישראליות, המתמקדות בפרמטרים הנוגעים לאבטחת מאגרי המידע, הרי שה-GDPR מתמקדת בזכותו של הפרט להגנה על פרטיות המידע שהוא מוסר. ככזו, עוסקת רגולציית ה-GDPR בזכויות בסיסיות של הפרט, כגון: הזכות לתת הסכמה מדעת לאיסוף ולעיבוד מידע; הזכות להישכח (הזכות למחיקת מידע על פי דרישה); הזכות לתיקון מידע; הזכות שהמידע ישמש אך ורק למטרה המוצהרת והמוגדרת שלשמה נאסף, ועוד.

לזכויות אלה נלווה העקרון הבסיסי של privacy by design, שבבסיסו החובה להגן על הפרטיות כחלק מההגדרה והבניה הבסיסית של המוצר. בעל מאגר או מחזיק במאגר הכפוף לרגולציית ה-GDPR, חייב גם, כפי שציינו כאן בעבר, למנות קצין הגנת נתונים – DPO – בעל תפקיד בארגון (שיכול להיות גם נותן שירות חיצוני), האחראי על מדיניות הגנת הפרטיות ועל יישומה.

מי יהיה הראשון לזכות באמון הלקוחות?

כניסתה לתוקף של רגולציית הפרטיות החדשה, תגרור אכיפה של יישום הרגולציה. בישראל, האכיפה של תקנות הגנת הפרטיות (מאגרי מידע) כוללת קנסות מינהליים, אחריות פלילית של נושאי משרה בתאגיד, ובנוסף חשיפה לתביעות אזרחיות, בהיותה של הפרת הפרטיות עוולה אזרחית.

הפרת רגולציית ה-GDPR גוררת קנסות כבדים (עד 4% מהמחזור או 20 מיליון יורו), ויכולה להיאכף גם בישראל, אם תוך שימוש בנציג הארגון באיחוד האירופי, אם באמצעות חקיקה שתאפשר אכיפה באמצעות הרשות להגנת הפרטיות ואם בדרך של תביעה באירופה ואכיפה בישראל מכח אמנות או מכח החוק לאכיפת פסקי חוץ.

עד כמה אכן תהיה אכיפה של רגולציית ה-GDPR בישראל? מוקדם עדיין לומר, אך המלצתנו היא להשתמש בכניסתה של הרגולציה לתוקף כהזדמנות לשיפור השירות ללקוח בתחום הפרטיות, הזדמנות לעשות שינוי ביחס שלנו למידע ובשימוש שאנו עושים בו ולהבין בצורה עמוקה יותר איך לקיים עסקים תוך שמירה על זכויות הלקוחות בתחום הגנת המידע.

המלצה זו נכונה גם לגבי ארגונים שאינם כפופים לרגולציה האירופית. אם אנו עומדים בפני שינוי כללי בתפיסת הפרטיות והגנת המידע בעולם, הראשונים לזכות באמון הלקוחות יהיו אותם ארגונים שישכילו לעשות שינוי עמוק ומשמעותי בנושא זה.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGF, מומחית בתחום המשפט המסחרי, תאגידים והייטק.