"מנהלים שלא מתכוננים ל-GDPR הם רשלניים"

"כשאנחנו מדברים על אבטחת מידע אנחנו מדברים על האדם ולא על חברות, אבל מכיוון שחברות ממשלתיות וארגונים אוספים את המידע על האדם - יש לו ערך כלכלי רב מאוד", כך לדברי עו"ד נעמי אסיא, ממשרד עורכי הדין אסיא ושות'

עו"ד נעמי אסיא ממשרד עורכי הדין נעמי אסיא ושות'. צילום: ניב קנטור

גוגל (Google) למעלה מ-3.5 מיליון משתמשים מחפשים בכל דקה משהו. ביוטיוב (YouTube) למעלה מ-4.146 מיליון משתמשים בדקה. אני לא צריכה להכביר מילים על תנועת המשתמשים באינטרנט ומה החשיבות של הצורך באבטחת מידע וסייבר בארגונים, ועל מה שקורה כאשר יש מתקפת סייבר ומה יכולה להיות ההשפעה של התקפה מוצלחת כזו על המידע והפרטיות שלנו שמחוברים לרשת האינטרנט שכך פרצה והשתלטה במידה מסוימת על חיינו", כך אמרה עו"ד נעמי אסיא, ממשרד עורכי הדין אסיא ושות', בפתיחת ההרצאה שלה אודות תקנות האבטחה והפרטיות החדשות, בארץ ובאירופה.

ההרצאה, שהתייחסה להיבטים המשפטיים של הגנת הפרטיות על מחשוב ענן וסייבר, התקיימה במסגרת כנס InfoSec 18 של אנשים ומחשבים. הכנס נערך באחרונה באולם האירועים של LAGO בראשון לציון, והשתתפו בו מאות רבות של אנשי מקצוע מכל נדבכי אבטחת המידע בחברות השונות, ספקים לצד לקוחות.

לדבריה, "חשוב לציין שבמידע מתכוונים למידע על אישיותו של אדם, מעמדו האישי, מצבו הבריאותי כלכלי וכולי. כשאנחנו מדברים על אבטחת מידע אנחנו מדברים על האדם ולא על חברות, אבל מכיוון שחברות ממשלתיות וארגונים אוספים את המידע על האדם, יש לו ערך כלכלי רב מאוד", היא אמרה.

אסיא לא טוענת שאין לאסוף ולשמור מידע, אבל צריך להגביל את השימוש. "הדבר הכי חשוב הוא שיעשה במידע שימוש למטרה שלשמה נאסף מלכתחילה ולא בניגוד להסכמה. למעשה, אחד הדברים הכי חשובים ב-GDPR זה ניהול הסכמות. וכדי לנהל את ההסכמות ואת המידע שנעשה בו שימוש בהתאם, יש להתייחס לסעיף 2 לחוק הגנת הפרטיות והוראות אבטחת המידע שמתווה את הצורך במינוי אחראי לאבטחת מידע בארגונים בתקן מסוים ומעלה", היא סיפרה.

מנהלים שלא מתכוננים ל-GDPR, להתקפות סייבר ולהליכה בתלם התקנות החדשות הם רשלניים, קבעה אסיא חד משמעי, וגם הסבירה למה.

שרשרת המזון שמזינה אותנו

"לדוגמה, חברה ישראלית שיש לה סניף בארצות הברית ובאירופה בקרוב, במקרה של התקפה, חייבת להקים חדר מצב ולהודיע לכל אחד מהנפגעים באופן אישי, וזה אולי תהליך יקר אבל הוא מחויב ואין ברירה, זה החוק. מעבר לכך, מנהלי ארגון יכולים להיות חשופים לרישום פלילי וגם לתביעה אזרחית במקרה של אי-שמירה על חוקי מדיניות הפרטיות, כולל כמובן התקנות הישראליות שזה עתה עודכנו בפועל – הרשות להגנת הפרטיות הוציאה מדריך מפורט איך צריך להיערך ולא בצורת תקנות יבשות – אלא בדרך ברורה ומסודרת", היא ציינה.

לטענתה באירופה דואגים קצת יותר לאזרחים ממקומות אחרים בעולם. "האיחוד האירופי היה תמיד יותר לטובת הפרט, לטובת האזרחים ושמירת הפרטיות שלהם. אולי זה גם ישתנה להתייחסות הזו גם בארצות הברית בגלל הפרשה של פייסבוק (Facebook) והדלפת המידע המסיבית שאירעה. אבל למה אנחנו בישראל בכלל מדברים על GDPR? כי כל חברה שיש לה ולו רק איש מכירות באירופה, ובוודאי משרד באירופה, או מוכרת מידע לאירופאים או אוספת מידע מאירופאים, נמצאת תחת אחריות לציית לתקנות ה-GDPR. אני מאוד ממליצה לכם לא לומר זה באירופה זה לא אצלנו, כי זה יפתיע אתכם מהר מאוד", טענה אסיא.

לסיום דבריה היא חזרה לצורך למנות מישהו בארגון, במיוחד אם הוא גדול ובעל משרעת רחבה, שיטפל בנושאים הללו מקרוב.

"אני שוב אומרת כי חשוב וצריך למנות מישהו לתפקיד ה-DPO, ולא פחות חשוב למלא אותו בתוכן. הוא זה שיהיה צריך לאתר סיכונים ולהפעיל פיקוח על קבלני משנה וגם ספקים בכל הנוגע למידע אישי. כי לא רק אתם, אלא גם כל שרשרת המזון שמזינה אתכם", היא סיכמה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים