"רגולציית ה-GDPR – אתגר שרוב הארגונים בישראל לא ערוכים אליו"

האם תוכל להסביר בצורה פשוטה מהי רגולציית ה-GDPR?
"מדובר ברגולציה אירופית שתיכנס לתוקף כבר ב-25 במאי 2018 בכל מדינות האיחוד האירופי ועוסקת בהגנה על הפרטיות בכל הנוגע לנתונים האישיים של המשתמשים. התקנה, שראשי התיבות שלה הם General Data Protection Regulation, מתמקדת בארגונים שאוספים, מאחסנים או משתמשים במידע אישי של תושבי האיחוד האירופי. המטרה שלה היא לשפר את ההגנה מפני פגיעות באבטחת מידע ואת הפרוטוקולים של אבטחת המידע. בצורה הזו יתחזק האמון של האזרחים בגופים שמחזיקים במידע האישי שלהם".

מה העונש שעלול להיות מוטל על ארגון שלא ינהג לפי התקנות?
"במקרים מסוימים של הפרת התקנות האירופיות ארגון יצטרך לשלם קנס שמגיע ל-2% או ל-4% ממחזור המכירות העולמי שלו, או, לחילופין 10 מיליון יורו או 20 מיליון יורו".

האם הארגונים הישראליים מוכנים להתמודדות עם התקנה?
"רוב הארגונים בישראל לא מוכנים לכך. מדובר באתגר סייבר שרובם לא ערוכים אליו. אלה סכומים שיכולים להרוס ארגון, בוודאי ארגון ישראלי. התקנות האלה הן הענק השקט של אתגרי הסייבר ועל הארגונים, כולל הישראליים, להיערך בהתאם".

אם זו תקנה אירופית, למה זה אמור להשפיע על גופים בישראל?
"מפני שארגונים ישראליים רבים פועלים באירופה ויש להם מידע על אזרחים של היבשת, ולכן הם כפופים לתקנה. סוג אחד של גופים הוא חברות תקשורת או בנקים, למשל, שמחזיקים במידע אישי על אזרחים ישראליים רבים שיש להם גם אזרחות של האיחוד האירופי. סוג שני הוא חברות ישראליות המנהלות קשרי מסחר עם מדינות באיחוד האירופי. הסוג השלישי, שכולל גופים רבים, הוא כל אתר אינטרנט או ארגון ישראלי שעושה שימוש בנתונים אישיים של אזרחים מהאיחוד, כולל אתרים לקנייה באינטרנט, למשל".

מה כל כך מסובך בהיערכות לכך?
"תהליך יישום ההגנה על מידע אישי הוא לא משימה פשוטה של 'לעשות וי', משום שכאמור, הרגולציה הזו לא חלה רק על ארגונים במדינות החברות באיחוד האירופי, אלא גם על כל הארגונים מחוץ לאיחוד שמציעים מוצרים או שירותים לאזרחיו, כולל שירותים חינמיים. זה מגיע למצב שבו יכולים לשאול ארגון בישראל למה הוא מחזיק בתאריך הלידה המלא של אזרח אירופי ולא רק בסעיף שאומר אם האזרח הוא מעל או מתחת לגיל 18. וזה לא נגמר כאן – האיחוד דורש מהארגון לדווח על הפרה של אבטחת מידע בתוך 72 שעות. מי שלא יעשה את זה, ייתקל במנגנונים חזקים של אכיפה וענישה".

מהם האתגרים העיקריים שצריך לטפל בהם כדי להיערך היטב?
"האתגר האמיתי נעוץ בעובדה שאין נקודת התחלה ברורה להיערכות ל-GDPR. למשל, החובה לדווח על חדירה בתוך 72 שעות לא מבהירה בדיוק על מה חובה לדווח ומהיכן בדיוק יש לאסוף את המידע. יש התלבטויות שתקפות להיבטים רבים של התקנות – איך מתחילים, מה עושים, כמה זמן יארך התהליך, מה תהיה העלות ומי אחראי להיבטי ההיערכות השונים? כל אלה הופכים את ההיערכות ל-GDPR לאתגר מורכב, שדורש עזרה חיצונית".