השעון מתקתק וה-GDPR מנגב את רגליו כבר בפתח הדלת

כבר בשנת 1890 קבעו אנשי משפט בארצות הברית את הביטוי "הזכות להישאר לבד" כעיקרון מפתח של חוקי הפרטיות. ביטוי זה של פרטיות נוצר עבור העולם האנלוגי. היום, הצרכנים עדים לחדירות חסרות תקדים לפרטיותם. השילוב של Big Data, מחשוב ענן, אנליזה וניבוי והאינטרנט של הדברים מאפשרים לארגונים לאסוף ולעבד כמויות מידע עצומות. יחד, הם יוצרים טביעת אצבע דיגיטלית של התנהגויות העלולות לחשוף מידע המאפשר זיהוי אישי.

כמות הנתונים האישיים המאוחסנים על ידי חברות וממשלות הולך ותופח, וערך הנתונים מוכפל ככל שיותר טרנזקציות עסקיות אישיות מתבצעות באינטרנט. גניבת זהות הפכה להיות הרבה יותר נפוצה. בנוסף לשיבוש העסקים וההשפעה על נאמנות הלקוחות שהפרות אלה גורמות, גורמים לגליים רבים מחפשים להביא לחקיקה דרכים להגנה על נתונים העולים בקנה אחד עם החדשנות המבוססת על האינטרנט – אך, למרבה הצער, ללא תאום מספק אחד עם השני.

עם זאת, אנו עדים לטרנספורמציה יסודית. בכלכלה הדיגיטלית, המידע הוא המטבע וחילופי מידע לא מכיר בגבולות. תיאום בין תקנות המעודדות זרימה חופשית של מידע – תוך חיזוק הפרטיות וזכויות האבטחה – הוא הכרחי לקובעי המדיניות. אם ניקח כדוגמה את הגושים המסחריים של האיחוד האירופי וארצות הברית – הערך הכולל של הסחורה והשירותים בין שני גושי מסחר אלו מוערך ב-5.5 טריליון דולר, המעסיק 15 מיליון אנשים. הוא גבוה ב-50% מכל גוש מסחר אחר. 65% מההשקעה בטכנולוגיית המידע של ארצות הברית נמצאת באיחוד האירופי. תקנות לתיאום בנושא הפרטיות דרושות כדי לטפח את אמון הצרכנים, לרתום מידע עבור יתרון תחרותי ולחזק את המוניטין של החברה. המנהלים הם האחראים לניהול מידע המאפשר גם זיהוי אישי.

ישנם מספר אתגרים הקשורים לתיאום תקנות הפרטיות. בארצות הברית, הפרטיות קשורה לתעשייה ספציפית והאכיפה תלויה במידה רבה ברגישות הערך המסחרי של המידע שיש להגן עליו (למשל ביטוח בריאות, מצב פיננסי, חוקים להוגנות עסקית ועוד). עם זאת, סוכנויות רגולטוריות בארצות הברית אוכפות היום בהקפדה יתרה את נושא הפרטיות. לדוגמה קנס של 25 מיליון דולר הוטל ב-2015 על AT&T על שימוש לא מורשה וגילוי של 280 אלף רשומות לקוחות.

לאיחוד האירופי יש רף גבוה להגנה על הפרטיות. פרטיות נחשבת זכות יסוד של האדם וסעיף 7 של אמנת האיחוד האירופי של זכויות האדם קובע כי "לכל אדם ישנה הזכות לשמור את פרטיותו, חיי המשפחה, הבית והתקשורת שלו". יוזמות פרטיות רבות של האיחוד האירופי – קדמו לחקיקה העדכנית של ה-GDPR המבססת את שימור זכויות הפרטיות כבלתי ניתנות לשינוי בעיקרון.

התקנה הכללית להגנה על פרטיות הנתונים (GDPR) היא תגובה ל:

• ההתקדמות בטכנולוגיות דיגיטליות כגון Big Data, מחשוב ענן וניתוח אנליטי.
• גילויים על איסוף נתונים לבניית פרופיל אישי על ידי שירותי מודיעין.

התוצאה היא שיפוץ מקיף של החקיקה להגנת הפרטיות וחיזוק ניכר והרחבה של זכויות הפרטיות.

תכולת ה-GDPR כוללת דרישות קפדניות יותר להסכמה, אנונימיזציה של הנתונים, הזכות להישכח והחמרת הדרישות במקרה של הפרות. הפרות עשויות להוביל לקנסות של עד 20 מיליון יורו או 4% המחזור השנתי.

הסט החדש של הכללים והסטנדרטים האירופיים הללו רלוונטי גם עבור כל חברה שעושה עסקים באירופה או עם לקוחות אירופיים. התקנות נועדו ליצור תיאום להגנת הפרטיות על פני האיחוד האירופי, להטמיע זכויות לפרטיות קפדניות יותר ולאזן בין פרטיות לביטחון.

השעון מתקתק – התקנות נכנסות לתוקף ב-25 במאי 2018, ועמם עונשים פוטנציאליים משמעותיים על אי ציות (ארגון שימצא מפר את הוראות ה-GDPR עשויים לשלם קנס של עד 4% הכנסות שנתיות או 20 מיליון יורו – לפי הגבוה).

זו לא רק בעיה עבור חברות אירופיות. גם ארגון העושה עסקים באיחוד האירופי, מציע מוצרים ושירותים לאזרחי האיחוד האירופי, או מעבד את נתוני האזרחים של האיחוד האירופי, כל הוראות ה-GDPR חלות עליו, כולל:

• מדדים קפדניים יותר לאבטחת המידע להגנה על סודיות וזמינות של מידע אישי, לרבות שימוש באמצעים טכניים כגון הצפנה. איסוף ועיבוד הנתונים מוגבל רק למטרות אשר הוגדרו מראש ואושרו.
• רף גבוה יותר לקבלת האישור, אשר חייב להיות בצורה פורמלית וברורה. כולל אפשרות למעקב אחר קובצי cookie שנועדו לזהות התקן ו / או אנשים ברחבי האינטרנט.
• אכיפה מוגברת עם "שיניים" ממשיות למקרים של הפרת הכללים יותר, ההגדרה של הפרת הכללים כוללת פריצת אבטחה אבטחה המובילה ל-"תקלה" או ל-"הרס" בלתי חוקי; אובדן, שינוי, גילוי בלתי מורשה של נתונים, או גישה לנתונים אישיים המועברים, מאוחסנים או מעובדים בצורה אחרת.
• התאמת האבטחה לפי נושאי הנתונים, במיוחד כאשר השימוש אינו עולה בקנה אחד עם המטרה המקורית שלשמה נאספו נתונים.
• מתן יכולת גישה לנתונים כדי לתקן או למחוק כל מידע לא מדויק, כולל "הזכות להישכח".
• משילות חדשה ומחייבת על תהליכי איסוף ושמירת, כולל מינוי של קצין פרטיות ראשי (CPO) מיוחד ומתן אחריות לדירקטוריון החברה לקיום תקנות הפרטיות.

העברת נתונים של אזרחי האיחוד האירופי בין המדינות חייב לעמוד בתקן הלימות. יתר על כן, כתגובה ישירה לגילויים "סנודניים" המתייחסים לאוסף הגדול של נתונים אישיים, הנציבות האירופית ומשרד המסחר האמריקני מפתחים במשותף מסגרת הגנה חדשה להעברת נתונים ביניהם, המחזקת במידה ניכרת את זכויות הפרטיות של אזרחי האיחוד האירופי ביחס להעברת מידע אישי, המחייבת עמידה בעקרונות הליבה לשמירת הפרטיות; בחירה, ביטחון, יושר, גישה, אכיפה ודין וחשבון על העברה.