"הקנס שחטפה גוגל מהאיחוד האירופי תחת ה-GDPR – עדות להתחלת האכיפה"

"הקנס של 59 מיליון אירו שחטפה גוגל מהאיחוד האירופי תחת תקנות ה-GDPR הוא עדות להתחלת האכיפה", כך אמר עו"ד נמרוד טאובר, שותף מייסד במשרד אלוני דוידוב טאובר בפורום CSC – Cyber Security Club של אנשים ומחשבים. הפורום עסק בהבדלים ובדמיון בין ה-GDPR של האיחוד האירופי לבין חוק הגנת הפרטיות הישראלי שהתקיים במתחם יס פלנט בראשל"צ. את הפורום הנחה גיא מזרחי, סמנכ"ל סייבר ב-Rayzone Group

עו"ד טאובר, מנהל מחלקת סייבר אבטחת מידע, פרטיות ואינטרנט במשרד, תיאר את תקנות ה-GDPR ואת הפעולות הראשונות שנקטו הרגולטורים השונים מאז נכנסה התקנה לתוקף ב-25 במאי 2018.
לדבריו, "כמו כל מסגרת משפטית גם GDPR זה בסוף ניהול סיכונים. רוב החברות הגדולות ניסו די להתחבא באמצע, לא להוביל, לא להיות הסמן הימני וישר להתקין את הכל, אלא לעשות את המינימום ההכרחי פלוס ולתת לדברים להתגלגל כדי לראות בינתיים אילו הנחיות יוציאו הרשויות להגנת הפרטיות במדינות השונות ואיך יפרשו זאת בתי משפט באירופה".

"בינתיים החלו אנשים פרטיים ועמותות ששמו את הפרטיות כנושא שהם מטפלים בו להגיש תביעות בבתי משפט באירופה, בעיקר נגד חברות הענק הבינלאומיות. אחד המתלוננים, עו"ד אוסטרי בשם מקס שרם, הגיש כבר לפני מספר שנים תלונה לרגולטור האירי נגד פייסבוק ובסופו של דבר קרסה המסגרת שאיפשרה העברת מידע בין האיחוד האירופי לארצות הברית", אמר.

"מאז מאי האחרון, הוא התמחה בתלונות לרגולטורים על חברות כמו פייסבוק, גוגל, טוויטר וגם חברות שלא חושבים עליהם בהקשר זה כמו חברת דירוג האשראי אקסיום אקספירינס ובכלל כל הברוקרים שמתווכים בין הגופים הגדולים שצמאים למידע, לבין הציבור שהמידע נשאב ממנו. והוא לא היה היחיד. כבר בחודש הראשון היה גל של תביעות לרשויות הפרטיות המקומיות באירופה, שהתקשו לעמוד בעומס מכיוון שיש להם מגבלות כוח אדם ותקציב", אמר.

"לקראת סוף השנה ראינו תחילת פעולות אכיפה. המקרה הראשון היה באוקטובר 2018 באוסטריה, נגד חנות שהציבה מצלמת אבטחה שצילמה בזווית רחבה מדי. היא חטפה קנס של 4,800 אירו. בהמשך ניתנו גם קנסות שהגיעו עד 20 אלף אירו", סיפר.

"2019 רק החלה והפעם מדובר בקנס גבוה בהרבה – 59 מיליון אירו לגוגל בשל תנאי שימוש שפגעו בפרטיות. הבעיה היא שזה לא סכום שמזיז לגוגל, שהרוויחה ברבעון האחרון 11 מיליארד דולר. נוכחנו גם בטווח זמן ארוך יחסית מרגע שהחלה החקירה ועד להטלת הקנס – שמונה חודשים", ציין.
"התכולה של GDPR לא תמיד רלוונטית לחברות ישראליות ושלא מציעות שירותים או מוצרים לתושבי האיחוד ואינן מנטרות את הפעילות שלהם ברשת, אבל מכיוון שכל חברה כיום היא חלק משרשרת אספקה גלובלית, נוצרת דחיפה מהחברות שבמורד שרשרת האספקה,לא חשוב היכן הן נמצאות, לעמוד בתנאים", הוא הוסיף.

גלעד ירון מנהל תחום פרטיות ואבטחת ענן בפירמת רואי החשבון BDO. צילום: יח"צ

גלעד ירון מנהל תחום פרטיות ואבטחת ענן בפירמת רואי החשבון BDO קשר בין סוגיית הפרטיות והאבטחה בזכות סעיפים 32 ו-33 ב-GDPR, העוסקים ספציפית באבטחת מידע.
ירון דיבר על הקנס שגוגל חטפה, ומסתבר שלמרות שלא הייתה פריצה, לא דלף מידע, לא שובש מידע ובכלל לא היה אירוע אבטחה, הם לא הסבירו מה הם עושים עם המידע שלנו, וה-GDPR טען שהמידע שלנו הוא בבעלותנו.

לדבריו, "הן לצרכי הגנה על הפרטיות והן לצרכי אבטחת מידע כל ארגון חייב לבחון את התהליכים העסקיים שלהם, כולל מחלקות ה-IT ואבטחת המידע. בשלב השני צריך לדבר עם מנהלים בחברות ולא אנשי IT".
"כך לדוגמה, חברה שעסקה בהפצת מתנות לחגים קיבלה מהוועדים בקובץ אקסל פשוט את שמות העובדים והעדפותיהם. כמובן שמאגר מידע כזה לא נרשם בשום מקום", אמר.
"בתהליך החשיבה הזה מגיעים להבנה מה הם הסיכונים, בעיקר מה תהיה ההשפעה ברגע שמישהו יגנוב את המידע. וזה מביא את הצורך במעקב אחר הספקים שהוא הרבה יותר מורכב מאשר בתוך החברה", אמר.

הוא הוסיף ואמר כי "כדי לבצע את כל התהליכים הללו, נוצר תפקיד חדש בארגונים – DPO – Data Privacy Officer ואולם לא תמיד הגדרת התפקידים בינו לבין ה-SISO ברורה, ובכל חברה הוא מקבל משמעות מעט שונה. לא כתוב שבעל התפקיד הזה צריך להיות טכנולוג, עורך דין או איש רספים, הדבר היחיד שהוא צריך הוא להכיר את ה-GDPR. תפקידו בין היתר להגן על הנתונים שלא ידלפו ושייאספו רק מה שמותר לאסוף ולהגן על הנתונים הללו מפני בעיות פרטיות ואבטחה".

עו"ד מאיה רוזנשיין, מומחית לציות. צילום: יח"צ

עו"ד מאיה רוזנשיין, מומחית לציות, התייחסה לשאלה מי הבעלים של המייל בארגונים, שאיננה שאלה טריוויאלית. לדבריה, "חוק הגנת הפרטיות לא חד משמעי בעניין הזה מכיוון שמדובר בחוק משנת 1984, שבו רשימת תושבים וכתובות (פיזיות) הוחרגה מהצורך להקים מאגר מידע רשום. ואולם, בעידן הדיגיטלי ניתן להצליב בין רשימות תמימות לכאורה ולחשוף עבירות. דוגמה לכך הייתה תפיסתו של מפעיל אתר "דרך המשי" בדארקנט, באמצעות מייל תמים ששמו הופיע בו, ואשר השתמש באותו הכינוי שבו השתמש בדארקנט כאשר שאל שאלה בפורום מחשבים".
עם זאת, לא תמיד המייל משמש לתפיסת פושעים. גם בית הדין הארצי לעבודה דן בנושא כבר לפני כעשור, כשהגיעו אליו הערעורים משתי תביעות כאשר באחד המקרים השופט בבית הדין האזורי לעבודה הסכים לקבל את הראיה שנתפסה בדוא"ל ובמקרה השני, השופט גרס שהפרטיות עדיפה.

לדברי רוזנשיין, הסתירה הזו לא נפתרה לגמרי ועובד שמקבל תיבת דוא"ל במסגרת תפקידו יכול להשתמש בה במידה גם לצרכים פרטיים, אך נקבע גם כי למעסיק יש זכות לקבע מדיניות, שבסגרתה הוא חייב להודיע לעובדים אם הוא מנטר את תיבות הדוא"ל שלהם. באשר לתיבה אישית, לא מספיקה מדיניות אלא נדרשת הסכמת העובד לכל פעולת ניטור.
ומה באשר לפח? לדבריה, בית המשפט קבע כי אם המסמך שלכאורה נמחק מכיל חומר פרטי אסור לפתוח אותו ואם הוא מקצועי מותר. בכל אופן, עו"ד רוזנשיין הציעה שכתובות הדוא"ל לא יהיו אישיות אלא מקצועיות (למשל מכירות, מנהל טכנולוגיות ראשי).