עידן חדש באירופה - מגזין TheMarker - TheMarker
 

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן
פרטיות

עידן חדש באירופה

תקנות GDPR מעניקות זכויות דיגיטליות חדשות ותקדימיות לתושבי האיחוד האירופי

2תגובות

25 במאי 2018 הוא היום שבו ייכנסו לתוקף תקנות GDPR (General Data Protection Regulation) של האיחוד האירופי. תקנות אלה, שיחולו בכלל מדינות האיחוד, הן בבחינת עדכון ותיקון של דיני הפרטיות שקבע הפרלמנט האירופי ב־1995, והן נועדו להתאים את הרגולציה האירופית למציאות הדיגיטלית שהתהוותה במהלך 20 השנים האחרונות, לצמיחתן של הרשתות החברתיות ולהתקדמות הטכנולוגית המואצת.

אבל תקנות GDPR גם מרחיבות באופן דרמטי את תחולת דיני הפרטיות האירופיים, הרבה מעבר לטריטוריית האיחוד האירופי, ולכן הן צפויות לשנות מן היסוד את כללי המשחק בעולם כולו, בכל הקשור לשימוש והגנה על מידע אישי של תושבי האיחוד האירופי, ולאלץ חברות רבות לאמץ שינויים מרחיקי לכת בתהליכי העבודה ובמערכות המידע שלהן – שינויים שהשפעתם תגיע להמוני משתמשים בעולם כולו, ולא רק באירופה. אם נהוג לומר שהפרטיות מתה בעידן האינטרנט – נראה שההספדים היו מוקדמים מדי.

מגד גוזני

במה שונה ה–GDPR מהדין הישן?

התקנות החדשות מייצגות את הרגולציה המקיפה והמכבידה ביותר בעולם בכל הנוגע להגנה על מידע אישי. בפן הארגוני, חברות יידרשו בין היתר להציג תיעוד מפורט של אופני עיבוד המידע, לנסח מסמכי מדיניות חדשים ופרוצדורות סדורות לצורך מימוש ההוראות, למנות בעלי תפקידים שיהיו אחראים להיבטי הציות לדיני הגנת המידע, לערוך סקרי סיכוני הגנת מידע, ועוד.

בפן הטכנולוגי, חברות שאוספות מידע אישי יידרשו להתחשב בהגנת מידע בעת תכנון מערכות ושירותים חדשים שישיקו (Privacy By Design), להשתמש בכלים טכנולוגיים שיאפשרו לחברה להציג ראיות אלקטרוניות המוכיחות שהן ביצעו את הנדרש מהן על פי דין (למשל, להוכיח שקיבלו הסכמה מהמשתמש לשימוש במידע האישי שלו), ולהטמיע מנגנונים טכנולוגיים שיאפשרו למשתמשים לממש את זכויותיהם הדיגיטליות.

התקנות מעניקות זכויות דיגיטליות חדשות ותקדימיות לתושבי האיחוד האירופי. כך למשל, יהיו תושבי האיחוד זכאים לבקש את מחיקת המידע האישי עליהם מספקי שירות ("הזכות להישכח"), ואף להתנגד ליצירת פרופיל התנהגותי או לקבלת החלטות המבוססות על עיבוד אוטומטי. כמו כן יהיו תושבי האיחוד זכאים לנייד את המידע עליהם מספק שירותים אחד לאחר (Data Portability). זאת, לצד זכויות אחרות, ביניהן הזכות לקבל עותק מן המידע האישי, לבקש את תיקון המידע, להגביל את יכולתם של נותני שירותים לשתפו עם צד שלישי ועוד.

כמו כן, יחולו עוד חובות בעולמות אבטחת המידע, בהם חובת דיווח לרגולטור ולתושבים על אירוע פריצה למידע, יישום פסאודונימיזציה (תהליך שבו מוחלפים הפרטים במידע האישי המזהים אותו עם אדם ספציפי בפרטים אחרים, למשל באמצעות הצפנה, באופן המקשה על שיוך המידע לבעליו המקוריים), אנונימיזציה של מידע אישי, ועוד.

עיבוד תמונה : עדי

האם גם חברות ישראליות יושפעו מהתקנות החדשות?

תקנות GDPR יחולו על כל חברה האוספת מידע אישי תוך אספקת שירותים או מוצרים לשוק האירופי, ועל כל חברה שיוצרת פרופילים התנהגותיים של תושבי האיחוד האירופי – בין אם היא ממוקמת בלונדון, בניו־יורק או בתל אביב. הדברים נוגעים במיוחד – אך לא רק – לחברות בעלות נוכחות ממשית בשוק האירופי, או לחברות המעסיקות עובדים באיחוד האירופי. ובהתאם, חברות רבות הממוקמות מחוץ לאירופה, לרבות בישראל, החלו כבר בהיערכות לקראת כניסתן של התקנות לתוקף.

התקנות יהיו בעלות תוקף בין אם המידע מסופק ישירות על ידי תושב האיחוד (למשל, איסוף שם וכתובת אימייל ממשתמש באמצעות הרשמה לאתר או לטובת קבלת דיוור אלקטרוני), ובין אם המידע נאסף באופן אוטומטי ממכשירו של התושב (למשל, באמצעות איסוף נתוני גלישה או נתוני מיקום). לצורך זה, ההגדרה למידע אישי היא רחבה מאוד, ורחוקה מלהיות אינטואיטיבית. היא מתפרשת על כל מידע שמזהה אדם באופן ישיר – למשל שם או כתובת אימייל – או באופן עקיף. למשל, מזהים מקוונים מסוימים כדוגמת כתובת IP, או מיקום מבוסס GPS או Wi-Fi – ייחשבו אף הם כמידע אישי.

האם ההיערכות לכניסת התקנות לתוקף מחייבת רכישה של טכנולוגיות חדשות?

הגופים והחברות האוספים מידע אישי יידרשו להטמיע מנגנונים טכנולוגיים מתאימים כדי להתמודד עם ההוראות החדשות. כבר עתה נפוצות טכנולוגיות, חלקן ישראליות, המאפשרות את איתור המידע האישי בארגון ומיפוי מערכות ה־IT המאחסנות מידע, קטלוג המידע האישי בהתאם לרגישותו, הצפנת מידע אישי, ניהול הרשאות לגישה למידע אישי, ועוד. כמו כן, סביר כי יידרשו התאמות לתשתית ה־IT של החברה, כדי לוודא כי החברה עומדת ברף האבטחה הנדרש, וכי יש ביכולתה לממש באופן אפקטיבי את דרישות המשתמשים – למשל, את היכולת למחוק מידע אישי ממערכות הארגון, לבקשת המשתמש.

יחד עם זאת, השינוי אינו רק טכנולוגי. חברות יידרשו גם להטמיע הליכי עבודה סדורים, לתעד באופן מפורט את הליכי השימוש במידע, לחדש את מדיניות הפרטיות, לערוך תיקונים בחוזי שיתוף המידע עם צדדים שלישיים, ועוד.

מי צפוי להיות על "הכוונת" של הרגולטורים האירופיים?

כל החברות והגופים שאוספים מידע אישי על תושבי האיחוד האירופי, החל בגופי מדיה ותקשורת וכלה בחברות אינטרנט ותוכנה, בנקים, גופי ביטוח, בתי חולים ומלונות. כאמור, הרגולציה התהוותה כדי לתת מענה לחששות הפרטיות בעידן הדיגיטלי – ולכן כל חברה העושה שימוש בטכנולוגיות של כריית מידע (למשל חברות ביג־דאטה וגופי מדיה וזירות מסחר אינטרנטי), וכל חברה המנטרת באופן שיטתי את התנהגות המשתמשים (למשל, חברות העוסקות בפרסום התנהגותי), הן "על הכוונת" של הרגולטור.

נראה שחברות אינטרנט חשופות לסיכון מיוחד, מאחר שהנכס הגדול ביותר עבור אותן חברות הוא המידע – צבירת דאטה על משתמשי הקצה מצויה בשורש הפעילות והמודל העסקי של אותן חברות. הנכס הזה נהפך כעת גם לסיכון. בנוסף, חברות האוספות מידע רגיש אודות משתמשים (למשל, מידע הנוגע למצב רפואי או מידע ביומטרי), או אוספות מידע על ילדים מתחת לגיל 16 – צפויות אף הן להיות במוקד תשומת ליבם של הרגולטורים.

מעבר לכך, החקיקה מציגה אתגרים ייחודיים עבור חברות ממגזרים שונים. למשל, חברות דאטה וחברות המשתמשות במידע אישי כדי לפלח קהלי יעד למפרסמים ולהתאים למשתמשים פרסומות ממוקדות, יתמודדו עם דרישות חדשות ומחמירות הנוגעות ליצירת פרופיל על תושבי האיחוד והחובה לאפשר להם להתנגד ליצירת פרופיל התנהגותי או לקבלת החלטות המבוססות על עיבוד אוטומטי. חברות הפועלות בתחומים מסורתיים יותר, למשל בנקאות, יידרשו להטמיע מנגנונים טכנולוגיים שיאפשרו לפרטים לממש זכויות חדשות, למשל מתן אפשרות לתושבים לנייד את המידע עליהם מחברה אחת לאחרת.

חברות הפועלות בתחומים הנתונים כבר לרגולציה מכבידה (למשל מוסדות פיננסיים, חברות טלקומוניקציה וכו'), יתמודדו עם הצורך לאזן בין דרישות הרגולציה הקיימת לבין GDPR, שלעתים מתנגשות אלה באלה.

מהו הסיכון אם לא איערך?

אי ציות לתקנות GDPR חושף את המפר לסנקציות חמורות ביותר. התקנות מאפשרות לרגולטורים האירופיים להטיל קנס של עד 20 מיליון יורו או 4% מהמחזור השנתי של חברה שתפר את הוראות ה־GDPR. התקנות מייצגות עליית מדרגה משמעותית בדרישות לשמירה על פרטיות אזרחי האיחוד, והרגולטורים כבר הבהירו בכמה הזדמנויות שבכוונתם להטיל קנסות כדי להבטיח שהוראות אלה יקוימו.

סיבה נוספת לקושי להתעלם מהדרישות החדשות היא שיותר ויותר חברות אירופיות נערכות לרגולציה החדשה ודורשות מחברות זרות להצהיר שהן עומדות בה במטרה להמשיך בשיתוף הפעולה עמן.

מתי להתחיל להיערך?

אם התקנות צפויות לחול עליכם, וטרם התחלתם – עשו זאת כעת. ההוראות החדשות ייכנסו לתוקף בעוד חצי שנה, ויישומן כרוך גם בתיקוני מוצר וביישום התאמות למערכות ה־IT של הארגון. תהליכים כאלו לוקחים כמה חודשים, במקרה הטוב. הטמעת החובות הארגוניות בחברה (למשל, מיסוד הליכי עבודה ומדיניות, רענון החוזים, מינוי בעלי תפקיד וכו') צפוי לארוך בין שלושה לששה חודשים, ואף יותר – תלוי בגודל הארגון, במורכבות הפעילויות שלו ובהיקף החשיפה שלו.

כמובן, גם לאחר כניסת ה־GDPR לתוקף, לא תמה המלאכה – צריך להקפיד באופן שוטף על קיום הוראות ה־GDPR, קיום בקרה על הציות לדיני הגנת המידע בחברה, עריכת סקר סיכונים מעת לעת, התמודדות עם בקשות למימוש זכויות מכוח ה־GDPR, ועוד.

בשורה התחתונה, אין זה פרויקט נקודתי, אלא שינוי בהלך המחשבה ובתרבות הארגונית בכל הנוגע לפרטיות.

עו"ד עידו מנור הוא חבר במחלקת הטכנולוגיה והרגולציה במשרד הרצוג פוקס נאמן



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#