האיחוד האירופי עומד בפני מהפכה של ממש בכל הקשור להגנה על פרטיות המידע. מהפכה זו מתגלמת בתקנות ה - GDPR - General Data Protection Regulation שהתקבלו באפריל 2016 וייכנסו לתוקף ב-25 למאי 2018. תקנות אלה קובעות סטנדרטים חדשים וברורים להגנה על המידע, שעל כל חברה וארגון המצויים בקשר מסחרי או אחר עם ארגון מסחרי או אחר באחת מהחברות באיחוד האירופי לעמוד בהם.
תקנות ה - GDPR קובעות סטנדרטים חדשים וברורים להגנה על המידע, שעל כל חברה וארגון המצויים בקשר מסחרי או אחר עם ארגון מסחרי או אחר באחת מהחברות באיחוד האירופי לעמוד בהם
מדובר במהפכה של ממש, שכן בעבר, כל חוק שהיה עובר באיחוד, היה מוטמע לתוך מערכת החוקים של כל מדינה בנפרד, תוך מתן פרשנויות שונות במקומות שונים ובזמנים שונים. תקנות ה- GDPR, לעומת זאת, ייכנסו באופן אוטומטי לספר החוקים של כל מדינה באיחוד, באותו הזמן ובאותו הנוסח בדיוק, ויהיו בתוקף בכל המדינות ללא שום הבדל.
יתרה מכך, מדובר בתקנות החלות אקס-טריטוריאלית, כלומר, על כל ארגון או חברה המחזיקים מידע על כל אזרח באיחוד, גם אם החברה המחזיקה במידע אינה בעלת נוכחות פיזית באיחוד, ואפילו אם המידע עצמון אינו מוחזק באיחוד עצמו. התקנות הללו חלות על ישויות מסחריות קטנות כגדולות, כולל תאגידים רב לאומיים אמריקאים, כמו פייסבוק או אמזון, שמחזיקים מידע רב על אזרחים אירופיים וכן על ישויות מדיניות, אזרחיות ואחרות.
התקנות מתייחסות למספר נושאים מרכזיים הקשורים לאבטחת מידע, ובעיקרם הזכות למתן הסכמה לשימוש בפרטים והזכות להישכח
מה קובעות תקנות ה-GDPR?
התקנות נוגעות למאגרי מידע, ולכל מי שמחזיק או מפעיל מאגרי מידע ונמצא בכל אינטרקציה שהיא עם תושבים של האיחוד האירופי, כולל אינטרקציות בסיסיות כמו סליקה של כרטיסי אשראי. הן מיועדות לא רק למי שמחזיק במאגרי מידע אלא גם לכל מי שמעבד מידע ומי שהמידע עובר דרכו - אפילו אם מיקום המידע והעיבוד הם בענן (Cloud) והמיקום הפיזי שלהם אינו קשור לאיחוד בכל קשר שהוא.
התקנות מתייחסות למספר נושאים מרכזיים הקשורים לאבטחת מידע, ובעיקרם הזכות למתן הסכמה לשימוש בפרטים והזכות להישכח, ודורשות כי כל מערכות המידע, הקיימות והעתידיות, בכל חברה, קטנה כגדולה, יעוצבו מתוך התחשבות מקסימלית בשיקולי פרטיות המידע המנוסחים בתקנות.
התקנות החדשות דורשות, כי כל ארגון יחזיק אצלו תיעוד של ההסכמה של כל משתמש ומשתמש שיש עליו מידע
מהי הזכות להסכמה?
התקנות החדשות דורשות, כי כל ארגון יחזיק אצלו תיעוד של ההסכמה של כל משתמש ומשתמש שיש עליו מידע. צריך להיות ברור מאותו תיעוד, כי אותו משתמש נתן הסכמה מלאה שהמידע שלו יהיה בידי החברה או הארגון, כמו גם שהסכים מראש לכל השימושים שהחברה עשויה לעשות במידע הזה, תוך התחייבות שלה שלא תעשה במידע שום שימוש אחר.
התקנות אף דורשות, כי מתן ההסכמה ותנאיה הוצגו ללקוח באופן בהיר, נהיר ופשוט ונגיש ולא בשפה משפטית פתלתלה או כסעיף קטן נחבא אל הכלים, כפי שקורה פעמים רבות כיום.
עוד דורשות התקנות, שהצגת ההסכמה והחתימה עליה יהיו מפורשות וברורות וכי ללקוח תהיה האפשרות לבטל את ההסכמה בכל עת שיחפוץ בכך, ובצורה פשוטה יותר מזו שבה נתן את הסכמתו, או לכל הפחות בצורה זהה. למשל, במידה שההסכמה ומתן המידע ניתנו עם הרשמה לאתר כזה או אחר, האפשרות לבטל אותם צריכה להיות פשוטה ונגישה באותה מידה, אחרת הדבר נחשב כעברה על התקנות.
התקנות החדשות קובעות בבירור, כי לכל אדם יש את הזכות להודיע לחברה או לארגון המחזיקים במידע שלו (פרטים אישיים, כרטיס אשראי, היסטוריית קניות וכד') כי הוא מבקש להישכח, שכל הפרטים שלו ועליו המצויים במאגר הנתונים יימחקו לגמרי
מהי הזכות להישכח שהתקנות קובעות?
התקנות החדשות קובעות בבירור, כי לכל אדם יש את הזכות להודיע לחברה או לארגון המחזיקים במידע שלו (פרטים אישיים, כרטיס אשראי, היסטוריית קניות וכד') כי הוא מבקש להישכח, שכל הפרטים שלו ועליו המצויים במאגר הנתונים יימחקו לגמרי. זאת, בשונה מהנהוג כיום, כאשר מרבית החברות שומרות את פרטיהם של כל מי שמי שהיו בקשר עמן, גם אם הודיעו על ניתוק הקשר.
יתרה מכך, כל צד שלישי שאליו הועבר המידע בהסכמת הלקוח, חייב גם הוא למחוק את המידע שהועבר אליו, והאחריות לוודא שזה אכן קורה כמו גם האחריות המשפטית במידה שהמידע אינו נמחק, מוטלת על החברה שמסרה אותו.
כל חברה ישראלית שמפיצה מוצרים לאיחוד האירופי, ואין הצדקה תקציבית שתעסיק ממונה ארגוני משלה, תצטרך להעסיק קבלן משנה בתפקיד קצין המידע של החברה מול האיחוד, שמשרדו יהיה ממוקם באיחוד
מה החברה שלי צריכה לעשות כדי לעמוד בתקנות ה-GDPR?
לתקנות החדשות משמעות רחבה עבור כל ארגון או חברה. החל מחוזים ומסמכים משפטיים שיהיה עליהם להיות מנוסחים כך שיעמדו בתקנות, דרך עיצוב אתר האינטרנט והתכנים המופיעים בו, כמו גם עיצוב טופסי ומערכות איסוף המידע ותיעודו, ועד להקמת מנגנוני פיקוח פנים ארגוניים על המידע, כולל בעל תפקיד חדש בארגון - ממונה להגנה על מידע. בעל תפקיד זה צריך להיות מומחה שבתחום אחריותו יישום התקנות, תיעוד של תקריות באבטחת מידע ועמידה בקשר רצוף ודיווחים שוטפים עם סוכנות האיחוד האירופי האמונה על הנושא.
לדוגמא, כל חברה ישראלית שמפיצה מוצרים לאיחוד האירופי, ואין הצדקה תקציבית שתעסיק ממונה ארגוני משלה, תצטרך להעסיק קבלן משנה בתפקיד קצין המידע של החברה מול האיחוד, שמשרדו יהיה ממוקם באיחוד. יהיה עליה גם להוכיח, כי התקנות החדשות הוטמעו בארגון בכל רמות העבודה שלו וכי כל המערכות שלו מעוצבות מתוך התחשבות בשיקולי הפרטיות.
התקנות החדשות מבטיחות, כי לצרכן תהיה שליטה מלאה על המידע של עצמו ויכולת להגן עליו ולהבטיח כי לא ייעשה בו שימוש לרעה
מהי חשיבות התקנות הללו?
נושא ההגנה על הפרטיות ועל מאגרי מידע הוא למעשה פרוץ לחלוטין. חברות וארגונים קטנים רבים מאפשרים ליקויים של אבטחת מידע, ולעיתים מעבירים מידע ביניהם. חברות גדולות יותר עם מערכות אבטחות מידע טובות יותר, מנצלות לעיתים קרובות את כוחן לרעת הצרכן, מונעות שקיפות ומשתמשות במידע לטובתן, מבלי שיש לצרכן אפשרות להתנגד.
התקנות החדשות מבטיחות, כי לצרכן תהיה שליטה מלאה על המידע של עצמו ויכולת להגן עליו ולהבטיח כי לא ייעשה בו שימוש לרעה, או לצורך העניין כל שימוש שהוא מעבר למה שנתן לו את הסכמתו, ומנסחות סטנדרטים ברורים בכל הרמות של ההתנהלות הארגונית, כמו גם סנקציות ברורות שיוטלו על כל חברה שלא תעמוד בהם.
במקרים של הפרת התקנות, האיחוד יכול להטיל קנסות מינהליים בהיקף של עד 20 מיליון אירו, או ארבעה אחוזים מהמחזור של הגוף הנקנס, הגבוה מבין השניים
מה המשמעות של אי עמידה בתקנות הללו?
במקרים של הפרת התקנות, האיחוד יכול להטיל קנסות מינהליים בהיקף של עד 20 מיליון אירו, או ארבעה אחוזים מהמחזור של הגוף הנקנס, הגבוה מבין השניים. כמו כן, אי דיווח לאיחוד על תקריות בנושא אבטחת מידע יגרור קנסות כבדים של מאות אלפי יורו. את הקנסות המינהליים הללו ניתן להפעיל על כל האינטראקציות הכלכליות של החברה/הארגון עם האיחוד האירופי. לכל גוף ניתנת אמנם הזכות לערעור, אך כדי לערער נדרשת פנייה לבתי משפט אירופיים, וניהול הליך הערעור לבדו יכול לעלות מאות אלפי יורו.
במלים אחרות, עבור חברה בגודל בינוני או קטן מדובר בקנס גבוה ביותר, העשוי אף להוות מכת מוות עבור החברה. מומלץ לעשות כל מה שניתן בכדי להערך לכך בהקדם, תוך הסתמכות על ייעוץ משפטי שינחה את מי שאמון בחברה על עיצוב מערכות המידע.
לסיכום, צריך ומן הראוי לציין, כי בעת כתיבת שורות אלו נותרו פחות מחמישה חודשים להיערך לכניסת התקנות לתוקף בחקיקה. ארגונים שלא ייערכו לכך כראוי, יהיו חשופים לנזקים אדירים.
* השתתף בהכנת הכתבה: יותם בן מאיר, כתב זאפ משפטי
