זמן הדין וחשבון – שקיפות היא שם המשחק

תקנות הפרטיות האירופיות, ה-GDPR, מאפשרות לצרכנים ולאזרחים בעלי אזרחות אירופית, לקבל יותר שליטה על הנתונים האישיים שלהם.

התקנות הרחיבו את זכותם של צרכנים לקבל מידע על האופן שבו ארגונים משתמשים בנתונים שנאספו עליהם. עם כניסת התקנות לתוקף, לצרכנים תהיה הזכות לבקש מהארגונים למחוק, או להסיר את הנתונים האישיים הללו שנאספו, אלא אם יש לארגון סיבה טובה להמשיך ולעבד אותו.

לצד דרישות אלו, התקנות מציגות גם מחויבות משפטית חדשה להגנה על הנתונים של המשתמשים אזרחי אירופה – אחריותיות (accountability). על הארגון מוטלת האחריות לאפשר גישה לתהליכי הניהול ועיבוד הנתונים האישיים שמבצע הארגון באופן שקוף למשתמשים. גישה זו צריכה להיות בנויה ומפותחת כחלק מן המוצרים והשירותים אותם החברה מספקת, או מפתחת. בנוסף, מוטלת על הארגון האחריות לדאוג להסדרים עם צדדים שלישיים להגנה על מידע פרטי ולהגבלות בנוגע לשימוש עתידי בנתונים.

לבנות וליישם תוכנית מקיפה לניהול פרטיות

איך מצייתים לשינוי הזה בפועל? הגישה הטובה ביותר עבור ארגונים תהיה לבנות וליישם תוכנית מקיפה לניהול פרטיות. על התכנית לכלול בתוכה כמה רכיבים. האחד, מבנה ארגוני פנימי המטפח תרבות של שמירת פרטיות בכל הדרגים ובכל התהליכים של הארגון. רכיב שני הוא בקרות תוכנה שונות שייושמו בשירותים ובמוצרים של הארגון. זאת, כדי להבטיח עמידה בדרישות ה-GDPR השונות. הדרישות הן, למשל, מלאי נתונים אישיים, רשומות של פעילויות עיבוד מידע, מדיניות פרטיות מותאמת אישית, הודעות בנוגע להליכי הפרת הסטנדרטים המחייבים לפרטיות מידע, מדיניות שמירה ושימור. עוד יכולות הדרישות להיות שיפור אמצעי ההגנה על הפרטיות, תוך יישום הגנת נתונים על ידי עיצוב המוצר או השירות – ככזה אשר מכיל הגנות פרטיות מתאימות מלכתחילה, בעת בניית מוצרים חדשים. דרישה נוספת היא ביצוע הערכות שוטפות של ההשפעה על הגנת נתוני המשתמשים, במקומות בהם עיבוד הנתונים עלול לגרום לסיכון גבוה, ועוד.

"כיצד התהליך ייתפס על ידי לקוחותינו?"

רכיב שלישי הוא יצירת תהליכי פיקוח ארגוניים, שיבוצעו באופן שוטף, במטרה להעריך ולשנות את האפקטיביות ואת ההתאמה של הבקרות לתוכנית שמירת הפרטיות, ולבצע התאמות במידת הצורך. רכיב רביעי של התוכנית הוא פיתוח סטנדרטים אתיים בארגון בכל הנוגע לעיבוד נתונים אישיים ולמדיניות הארגון בכל הנוגע לאיסוף מידע ועיבוד נתונים. קוד אתי של הארגון, הנוגע לאיסוף מידע ועיבודו, יחייב חשיבה ארגונית מקיפה. במקום להסתפק בשאלה "האם החברה יכולה לאסוף, או לעבד נתונים באופן חוקי?", הקוד האתי ידרוש בחינה של השאלה הנוספת: "האם אנו, כארגון, רוצים לעשות זאת, וכיצד התהליך ייתפס על ידי לקוחותינו?".

לארגונים אשר מבקשים להתחיל תהליך כזה של שקיפות בקנה מידה קטן יותר – בשל מחסור במשאבים, או מסיבות אחרות – נמליץ לבצע את השלבים הבאים כנקודת התחלה: הכשרת אדם בעל רמת מומחיות מתאימה להבנת דרישות התקנות בדבר מתן דין וחשבון למשתמשים על השימוש והעיבוד של הנתונים שנאספו לגביהם; ניסוח והטמעת מדיניות מתאימה להגנה על נתונים, תוך התייחסות לדרישות הפיתוח של מוצרי ושירותי החברה בדבר שמירת הפרטיות; יישום מנגנוני בקרה המאפשרים פיקוח על ציות לדרישות הגנת המידע של נתוני המשתמשים; תכנון תהליכים ארגוניים שישמשו לבחינה תקופתית של האפקטיביות של הגנת נתוני הפרט בחברה; הסדרת היכולת של החברה לתת דין וחשבון בעת הצורך באופן מאורגן ויעיל – ובדרך שאינה מפריעה לפעילות העסקית של החברה.

כדי ליצור שינוי תרבותי וארגוני עבור תאימות ה-GDPR בארגון, יש חשיבות רבה לשיתוף הגורמים השונים בארגון – בתהליך. רגולציית ה-GDPR יוצרת נטל על החברות וגורמת להן להבין את הסיכונים שהן יוצרות עבור אחרים. היא כופה עליהן לבנות תרבות של פרטיות, שצריכה לפעול בכל ארגון – ולהקטין את הסיכונים הללו. פיתוח הבנה ותרבות של פרטיות עשויים לשפר את השימוש בנתוני הפרט, ולאפשר לארגון להעריך את הסיכון שלו בתהליכים העסקיים השונים. התוצאה עשויה להיות בהחלט מועילה – אחריות רבה ליחסי חברה-לקוח ויכולת שימור לקוחות גבוהה.

אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.