2018: שנת הגנת הפרטיות

שנת 2017 חלפה לה ו-2018 נכנסה. השאלה המתבקשת היא: מה צופן לנו העתיד? ובכן, אולי לא נוכל לספר על שינויים פוליטיים צפויים, או האם שער הביטקוין (Bitcoin) ימשיך לעלות, אבל כן נוכל לדבר על תקנות הגנת הפרטיות של האיחוד האירופי (GDPR). אלו תיכנסנה לתוקפן ב-25 במאי השנה.

שמירה על פרטיות הנתונים של משתמשי הקצה ואבטחת המידע, נחשבים זה מכבר לשתי משימות נפרדות, עם שתי מטרות נפרדות. אך כל זה עומד להשתנות השנה. עם התקנות הגלובליות המשמעותיות שייכנסו לתוקף, ועם התגובות הרגולטוריות להפרות נתונים, ארגונים יבנו מערך ניהול נתונים חדש, שיהווה מסגרת הממוקדת בשליטה בנתונים: שליטה מי רואה אלו נתונים, באיזו מדינה, ולאיזו מטרה. שנת 2018 הינה שנת הפרטיות – ולא רק שנת הסייבר.

כשעסקים הופכים יותר ויותר מונחי נתוני משתמשים, ואוספים פרופילים על התנהגות וצרכנות, כדי להשיג יתרון תחרותי – אנו ניצבים מול איסוף של כמויות עצומות של נתונים. במהלך תהליכי איסוף, או עיבוד הנתונים האלה, נתוני המשתמשים חשופים למספר רב של אנשים שונים ותהליכים בשלבים שונים. כאן – נכנסת לתמונה רגולציית ה-GDPR.

הפאניקה הולכת וגדלה

ככל שהארגונים מבינים את העוצמה של העמידה בדרישות הרגולציה, כך הפאניקה הולכת וגדלה.

בעוד חמישה חודשים, עם כניסת הרגולציות לתוקף, ארגונים יצטרכו למצוא את הדרך לגשר על הפער בין המצב הרצוי למצוי ולהיות לפחות תואמים חלקית. הארגונים יצטרכו למצוא דרך מהירה ויעילה לאסוף את מלוא המידע על נתוני המשתמשים הנאגרים ומעובדים ביישומים השונים שלהם, ולהבין את ההשפעה האפשרית של אירוע סייבר. זאת, על מנת למנוע קנסות, פרמיות גבוהות ומוניטין רע, שהם רק חלק מתוצאותיה של אי עמידה בדרישות הרגולציה.

כדי להרגיע מעט את מפלס החששות, אנו מציעות לתת את הדעת לנקודות הבאות:

האחת, הסכמת הלקוח. בהתאם לתנאי GDPR, נתונים אישיים מתייחסים לכל דבר שניתן להשתמש בו כדי לזהות אדם, למשל שם, כתובת דוא"ל, כתובת IP, פרופילים של מדיה חברתית או מספרי ביטוח לאומי. על החברות לקבל הסכמה מדעת של הלקוחות בנוגע לאיסוף המידע הזה עליהם. אין אפשרות שימוש בתהליך opt-in אוטומטי. על החברות להציג בבירור את המטרה שלשמה נאספו הנתונים ולבקש הסכמה נוספת, אם הן יחלקו את המידע עם צדדים שלישיים.

נקודה נוספת היא הזכות למחוק נתונים, או הזכות לשכוח, נושא המכונה "ניידות הנתונים". התקנות מסמיכות כל אזרח מהאיחוד האירופי לבקש גישה לנתונים האישיים שלהם, או להסירם – בלא צורך בהרשאה חיצונית.

עוד היבט שנדרש להתייחס אליו הוא השלכות ההפרה. בעבר, חברות הצליחו לאמץ פרוטוקולים משלהן במקרה של זליגת, או גנבת מידע. עם כניסת רגולציית ה-GDPR, חברות נדרשות לדווח על כל דליפת נתונים לרשות הפיקוח באיחוד האירופי, בתוך 72 שעות. ההודעה צריכה לכלול פרטים על אופי ההפרה, הקטגוריות ומספר האנשים המשפיעים עליהן, וכן את פרטי הקשר של קצין הגנת המידע (DPO). את ההודעה על ההפרה, התוצאות האפשריות, והתיקון יש לשלוח גם ללקוח המושפע ממנה "בלא עיכובים מיותרים".

עוד נקודה היא פסיאודונימיזציה: הצורך בעיבוד מידע אישי, באופן שהוא אינו יכול להיות משויך לנושא מידע מסוים (המשתמש) – בלא שימוש במידע נוסף. זאת, בכפוף לכך שהמידע הנוסף נשמר בנפרד ומטופל באמצעים טכניים וארגוניים, המבטיחים שהמידע לא יאפשר זיהוי של אותו נושא מידע. דרישה זו חלה על כל נתוני המשתמש הפוטנציאליים, בכל מקום שבו הנתונים נמצאים.

אם חלק מהפעולות הללו, לכל הפחות, לא יבוצע עם כניסת הרגולציה לתוקף במאי הקרוב – הרי שהפרת הגישה לנתונים תגרום לא רק לנזקים פיננסיים כואבים, אלא גם לשחיקת אמון המשתמשים. ההכרה בחשיבותה של רגולציית הגנת הפרטיות (GDPR) היא צו השעה והבשורה הגדולה של תחילת 2018.

הכותבות הן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי, ועו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.