השפעת רגולציית הפרטיות על חברות SMB

במרחק של עוד פחות מארבעה חודשים, תיכנס לתוקפה רגולציית הפרטיות, ה-GDPR. חברות רב-לאומיות וגדולות כבר החלו את מסען לעבר התאימות לפני חודשים רבים ונמצאות צעד קטן לפני המוכנות. השאלה המעניינית הינה, מה קורה עם החברות הקטנות והבינוניות? האם חברות אלו נערכות לקראת המועד המיועד? אלו תהליכים ושלבים עוברות חברות אלו לקראת מאי?

בבואנו לקרוא את העדכונים השונים אשר מפרסמת הנציבות האירופית, ה-EC, ניתן לראות כי הנציבות מנסה לסייע רבות בהנחיות נקודתיות המופנות ספציפית לחברות הקטנות והבינוניות. לדוגמה, גמישות בהעסקת קצין הגנה על נתונים, תוך שמירה על רשומות פעילות עיבוד ודיווח על הפרות; קידום חוק ניוד הנתונים החדש בו נאמר כי "יאפשר לאנשים להעביר את הנתונים האישיים שלהם מספק שירות אחד לאחר. חברות סטארט-אפ וחברות קטנות יותר יוכלו לגשת לשוקי נתונים שבשליטת ענקיות דיגיטליות ולמשוך יותר צרכנים לפתרונות ידידותיים לפרטיות".

יחד עם "הקלות" שהנציבות מנסה לספק לחברות אלו, החברות חייבות להתכונן לתהליך התאימות כמו החברות הגדולות. מוכנות זו חייבת להתחיל עם הבנה מעמיקה של הכללים.

ההכנה מתחילה בנקודת המוצא היסודית – בהבנה של איזה מידע אישי החברה אוספת, היכן הוא מאוחסן, מהם התהליכים העסקיים בהם המידע משותף, איזו הסכמה ניתן לצרף אליו ומתי הארגון מוחק אותו, במידת הצורך. כמו כן, כאשר אותן חברות באות במגע משותף עם חברות שהן ספקיות שירותי ענן, עליהן להבין כיצד הן חולקות מידע עם אותם גופים, איך שיתוף הנתונים מנוהל ומה החוזים הנדרשים על מנת להסדיר את ההסכם.

חשוב מאוד לזכור, כפי שכבר הזכרנו זאת במאמר אחר, החברות שמסתכלות מעט קדימה, צריכות לראות בתהליך התאימות לרגולציית ה-GDPR, הזדמנות לניקוי מאגרי הנתונים שלהן ויכולת התמקדות טובה יותר באינטראקציה ממוקדת ומותאמת אישית בכל הערוצים עם המשתמשים שלהן.

למצוא את השותפים הנכונים

לשם כך, על הארגון לדאוג כי מישהו אכן יקרא ויבין את הרגולציה ואת כל המשתמע ממנה – את הערכות ההגנה על נתונים או את החובות לדווח על זליגה של נתונים. ייתכן כי כדי להבין את החוק, ישנו צורך להתייעץ עם מומחים משפטיים, לחפש את המשאבים הנכונים כדי לעזור לארגון להכין את עצמו – את החברה, השותפים והלקוחות. החברות לא צריכות להתחיל ליישם את התהליך הזה לבד. במקום לנסות לנחש כיצד להתכונן לתחולת הרגולציה, יש למצוא את השותפים הנכונים או ספקי שירותים מקצועיים עם המומחיות הנדרשת להבנת הרגולציה.

מבחינה תפעולית, החברות הנ"ל צריכות להבין כיצד הנתונים האישיים זורמים דרך הארגון שלהן, מסלול אשר עשוי להיות מפותל מאוד; יש צורך באימות opt-in מצד המשתמשים וניהול אותן הסכמות; במידה והחברה עובדת עם ספקים חיצוניים אשר מעבדים מידע המגיע דרכה, על החברה לוודא כי הספקים מודעים לחובתם כגורם מעבד מידע תחת דרישות הרגולציה.

התהליך נראה מאיים אבל התעלמות ממנו לא תעלים אותו. על מנת לציית לרגולציה יש לוודא כי כל הנתונים שנאספו מהמשתמשים הינם הכרחיים לתהליך העסקי; כמו כן – על הנתונים להישמר בצורה מאובטחת למשך זמן מוגבל; משתמשים המבקשים לקבל דיוור שיווקי, חייבים לבקש זאת באופן אקטיבי מצידם; וכן – חייבת להינתן האפשרות למשתמשים לתקשר עם החברה על מנת לבקש הסרת נתונים, עיון בהם או עדכונם.

אי לכך, אם אתם עסק קטן או בינוני, אין לדחות את ההכנה לקראת תחולת הרגולציה האירופית. היום הוא הזמן להתחיל. התחילו בצעד הראשון של למידת משמעויות הרגולציה על העסק שלכם, לשתף פעולה עם שותפים ומשאבים מהימנים, ולהסתכל על זה כעל הזדמנות לעסק שלכם להמשיך ולהתפתח.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.