תקנות אבטחת המידע החדשות כבר בפתח; האם אתם מוכנים?
אפשר להתייחס לרגולציה החדשה הקרבה ובאה כאל מקל נוסף בגלגלים העסקיים של החברה, או כגזירה שהציבור לא יוכל לעמוד בה, ואפשר לראות בה הזדמנות לצמיחה ארגונית, לשיפור יחסי האמון עם הלקוח, ולהצטרפות לכללי המשחק החדשים
קשה לפספס את הזרקור שמופנה בעת האחרונה לתחום הגנת הפרטיות ואבטחת המידע. פריצות אבטחה ודליפות של מידע אישי למרחב המקוון כבר הפכו מזמן לדבר שבשגרה. חברות מסחריות זוכות לביקורת על שימוש במידע אישי החורג מציפיותיהם של הצרכנים, וכעת נכנס הרגולטור לתמונה, ובמלוא הכוח.
במאי 2018 יכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 הקובעות רף חדש של הגנה על פרטיות ואבטחת מידע. באותו חודש תיכנס לתוקף גם הרגולציה האירופאית המהפכנית ה-GDPR, שתחול על חברות ישראליות אשר פעילות במסגרת האיחוד האירופאי ואוספות מידע אישי אודות אזרחיו. תחת ה-GDPR, הרשויות האירופאיות מוסמכות להטיל קנסות בשיעורים חסרי תקדים (עד 4% מהמחזור השנתי הגלובאלי של החברה, או 20 מיליון יורו, לפי הגבוה מביניהם). בישראל, הרשות להגנת הפרטיות (לשעבר הרמו"ט), מוסמכת מכוח חוק הגנת הפרטיות להטיל סנקציות מנהליות ואף פליליות על חברות מפרות.
כל ארגון וחברה אשר אוספים או משתמשים במידע אישי אודות לקוחות, ספקים או עובדים (כלומר, כולם), ידרשו לעמוד בסטנדרט החדש. לגבי חלקם, יהיה מדובר במשימה לא קלה.
כלי להבטחת התנהלות ארגונית תקינה
מגזרים מסוימים בשוק, כגון המגזר הפיננסי וחברות הביטוח, רגילים לפעול תחת מתווה רגולטורי אינטנסיבי, ונוטים לראות ברגולציה החדשה כלי להבטחת התנהלות ארגונית תקינה. לעומת זאת מגזרים אחרים, בפרט בתחומים שעד כה לא קיבלו תשומת לב רבה מהרגולטור, כגון Ad-Tech, e-commerce ופלטפורמות חברתיות, מגיבים בקושי רב יותר לסטנדרט החדש.
תהליך ההיערכות של חברה אחת לא יהיה זהה לזה של אחרת. חברות מסוימות נמצאות בשלבים מתקדמים של זיהוי הפערים ביחס לרגולציה החדשה ויישום צעדים להשלמתם, ואילו אחרות ניצבות בפני האתגר של מיפוי תכולת המידע האישי שהן מעבדות, ואף בשלב המקדים של הפנמת הצורך בשינוי.
בדומה לכך, גם היקף הצעדים אשר חברות יצטרכו לנקוט לקראת הרגולציה החדשה הינו מגוון, החל מעדכון מסמך מדיניות הפרטיות של החברה וכלה בשינויים למודל העסקי שלה.
הגיע עידן חדש של שקיפות, הגינות וסבירות בשימוש במידע אישי
חברות אשר מתבססות על שימוש במידע אישי "מאחורי גבם" של הצרכנים, למטרות שונות מאלו שנמסרו לצרכנים, או תוך הסתמכות על תנאי שימוש ארוכים ועמומים, יבינו עד מהרה כי הגיע עידן חדש, שבו הן נדרשות לשקיפות, הגינות וסבירות בשימוש במידע אישי, ולשמירה על זכויותיהם של הצרכנים במידע זה.
הרגולציה החדשה שואפת להתאים את ההגנה המסורתית על הזכות לפרטיות לעידן הדיגיטלי והמקוון, על ידי הדגשת נקודת המוצא לפיה מידע אישי מהווה נכס אשר נמצא בבעלותו של הפרט. משתמשים הופכים להיות יותר ויותר מודעים למחירים שהם משלמים במטבע של מידע אישי תמורת שירותים חינמיים (וכאלה שאינם חינמיים), ולזכויותיהם בנוגע למידע שלהם. הרגולציה החדשה נותנת כלים נרחבים לפעול נגד חברות אשר לא יתאימו את עצמן לדין.
מדינה "נאותה" מבחינת סטנדרט ההגנה על פרטיות
הרשות להגנת הפרטיות פרסמה לא מעט הנחיות בשנה האחרונה, המחדדות את התחושה שהרגולטור הישראלי שם לו למטרה להביא את פרקטיקות הפרטיות הנהוגות בארצנו קרוב ככל הניתן למקבילותיהן האירופאיות, בין היתר, על-מנת לשמור על מעמדה של ישראל כמדינה אשר זכתה להגדרה על ידי הנציבות האירופאית כמדינה "נאותה" מבחינת סטנדרט ההגנה על פרטיות (Adequacy), מעמד אשר מאפשר העברת מידע מאירופה לישראל.
אפשר להתייחס לרגולציה החדשה כמקל נוסף בגלגלים העסקיים של החברה, או כגזירה שהציבור לא יוכל לעמוד בה, ואפשר לראות בה הזדמנות לצמיחה ארגונית, לשיפור יחסי האמון עם הלקוח, ולהצטרפות לכללי המשחק החדשים. בין כך ובין כך, היא מתקרבת בצעדי ענק, ועוד חודשים ספורים תחול על כלל המשק הישראלי.
עדיף להיערך מראש מאשר לתקן ליקויים בדיעבד, בעקבות הטלת סנקציה מנהלית או תביעה ייצוגית, ולנצל עכשיו את ההזדמנויות הטמונות ברגולציה החדשה. זו שאלה של חזון ארגוני, וכדברי הקיסר הרומי והפילוסוף מרקוס אורליוס: "המכשול הוא הדרך".
בתחילת 2018 צפויה הרשות להגנת הפרטיות להפעיל מערך ביקורת חדש, אשר ירחיב את יכולות האכיפה שלה. באירופה הרשויות מגייסות כוח אדם ובונות תשתית לאכיפת ה-GDPR. נחכה לראות מה יהיו פעולות האכיפה הראשונות מכוח הרגולציה החדשה. תעשו מה שנדרש בכדי לוודא שלא אתם תהיו הנאכפים.
הכותבת היא עורכת דין במחלקת קניין רוחני ופרטיות במשרד עמית פולק מטלון ושות'.
כתבה מצויינת