וובינר: מה זה GDPR

מה זה GDPR ומה אני צריך לעשות בעסק שלי כדי להתאים את עצמי.

זו השאלה שאני נתקל בה כל הזמן בתקופה האחרונה ושכל עסק שיש לו נגיעה עם שיווק דיגיטלי, אתר אינטרנט עם קוקיז או אמצעי מעקב, מכירות באירופה או כל נגיעה אחרת לאירופה חייב להתייחס אליה.

 

אני שמח להזמין אתכם לקחת חלק בוובינר GDPR בנושא הזה ממש שעורך הדין טל פרנקל ואני נעביר ממש בקרוב, ביום רביעי הקרוב, 11.4.2018, שעה 14:00. אנא הקישו על הלינק ותרשמו.

המדובר בחלק מהתנהלות כנס "ALL THINGS DATA" בו ארצה בנושא. בוובינר נפתח את הדלת לשיחה יותר ישירה בינינו.

מי שירצה מוזמן להשאיר בתגובות למטה שאלות בנושא ואנו ננסה להתייחס אליהן בוובינר.

 

16 הצעדים להתאמת העסק שלך ל-GDPR

מדריך ראשוני – איך העסק שלכם יכול להתאים את עצמו ל-GDPR, רגולצית הגנת הפרטיות והמידע האירופית.

מדריך – מה זה GDPR.

מטרת המדריך לסייע לכם, עסקים שונים, להבין בפני מה אתם עומדים; מה היא הרגולציה האירופית החדשה ומה הכוונה במונח GDPR.

GDPR LOGO

עסק שלא יתאים עצמו לרגולציה באירופה עלול למצוא את עצמו עומד בפני קנסות גבוהים ביותר (עד 10-20 מליון אירו) ואף תביעות אזרחיות או ייצוגיות. גם מנהליו שלא פעלו כדי להתאים את העסק יצטרכו לתת את הדין.

משאלות רבות שמתקבלות במשרדנו אנחנו לומדים על חוסר ההבנה בנושא זה אצל עסקים שונים. לכן, בחרנו ב-16 צעדים חשובים שחשוב שתבצעו כדי להתאים את העסק שלכם. כמו כן ניסינו להסביר את העקרון העומד בבסיסם. עליכם מוטל הנטל ליישם צעדים אלו  בעצמכם או בעזרת בעל מקצוע מומחה.

עם זאת שימו לב, המדובר במדריך המכיל מידע כללי בלבד. בשל מורכבות הנושא הוא אינו מכיל את מלוא הנושאים ומלוא החריגים. לדוגמא, לא נכלל בו הנושא של תיעוד פרצות אבטחת מידע, הטיפול בהן והדיווח עליהן (בשל חוסר מקום ורצון לא להכביד יתר על המידה). לכן, יתכן שמדריך זה לא יתאים לעסק שלכם ואם תרצו לבצע התאמה ספציפית – אין להסתמך על הכתוב בו אלא להעזר בבעל מקצוע מומחה לביצוע ההתאמה הספציפית שלכם.

הקישו על הלינק כדי לקבל את המדריך בקובץ PDF אליכם למחשב – GDPR_16steps.

יום עיון GDPR

קוראים וחברים יקרים,

אני מאוד שמח להזמין אתכם לערב עיון (לא ארוך) שנערוך עוה"ד טל פרנקל ואנוכי בנושא ה-GDPR (הרגולציה האירופית להגנת מידע ופרטיות) במשרדי Google Campus וראו קישור לעמוד האירוע בגוגל קמפוס.

תאריך האירוע יהיה ה-28.3.2018, בשעה 19:30.

אתם מוזמנים להרשם כאן – https://goo.gl/forms/z5YBZ3o3qUPxIaZ42.

בערב העיון נסקור תחילה את העקרונות העומדים בלב הרגולציה, נבדוק האם העסק שלכם בכלל כפוף לרגולציה ונכוון לפעולות שמומלץ לנהוג בהן על מנת לצמצם את החשיפה והסיכון שעומדות בפני העסקים שלכם בעקבות הרגולציה.

אלא שבניגוד לימי עיון אחרים בנושא זה, הפעם ננסה להתמקד בשאלות הרלוונטיות ביותר לעסקים מקוונים, חברות טכנולוגיות ודומיהם.

אני מזמין אתכם להעלות בתגובות מטה שאלות ותהיות, שבמהלך הערב ננסה להתייחס אליהן.

 

אחריות מנהלים ודירקטורים לפי ה-GDPR

הרצאות להכרת ה-GDPR בפני דירקטוריונים והנהלות

אם אתם דירקטורים או מנהלים בחברות ישראליות (עם לקוחות, משתמשים, גולשים, ספקים, שרתים או שירותים מאירופה), קחו בחשבון שהחל ממאי 2018, כשה-General Data Protection Regulation (679/2016/EU) האירופית (GDPR) תכנס לתוקף, יתכן ותהיו כפופים לתביעות רשלנות לאחר שהחברה שלכם תאלץ לשלם מליוני אירו כקנסות.

לכן, אני שמח להציע לכם הרצאת היכרות עם ה-GDPR בפני הנהלות ודירקטוריונים ואתם מוזמנים ליצור עימי קשר במשרד (03-6133333) או בתיבת ה"צור קשר" על מנת לתאם הרצאה אצלכם כאמור.

בהרצאה זו אני מסביר מה משמעות הרגולציה, מה החובות אותן היא מטילה על עסקים ואני מעניק בסיס לבדיקה – האם הארגון שאתם אחראים עליו צריך לעמוד ברגולציה ואם כן – האם הוא עומד בה?

במרבית המקרים כשפונים אלי לקוחות לבצע סקר מאגרי מידע ובדיקת פערים מול הרגולציה האירופית, הפונה היא מנהלת המחשוב בחברה או היועץ המשפטי. הם כמובן מבינים את החשיבות שיש בהתאמת מערכות המידע של החברה ואת נהליה ל-GDPR. ואחרי שיחה קצרה שנינו מבינים את החשיפה שמסכנת את העסק, אלא שאז מגיע משפט המחץ – "טוב, עכשיו אני רק צריכה לשכנע את ההנהלה".

בפועל אנו רואים שמנהלים ודירקטורים לא הפנימו את משמעותה הדרמטית של הרגולציה המתרחשת עלינו ממש בקרוב, במאי 2018. בבדיקות לא רשמיות שבוצעו בחו"ל התברר שכ-33% מהמנהלים שנשאלו בחברות חוץ-אירופאיות לא היו מודעים לסכנות הטמונות לעסק שלהם ברגולציה. מבדיקה לא רשמית שלי, בישראל, האחוזים גבוהים משמעותית.

באי ידיעה זו נעוצה סכנה רבה כשלעצמה, הן לעסק והן לדירקטורים שלא היו מודעים לדבר מה שחובתם היתה לדעת אותו. האחריות שתוטל על מנהלים ודירקטורים שהתעלמו מהסיכון והדרישות שמציבה ה-GDPR יכולה להקים חשיפה גדולה (שלמיטב הבנתי בהחלט יתכן שאינה מכוסה בביטוח המנהלים ונושאי המשרה הנוכחי).

צעדים לדוגמא שהרגולציה מחייבת הם:

  1. מינוי קצין הגנת מידע במקומות בהם הוא נדרש (וכשאינו נדרש, מינויו מומלץ).
  2. הגנת המידע בפועל. לדוגמא בהצפנה, באנונימיזציה, באמצעים פיזיים, סיסמאות, תוכנות הגנה וכדומה.
  3. הסדרת הליך ההודעה ללקוחות על איסוף המידע והיקפו וכן אופן קבלת ההסכמה החד-משמעית והמוגדר.
  4. הסדרת הליכי זכויות הפרט במידע שנאסף עליו (והרגולציה קובעת מספר זכויות משמעותיות, חלקן חדשות).
  5. הכוונת תהליך סקירת המידע וכן סקרי סיכוני פרצת אבטחת מידע ודיווח על פרצות אבטחת מידע (לרשות ולציבור).

אחד מהרכיבים הבולטים ברגולציה הוא מערך העונשים והקנסות שלה שנקבעו בה. אי עמידה ברגולציה מזכה את הלקוחות שלכם בזכות תביעה כנגדכם וחומור מכך – מאפשרת לרשויות האכיפה האירופיות להיטל (גם על חברות ופרטים מחוץ לאירופה) קנסות בהיקפי מליוני אירו.  אי הערכות לקראת הרגולציה עלול ליצור חשיפה כספית-משפטית מהותית לעסק, ואם לא תדאגו לטפל בנושא כמנהלי התאגיד, אתם עשויים להחשב רשלנים, או אף חמור מכך.

המדובר ברגולצה חדשה שבודדות החברות הישראליות המודעות לה ואשר התאימו את עצמן לקראתה. אלא שאי טיפול בבעיה עשוי לגרום לתביעות משמעותיות כנגד החברה וכנד הדירקטורים והמנהלים שלה. התעלמות לא תעזור. ככל שהדירקטוריון לא יקים מערך הגנת מידע, בדיקת מידע וסיכונים ראוי, יהיו הדירטורים והמנהלים בסיכון בפני תביעות חמורות ומשמעותיות.

נושא זה של אחריות דירקטורים לרגולציה עלה למשל בבריטניה עוד לפני כשנתיים, והרשות המפקחת שם (ה-ICO) הצהירה שתראה במנהלים אחראים אישית לפרצות אבטחת מידע שארעו תוך התעלמות מהוראות הרגולציה.

על מנת להתמודד עם סכנה כזו, משרדנו מציע הרצאות בפני הנהלות חברות להיכרות עם הרגולציה וכיצד ניתן להתמודד איתה. נשמח אם תיצרו איתנו קשר לתיאום.

 

 

 

עקרונות איסוף מידע לפי ה-GDPR

הרגולציה האירופית להגנת מידע ופרטיות מגדירה מספר עקרונות שחשוב להכיר. במסגרת התאמת העסק שלכם לרגולציה כדאי שתתחילו לנהוג לפיהם.

המלצה בסיסית – גם אם ה-GDPR לא חלה עליכם (בדקתם כבר?), מומלץ להכיר עקרונות אלו ולנסות להתאים את הליך איסוף המידע על ידיכם אליהם. אין ספק שגם ללא תחולה ישירה של הרגולציה, זה יהיה הכיוון אליו יתקדם העולם העסקי והמשפטי בתקופה הקרובה בתחומי הגנת מידע ופרטיות.

עקרון ההגינות – Fairness (סעיף 5.1(a) ל-GDPR)

ההגינות לפי הרגולציה האירופית שולבה בחוקיות האיסוף והעיבוד. הכוונה היא ליצור איזון (עדין אך הכרחי) בין הבסיס החוקי המתיר את האיסוף והעיבוד לבין זכויות הפרט העלולות להפגע והקטנת הפגיעה בהן. עליכם יהיה למצוא היכן עובר הגבול, עד כמה מותר לאסוף, לעבד ולהשתמש במידע אישי והיכן כדאי לעצור.

עקרון החוקיות – Lawfullness (סעיף 6 ל-GDPR)

משמעות העקרון הזה עולה די בבירור מתוך שמו, והיא – יש לדאוג שאיסוף המידע יהיה חוקי ותואם לחוק. יש לשים לב שהרגוצליה האירופית מפנה לדין האירופי שהוא הבסיס החוקי לאמור בה. עם זאת, גם אם אינכם כפופים לרגולציה, יהיה חשוב שתתאימו את האיסוף שלכם לחוק (וכברירת מחדל גם החוק הישראלי הוא התחלה טובה, ככל שהרגולציה לא חלה).

דוגמא טובה לתקלה נפוצה שמתרחשת בארץ היא רכישת רשימות תפוצה למשלוח מסרים פרסומיים, כשבפועל – המדובר בפעולה שאינה עולה בקנה אחד עם החוק אלא עלולה לסבך אתכם.

מעבר לחוקיות האיסוף על ידיכם, חשוב שתשימו לב שכל עובד או צד שלישי שנחשף למידע או מקבל אותו, יפעל גם הוא בהתאם לחוק. אחת מהחובות המוטלות ברגולציה האירופית היא בחינה ותיעוד של ציות שותפיכם העסקיים לרגולציה.

אם עקרון זה מופר, למשל, מעבר לקנסות הגדולים שהרשויות האירופיות יכולות להטיל על הארגון, קמה לפרט גם הזכות לדרוש את הגבלת העיבוד של המידע או מחיקתו (וראו לדוגמא סעיף 18.1(b) לרגולציה).

עקרון השקיפות – Transparency (סעיפים 12-14 ל-GDPR)

על העסק שלכם להיות "שקוף" וברור ככל האפשר בהסברת אופן פעילותו למשתמשים – איזה מידע אתם אוספים אודותיהם? מה מטרת איסוף המידע? כיצד (ואיפה) מתבצע העיבוד? מי הם הצדדים הנוספים הנחשפים למידע האישי? וכדומה.

עקרון הגבלת המטרה – Purpose Limitation (סעיף 5.1(b) ל-GDPR)

משאספתם את המידע יש לעבד אותו ולעשות בו שימוש רק לצרכי המטרה לשמו נאסף ובעקבותיה ניתנה ההסכמה.

אם לדוגמא אספתי מידע אודות לקוחותי במסגרת השירותים אותם אני מספק, אין לשלוח להם פרסומות בנושאי מוצרים אחרים שאולי יעניינו אותם או למכור את אותם נתונים לאחרים.

עקרון הקטנת המידע – Data Minimisation (סעיף 5.1(c) ל-GDPR)

עקרון זה מזכיר במידה רבה את העקרון הקודם, ועיקרו – אל תאספו יותר מידע מהמינימום הנדרש לכם לצורך ביצוע המטרה המוצהרת. אם למשל יש לי חנות מקוונת לממכר מוצרים, ולוח הזמין מוצר בחנות, אין סיבה שאני אאסוף גם את מועד יום ההולדת שלו.

עקרון הדיוק – Accuracy (סעיף 5.1(d) ל-GDPR)

אם כבר אספתם מידע אישי, כדין יש לקוות, הרי מוטלת עליכם חובה לוודא שהמידע שבידיכם שלם, מלא, מדוייק ועדכני. חובה עליכם ליצור מנגנונים לתיקונו, אם יש צורך בכך. ככל שתעשו שימוש במידע אישי שאינו עדכני, תפגעו בזכויות הפרטים (אך גם תגרמו לכך שהשימוש שלכם במידע יהיה פחות יעיל).

אם עקרון זה מופר, למשל, מעבר לקנסות הגדולים שהרשויות האירופיות יכולות להטיל על הארגון, קמה לפרט גם הזכות לדרוש את הגבלת העיבוד של המידע או מחיקתו (וראו לדוגמא סעיף 18.1.(a) לרגולציה).

עקרון הגבלת האחסון – Storage Limitation (סעיף 5.1(e) ל-GDPR)

כל עוד יש לכם צורך במידע לשם ביצוע המטרה החוקית לשמה הוא נאסף, תוכלו להמשיך ולעשות כן. אולם, משפקע הצורך ואין עוד צורך במידע – חובה עליכם למחוק אותו או להשמידו לגמרי.

אכן, ישנם מקרים בהם קיימת זכות לשמירה מסויימת של חלקים מהמידע לתקופה ארוכה יותר (אם למשל הדין האירופי מחייב אתכם לכך, אם קיימת עליכם חובה המקימה לכם אינטרס לגיטימי (כמו למשל חובת שמירת מידע לצרכי דיווח לרשויות המס)), אולם חריגים אלו הם מוגבלים בהיקפם ויש להזהר בכך.

עקרון כיבוד הזכויות והסודיות – Integrity and Confidentiality  (סעיף 5.1(f) ל-GDPR)

ובעברית – אבטחת מידע. כפי ששמתם לב בוודאי (ואם לא – כדאי), ה-GDPR היא רגולצית "הגנת" מידע ולא "אבטחת" מידע. האבטחה היא רכיב אחד מתוך מכלול הצורך להגן על המידע האישי שלנו. חובה עליכם לנקוט בכל אמצעי אבטחת המידע הסבירים. אין חובה להשתמש באמצעים החדשניים או היקרים ביותר, אבל יש גם יש צורך שלא לפגר מאחור אלא לעשות שימוש באמצעים סבירים טכנולוגית וכלכלית.

מעבר לאמצעים הטכנולוגיים, הרגולציה מזכירה לנו שקיימים אמצעים ארגוניים ומשפטיים שחובה להשתמש גם בהם. למשל: הסכמים נכונים מול עובדיכם וספקי השירות שלכם, בדיקות קפדניות על אופן פעולתם של שותפיכם, הכנת והפצת מדיניות הגנת מידע מסודרת, הבטחת קריאתה על ידי כל העובדים ויצירת הדרכות ועדכונים שנתיים בנושא. כל אלו ואחרים מהווים גם הם אמצעי "אבטחת מידע" שהרגולציה מקדמת ומחייבת.

עקרון האחריות – Accountability  (סעיף 5.1(g) ל-GDPR)

אחרון, אך לא פחות חשוב, הוא עקרון הנשיאה באחריות. חובה עליכם, כמי שאוספים מידע על אחרים, לעמוד בדרישות הרגולציה ולדאוג ששותפיכם ועובדיכם יעמדו זה. אם לא די בכך, חובתכם היא גם להיות יכולים לתעד ולהציג בצורה מסודרת בכל עת, את הציות שלכם ושל שותפיכם העסקיים לרגולציה.

כלומר, האם נקטתם בכל אמצעי ההגנה הנדרשים? האם ביצעתם בדיקות סיכונים מקדימות (DPIA)? האם ביצעתם סקר זרמי מידע (Data Flow Survey) ואפיינתם את מאגר המידע שלכם? האם בדקתם אילו סוגי מידע אתם מעבדים והאם אתם עומדים בדרישות הרגולציה? האם וידאתם שהגוף שמנתח עבורכם את הנתונים עומד גם הוא ברגולציה? ועוד ועוד שאלות רבות.

ולבסוף – התיעוד. בדקתם ולא תיעדתם, כאילו לא עשיתם. אל תשכחו. מטרתכם להיות יכולים להוכיח את הענותכם לרגולציה.

לאור הנחיות הרשויות המפקחות השונות באירופה, נראה כי גופים שיעמדו באופן עקרוני בעקרונות אלו, ויוכיחו ציות לרגולציה (ולו ציות חלקי), לא ישאו בסיכונים ובקנסות הגבוהים הקיימים ברגולציה. אלו, יישמרו לגופים שיתעלמו מהרגולציה ולא יפעלו בהתאם לה.

בהצלחה!

 

אם תרצו לקרוא עוד בנושא אתם מוזמנים להתחיל כאן, בסקירה הכללית שלי על הרגולציה האירופית, ולהמשיך משם.

רגולצית הגנת הפרטיות באירופה – GDPR.

מה זה בכלל GDPR?

רגולצית הגנת המידע האירופאית הכללית (ה-GDPR) מחייבת עסקים להתאים את עצמם.

האיחוד האירופי אינו שוקט על שמריו, ובניגוד להרבה שרק מקטרים על מידת החדירה של גופים שונים לפרטיות שלנו התקבלה כבר לפני זמן לא מבוטל רגולצית הגנת המידע האירופאית הכללית (ה-GDPR), אשר תכנס לתוקף ב-25.5.2018. הרגולציה למעשה מאפסת את הרגולציה האירופית בנושאי הגנת הפרטיות, ומחליפה חלק מהחקיקה הקיימת באירופה.

לא נוכל בפוסט אחד לכסות את כולה, אבל בחרתי לתת כאן "טעימה": שתסביר עד כמה מדובר בשינוי בחוקי אבטחת המידע והגנת הפרטיות, ולהמליץ בכל לשון של המלצה – לבדוק האם היא חלה עלי, ואם התשובה היא כן – מומלץ להתכונן מראש. הקנסות שנקבעו בה הם הרסניים, ויוטלו גם מחוץ לאירופה.

בבסיס הרגולציה להגנת הפרטיות באירופה עומדים שני עקרונות בסיסיים: הראשון – מתן שליטה נרחבת יותר לאנשים פרטיים על המידע שנאסף עליהם במקומות שונים והשני – חיזוק רכיבי אבטחת המידע אצל אוספי ומעבדי המידע (הן טכנולוגית והן ארגונית).

חשוב להבין שהרגולציה עשויה בהחלט לחול עליך גם אם איך לך עסק באירופה. במיוחד אם יש לך אפליקציה או אתר מקוון, ומשתמשים בהם משתמשים מאירופה. הבדיקה האם ה-GDPR חלה עליך היא בדיקה ספציפית אל העסק שלך, ולמעשה גם אפליקציות, רשתות חברתיות, אתרי אינטרנט ושירותים מקוונים שאינם ממוקמים באירופה – יש סיכוי לא רע שתחול עליהם, אפילו אם הם בעברית (אם כי כאן התחולה תהיה רלוונטית לפי מיקום המשתמשים).

ה-GDPR מטילה מספר חובות רבות על הכפופים לה וכאן אציג רק חלק מהן.

מטרת האיסוף והעיבוד של המידע לפי ה-GDPR והליכי קבלת ההסכמה

על המידע להאסף אך ורק באופן חוקי. "אופן חוקי" משמעו עמידה באחד הקריטריונים הקבועים ב-GDPR או לחילופין, קבלת הסכמת נשוא המידע העומדת בדרישות הרגולציה האירופית.

כדי לקבוע אם האיסוף הוא חוקי יש להבין את מטרת האיסוף ולהשוותה למידע עצמו שנאסף; יש לדוק האם השימוש במידע, העיבוד שלו ומשך הזמן בו הם נעשים מתאימים למטרה שהוצהרה.

יש גם לבדוק האם אנחנו מקיימים את נסיבות אחד מסוגי האיסוף ה"חוקיים" שקבועים בסעיף 6 ל-GDPR האירופית.

אחד מנסיבות החוקיות היא הסכמת נשוא המידע, וגם כאן – אין מדובר בסתם "אני מסכים" אלא יש דרישות מאוד קפדניות והליכי קבלת ההסכמה החדשים הינם הליכים מורכבים.

אוסף המידע מחוייב לפרט פרטים רבים וחשובים דוגמת זהותו ופרטי הקשר שלו, מטרות העיבוד, ההיתר החוקי לעיבוד, קטגוריות המידע הנאסף ומקורותיהם, מי הם מקבלי ומעבדי המידע, תקופת שמירת המידע, זכויות הפרט השונות הקבועות ברגולציה אף הן חייבות להיות מפורטות בחלקן וכן מספר הודעות נוספות המחוייבות על פי הרגולציה.

חשוב לזכור שההסכמה צריכה להיות נפרדת מכל רכיב אחר, ברורה, מובחנת, אקטיבית, מתייחסת לכל קטגורית פעולת עיבוד בנפרד, חד משמעית ומפורשת. צריך גם לזכור שישנם כללים ספציפיים להסכמה המתייחסת לילדים מחייבת משנה זהירות והליכים ספציפיים. "ילד" נחשב כל מי שהוא בין גיל 13 ל-16. מתחת לגיל 13 אסור עיבוד כלשהו, גם אם הושגה הסכמה.

רשימת זכויות הפרט וחובות אוסף המידע לפי רגולצית הגנת הפרטיות באירופה

ה-GDPR מפרטת רשימת זכויות נרחבת בהרבה מהמקובל והיא מצטרפת לרשימת החובות.

רשימת החובות כוללת למשל חובה ליצור Privacy and data protection by design and default, חובה לספק מידע מלא, שלם, שקוף ומפורט, חובה לתיעוד נכון ומלא וכמובן – חובה לבצע את כל הכרוך בזכויות שנקבעו.

למשל בעת קבלת ההסכמה לעיבוד חובה לספק את המידע הבא: מי אוסף את המידע ומה פרטי הקשר של נציגו, המטרות לשמן נמסר המידע, מי עשוי לקבל את המידע, מדינות אליהן המידע יועבר ומתבצע בהן עיבודו של המידע, תקופת אחסון המידע וכמובן זכויות הפרט הנלוות למידע והזכות להתלונן ברשות המפקחת הרלוונטית.,

רשימת הזכויות כוללת בין היתר את את הזכויות הבאות: הזכות לגישה למידע (בין אם באמצעות מערכת השולט בו ובין אם באמצעות מסמך נפרד), הזכות לתיקון המידע, הזכות למחיקת המידע ("הזכות להשכח"), הזכות להגבלת העיבוד, הזכות לניוד המידע למקום או ספק שירות אחר וכן הזכות להתנגד לקבלת החלטות אוטומטיות ופרופיילינג.

טיפול בפריצות המאגר – Data Breach

התקנות האירופיות קובעות מנגנונים שחייבים להיות מופעלים בעת פריצה למאגרים (Data Breach), זליגת מידע, חשיפתו, שינויו או פגיעה אחרת בהם. חובות אלו כוללות גם חובות טיפול אינטנסיבי ויעיל בפריצה וגם חובות דיווח לנשואי המידע ולרשות האירופית המתאימה.

החובה למנות קצין הגנת מידע – DPO

התקנות מחייבות ארגונים מסויימים למנות קצין הגנת מידע (DPO) ומעניקות "נקודות זכות" לכאלו שאינם מחוייבים בכך אך בחרו למנות כזה בכל מקרה ולפעול לפי התקנות.

הקנסות בשל אי עמידה בדרישות הרגולציה האירופית, ה-GDPR

חמור אולי מהכל, הינם הקנסות העצומים שה-GDPR באירופה מטילה על הכפופים לה (וכאמור – גם ארגונים ישראלים רבים יהיו כפופים לה). הקנסות חלים על כל מי שיהיה כפוף ה, גם אם אינו אירופאי.

קנסות אלו נעים בין 10,000,000 אירו או 2% מהמחזור השנתי העולמי של הארגון (הגבוה בין השניים) לבין קנסות כפולים בגובהם מאלו!

 

הפחדתי אותך? יופי.

עצרו, קחו נשימה וגשו לבדוק האם הרגולציה האירופית להגנת המידע, ה-GDPR, חלה גם עליכם.

מדריך משפטי למנהלי קבוצות ודפים בפייסבוק

החלטתם שאתם מעוניינים להיות מנהלי קבוצת פייסבוק, לנהל את הדף של העסק שלכם, לנהל קבוצה של המעסיק שלכם או סתם פתחתם קבוצה בשביל עצמכם וגיליתם שפתאום היא צמחה. אבל האם בכלל הבנתם מה "כללי המשחק" המשפטיים החלים עליכם והתכוננתם לבעיות שעלולות היו להתעורר?

המדריך מטה הינו "על קצה המזלג", הוא כללי, אינו מחליף ייעוץ ואין להסתמך עליו בכל מקרה ספציפי שלכם, שכן יתכן שהוא לא מתאים למקרה הספציפי שלכם.

מדריך משפטי וחוקי לניהול קבוצות ברשתות חברתיות ופייסבוק
מדריך משפטי וחוקי לניהול קבוצות ברשתות חברתיות ופייסבוק

מה הדינים הרלוונטיים לקבוצה שלכם

על כל קבוצת פייסבוק ("קבוצה" במאמר זה, כוללת גם "דף") חלים מספר סוגי דינים. לדוגמא: החוק הישראלי הכללי; ההסכמים הרלוונטיים (כמו תקנון הקבוצה) תנאי השימוש של פייסבוק; וכמובן דיני האינטרנט והרשתות החברתיות, אשר הולכים, נבנים ומתפתחים לאורך השנים ועדיין לא הגיעו לבשלותם (בדינים אלו עוסק אתר זה).

כל קבוצת דינים שכזו יכולה להיות בעלת השפעה שונה ביחס לקבוצות מסוגים שונים. לדוגמא, התייחסות החוק הישראלי תהיה שונה ביחס לדף מעריצים של תכנית טלביזיה, לקבוצה שנועדה לסייע לחבריה להגמל מעישון, לקבוצה שמטרתה לסייע ללוחמי כנגד "ספאם" או לקבוצה שמטרתה סיוע למקצועני פרסום ברשת.

לכן, טרם פתיחת הקבוצה (או מיד כעת, אם כבר פתחתם), אנא מכם – גשו לפגישת יעוץ אצל עורך דין מומחה העוסק ברשתות חברתיות ובפייסבוק וקבלו ממנו הנחיות לדינים הרלוונטיים לקבוצה שלכם.

פתיחת הקבוצה

כדי להבין מה משמעות מילוי תפקיד בקבוצה, קודם כל קיראו – כאן  (על כללי הקבוצות השונים בפייסבוק) וכן כאן (על התפקידים השונים בעמודים השונים בפייסבוק).

עליכם לשים לב שקבוצה מוקמת בפייסבוק על בסיס חשבון אישי (פרופיל) של משתמש. משמע, קיים משתמש אחד המגדיר את עצמו כ-Admin ("אדמין") הקבוצה, המנהל הראשי, ודרכו מנוהלת הקבוצה (כמובן- יתכנו מספר אדמינים לאחר הקמת הקבוצה). בקבוצה ישנם מספר תפקידים נוספים, שלכל אחד מהם סמכויות ניהול שונות, והלינקים למעלה מסבירים גם זאת.

מטבע הדברים, יהיה זה מומלץ לשמור על מעמדכם כאדמין, שכן זה המעמד הבכיר ביותר בקבוצה או בדף, וכידוע לכם בוודאי המשפט סבור ש–"החזקה היא 90% של החוק"… לכן, ויתורכם על מעמד כאדמין עשוי ללמד על כוונתכם שאינכם בעלי הקבוצה.

בחירת שם לקבוצה

בעת בחירת שם הקבוצה חשוב לבחור שם שלא יוביל לבעיות. אלו יכולות להגרם בצורות שונות. לדוגמא, בחירת שם מטעה (בעיה בדיני הגנת הצרכן או עוולת גניבת עין), בחירת שם שעושה שימוש בסימן מסחרי של אחר (הפרת סימן מסחרי), בחירת שם פוגעני (לשון הרע), שם תיאורי או מרמז (שאחרים יוכלו להשתמש בו ללא בעיה כיוון שאתם לא תוכלו להגן עליו באמצעות רישום סימן מסחרי) וכן מגוון רב של שמות עשוי לגרום לתקלות.

לכן, אנא היזהרו, חישבו היטב על השם וביחרו אותו בקפידה לאחר התייעצות אם צריך.

הגדירו את תקנון הקבוצה

תקנון הקבוצה הוא למעשה הסכם ביניכם לבין משתמשי הקבוצה, במסגרתו אתם מכתיבים למשתמשים מה הם התנאים שיחולו בעת ניהול הקבוצה, מה אתם מצפים מהם וכיצד אתם עשויים לפעול כאשר דבר מה לא ימצא חן בעיניכם בהתנהלותם בקבוצה.

סוגיות שיכללו בתקנון יכולות להיות למשל – אילו סוגי תכנים מותר לפרסם בקבוצה, ואילו אסור; מתי מותר למנהל בקבוצה למחוק פוסט או אף להרחיק משתמש מהקבוצה; מה אופן ההתנהלות המצופה בין חברי הקבוצה לבין עצמם; מי רשאי להיות חבר בקבוצה ועוד.

התקנון אינו צריך להיות משפטי (ואפילו עדיף שלא יהיה), אך מאוד מומלץ להעזר בעורך דין על מנת לאתר את הבעיות הרלוונטיות לקבוצה שלכם שיש להתייחס אליהן.

עוד חשוב, להצמיד את התקנון בצורה ברורה לעמוד הקבוצה, כמו גם לחזור עליו בפוסטים והודעות שונות, על מנת שכוחו המחייב את חברי הקבוצה יהיה ברור.

היחסים (המשפטיים) בין מנהלי הקבוצה

מבחינה משפטית, היחסים בין מנהלי הקבוצה שלכם (בינכם לבין עצמכם) הינם סוג של שותפות. כשותפות, הדין מטיל עליכם חובות מסויימות שעשויות לחשוף אתכם לתקלות שלא צפיתם. למשל, על פי חוק הרי ששותפים אחראים האחד לפעולותיו של חברו; אחריות אישית.

לכן מאוד מומלץ להגדיר ביניכם את הכללים שיחולו ביניכם לבין עצמכם, על מנת למנוע מצב בו הדין הכללי יחיל עליכם כללים שאולי לא ציפיתם להם.

חשוב להגדיר, למשל, מה מידת אחריותו של כל אחד מכם, מה המגבלות החלות על כל אחד מכם, מה יכולתו של כל אחד מכם לעשות שימוש בקבוצה, בשם שלה, בתכנים שבה או בכל נושא אחר, לצורך קידום ענייניו הפרטיים, וכדומה. הגדרות אלו גם ישמשו קו מנחה בין השותפים אודות המותר והאסור, וגם יאפשרו לכם לחזק את הגנתכם במקרה שמי משותפיכם, מנהלי הקבוצה, ימעד.

תוכן גולשים והפרות קניין רוחני, זכויות יוצרים, לשון הרע, הגנת הפרטיות ועוד – איך מתמודדים? 

כדאי וחשוב להבין את המגבלות שהדין מטיל עלינו בנושאים שונים, ולהבהיר אותן לכל מנהלי הקבוצה. נושאי זכויות יוצרים, לשון הרע, הגנת הפרטיות ורבים אחרים מטילים מגבלות שונות במסגרת ניהול הקבוצה, וכדאי לכל הפחות להיות מודעים ולשים לב לכך בעת ניהולה.

למשל, הפרת זכויות יוצרים בקבוצה, או פגיעה בשמם הטוב של אנשים. כל אלו הן סוגיות שמנהלי קבוצה עשויים להתמודד עימן מדי יום. במיוחד, כאשר התכנים לקבוצה מועלים גם על ידי המשתמשים, כך שמנהל הקבוצה אינו שולט עליהם.

אחת מהבעיות הגדולות היא בשאלת הבעלות על תוכן שעולה לקבוצה. אחד הפתרונות הקלים הוא לוודא שגם בהסכם ביניכם וגם בתקנון הקבוצה ברור הפתרון לשאלה זו (והוא אותו מנגנון הודעה והסרה המוסבר מטה).

ברירת המחדל של הדין היא העדר אחריות; אדם אחראי אצל עצמו ואינו אחראי למעשיו של אחר.

מנגד, על מנת למנוע "סדום ועמורה" הגדירו בתי המשפט (בעקבות פסיקה אמריקאית ובעקבותיה גם ישראלית) מנגנון הקרוי "הודעה והסרה" שקובע מה תהיה מידת אחריותו של אדם לתוכן שאחר העלה, אצל הפלטפורמה שבשליטת הראשון.

גם כאן מדובר בהסבר "מקוצר" וחסר בשל מורכות הנושא, אך ברגיל, המנגנון קובע שכשניתנה הודעה למנהל הפלטפורמה אודות היותו של תוכן מסויים מפר חוק או זכות, חובה על מנהל הקבוצה להסירו תוך זמן סביר. אם לא עשה כן – יתכן שיהיה בכך כדי להטיל גם עליו (ועל חבריו המנהלים) אחריות לתוכן עצמו, אף אם לא הוא העלה אותו.

כמובן, שיש לכלול מנגנון זה בתקנון הקבוצה, אם נרצה להפעילו בקבוצה שלנו.

עוד עצה פרקטית – אל תסמכו רק על מנגנון זה. נטרו את הקבוצה, והסירו תכנים בעייתיים, מראש.

שמירה על כללי פייסבוק

כל מנהל קבוצה פועל בתוך "מגרש המשחקים" שחברת פייסבוק מעמידה לרשותנו. ככזה, חובה על המנהל לכבד את הפלטפורמה המארחת, ואם יבחר שלא לעשות כן, הקבוצה עלולה להענש, על ידי פייסבוק.

לכן מומלץ לקרוא היטב את כללי ניהול הקבוצות והדפים של פייסבוק ולעקוב אחר שינויים שחלים בהם. יש לוודא שאתם והקבוצה שלכם אינכם מפרים אותם. ההתמודדות בדיעבד עם קבוצה שננעלה (או כל סנקציה אחרת שפייסבוק יזמה) – אינה פשוטה וקלה.

סיכום – האמור מעלה הוא מדריך כללי וחשוב לבדוק כל מקרה לגופו

שימו לב שכל האמור מעלה הינו "ממעוף הציפור", ולמעשה, ניתן היה לכתוב קורס שלם כמעט על כל אחד מהנושאים הללו אם נרצה להעמיק.

הנסיבות עשויות להשתנות, העובדות ישתנו וגם הדינים ישתנו. אבל אם לא תהיו מודעים לבעיות ותתמודדו עימן – מראש – הרי כאשר אחת מהבעיות תרים את ראשה תמצאו את עצמכם עומדים בלא יכולת להתמודד.

לכן, אנא הבינו היכן אתם נמצאים, גשו להתייעצות עם עורך דין מומחה ופעלו בזהירות.

בהצלחה לכם.

ציטוט מדברי מפורסמים – האם הפרת זכות יוצרים?

אני כותבת ספר. האם מותר לי לצטט דברים שמפורסמים אמרו ומסבירים את עמדתי או שאני מפרה זכויות יוצרים?

זו שאלה שמופנית אלי כל פעם מחדש, ובהתחשב בדיני זכויות היוצרים, התשובה אינה חד משמעית חוץ מהתשובה הפשוטה – במקרי ספק, נסו בכל דרך להשיג הסכמה של בעל הזכויות, על מנת שלא תסתבכו.

דברים שלא אתם יצרתם, ושבתחושת הבטן שלכם אתם חושבים "האם עלי לבקש רשות של מישהו אחר כדי לפרסם?", בדרך כלל תשובת האצבע היא "כן"; ככל הנראה עליכם לבקש רשות או שתפרו זכות יוצרים.

גם אם בפועל, לאחר ניהול הליך משפטי, יתברר כי לא הייתם צריכים לבקש רשות, למה לקחת את הסיכון ואת ההוצאה? תמיד טוב לדעת מראש שהכל בסדר.

ישנם כמה שיקולים שיכולים להשפיע על התשובה לשאלה שלמעלה, ואנסה לגעת בחלק לא ממצה שלהם. במקרי ספק – אנא גשו לעורך דין מומחה להתייעץ, על מנת שלא תסתבכו.

בניגוד למה שרבים מכם חושבים, אין כלל אצבע שקובע כי "מותר לקחת פחות מ-10% מהיצירה". מנגד, בהחלט יש חשיבות לאורך היצירה כולה, לאורך הרכיב הניטל מתוכה וליחס ביניהם.

ככל שה"יצירה" (זו ההגדרה של הרכיב המוגן בזכות יוצרים) הינה קצרה יותר, יש סיכוי גדול יותר שהיא לא תהיה מוגנת בזכות יוצרים. מנגד, גם יצירה מאוד קצרה עשוייה להיות מוגנת בזכויות יוצרים אם היא יצירתית או משמעותית מספיק (דוגמת פזמון של שיר או אפילו המשפט "הולה הופה הופה הולה").

אורך היצירה (כמו גם אורך החלק ממנה שמצוטט) הינו אך אחד מהגורמים הרלוונטיים. אפילו סיסמאות קצרות נחשבו בעבר מוגנות ("השמפניה של הטבע" ודומותיה), כך שזהירות חשובה.

מנגד, שימוש בחלק שאינו "עיקר היצירה" עשוי לא להפר זכות יוצרים. עם זאת, "עיקר היצירה" מוגדר בפסיקה כעיקר כמותי או איכותי. משמע, גם אם המדובר בחלק קטן מאוד מן היצירה, הרי אם הוא מזוהה עימה ומזהה אותה, בהחלט יתכן שהעתקתו בלי הסכמת הבעלים מהווה הפרת זכות יוצרים. כלומר, ציטוט גנרי מספר בדרך כלל יהיה "כשר". אולם הביטוי הקצר "צייר לי כבשה" עשוי להחשב כחלק מהותי מהיצירה המקורית, וצריך להזהר בהעתקתו.

מצד שני צריך לשים לב גם שזכויות יוצרים מוגבלות בזמן (כיום הן עומדות על 70 שנה לאחר מות היוצר). כלומר, ציטוט של דבריו של נפוליאון בונפרטה (בהנחה שהם באמת דבריו ולא יצירה של סופר שכתב עליו בעצמו, ויצר את המשפט בעצמו), לא יהיה מוגן בזכות יוצרים. אפילו מר סנט-אכזופרי שנפטר ב-1944 יתכן ויצירתו כבר אינה מוגנת (אם כי לא בדקתי את דיני זכויות היוצרים בצרפת, אז אנא היזהרו).

אלמנט רלוונטי נוסף, הוא המדיה והאופי של היצירה שלכם במסגרתה אתם עושים שימוש בציטוט. אין דינו של בלוג פרטי של סטודנט לפילוסופיה הכותב על דברים שברומו של עולם, כדין אתר האינטרנט של חברה מסחרית שמשתמשת בציטוט על מנת לתמוך במכירת מוצריה.

רכיב חשוב נוסף הוא מידת הפגיעה ב"שוק הפוטנציאלי" של היצירה באמצעות הציטוט שלכם. ככל שהפגיעה ביוצר עשויה להיות חמורה יותר, כך ההעתקה תהיה אסורה. עם זאת, "אני רק עושה לו טובה ומפרסם אותו יותר" אינו תירוץ שמאפשר העתקה. אם זה המצב, פנו אל הבעלים, הסבירו כיצד אתם מסייעים בידיו ודאגו לקבל את הסכמתו.

יש לזכור תמיד שהחוק אינו חד וחלק, אלא למעשה מפורש על ידי כל ערכאה משפטית ושופט בהתאם לנסיבות כל מקרה ויצירה. השופט יבדוק את יצירתיות היצירה, מורכבותה, ההשקעה שהושקעה, השימוש שנעשה בה וכדומה.

ללא קשר לזכות היוצרים, החוק דורש גם מתן "קרדיט", ובפסיקה הישראלית נפסק שללא קרדיט, לא תוכלו להינות מהגנת השימוש ההוגן. כך, בכל מקרה, גם אם הגנת זכות היוצרים פקעה, ובמיוחד אם לאו, מתן קרדיט יהיה מאוד מומלץ.

מעבר לזכות היוצרים, יש גם שאלה של "זכות הפרסום" (שבארץ כרגע הינה יצירת הפסיקה בלבד, ועומדת בנפרד מזכות היוצרים). לדוגמא, האוניברסיטה העברית מחזיקה בזכות הפרסום ביחס לאלברט איינשטיין המנוח, והיא עומדת על זכויותיה בשימוש בשמו וביצירותיו. שימוש בביטוי הקשור באופן ישיר לידוען כזה או אחר, עלול להוות הפרה של זכות הפרסום שלו.

אחרון, מנסיוני חשוב לי להדגיש, שתיעוד בכתב (ואפילו בדוא"ל) של ההסכמה והיקפה הינו קריטי. אם לא תתעדו כנדרש את ההסכמה, יקשה עליכם להוכיח אותה ויווצר מצב כאילו לא קיבלתם הסכמה.

 

דברים שחשוב לדעת על חוק נגישות אתרים

אחד מכל ארבעה לא יכול לגלוש באינטרנט בישראל

כעשרים וחמישה אחוזים מכלל הישראלים הם גברים, נשים וילדים עם מוגבלויות כלשהן. האם העובדה שיש להם מוגבלות כלשהי, בין או לקות ראייה, מוגבלות קוגנטיבית וכדומה, פירושה שרשת האינטרנט צריכה להיות חסומה בפניהם? ההיגיון הבריא אומר שלא, משום שרשת האינטרנט אמורה להיות נגישה לכל המבקש להשתמש בה. גם המחוקק סבור כך. אולם המצב כרגע ברשת האינטרנט בארץ ובעולם הוא שאתרים רבים אכן אינם מותאמים עבור ציבור רחב זה.

זו הסיבה בגינה נחקק לפני מספר שנים חוק שוויון זכויות לאנשים עם מוגבלות, ובעקבותיו התקין המחוקק מספר רב של תקנות המחייבות את הנגשתם של שלל תחומים ובכללם גם אתרי האינטרנט. כך, אם עד לא מזמן כל בעל אתר היה רשאי לעצב אותו כראות עיניו, כיום מוטלת עליו מגבלה המחייבת אותו לכלול בעיצוב זה גם אפשרויות שינגישו אותו לגולשים עם מוגבלויות.

באילו מוגבלויות מדובר?

בציבור הגולשים עם המוגבלויות שעבורו מיועד חוק נגישות אתרים נכללים גולשים עם מוגבלויות ראייה בדרגות שונות המתקשים לראות את התוכן, גולשים עם מוגבלויות בשמיעה המתקשים לשמוע את הנאמר בסרטוני וידאו, גולשים עם מוגבלויות פיזיות המתקשים בתפעול מקלדת ועכבר, גולשים עם מוגבלויות שכליות המתקשים להבין את התוכן המוצג על גבי המסך וגולשים עם מגוון מוגבלויות אחרות, בהם לקויי למידה, דיסלקציה ועוד.

פרטי החוק

חוק נגישות אתרים קובע כי עד לתאריך 26 באוקטובר 2017 כל אתרי האינטרנט בישראל חייבים להיות מונגשים לציבור הגולשים עם המוגבלויות. אתרים חדשים שעולים לאוויר חייבים להיות נגישים כבר כיום, ואילו אתרים קיימים אמורים לבצע עדכונים והתאמות על מנת להיות נגישים במועד.

ואם גולש עם מוגבלות ייתקל באתר שאינו מונגש? כל מה שעליו לעשות הוא לשכור את שירותיו של עורך דין ולפנות באמצעותו אל בית משפט. אתר שלא יהיה מונגש לאחר המועד האחרון שצוין לעיל יחשוף את בעליו לתביעה משפטית אשר עשויה להוביל לחובת תשלום פיצוי ללא הוכחת נזק בגובה עשרות אלפי שקלים; ואם מדובר באתר ציבורי כגון משרד ממשלתי או רשות מקומית אזי לא מן הנמנע שיוטלו על בעליו גם סנקציות פליליות.

מה צפוי בעתיד

המועד האחרון להנגשת אתרי אינטרנט כבר נדחה מספר פעמים, אולם בהנחה שהוא אכן יגיע לבסוף (שכן המועד הרשמי כבר חלף), לאנשים עם מוגבלויות צפוי עתיד חיובי למדי. ברגע שאתרי האינטרנט יהיו נגישים לאנשים עם מוגבלויות, עולם האינטרנט למעשה ייפתח בפניהם ויאפשר להם ליהנות מכל היתרונות שעד כה נאלצו להימנע מהם: קבלת מידע מגוון, תקשורת עם בני משפחה וחברים, קניות באופן מקוון ועוד – כל מה שנתפס כיום כשגרתי ומובן מאליו עבור 75 אחוזים מן האוכלוסייה אשר אין להם שום מוגבלות שהיא, יהיה נגיש לאותה אוכלוסייה שכיום אינה מסוגלת לראות, לשמוע, להבין או לתפעל גם את אתר האינטרנט הבסיסי ביותר.