האם ה-GDPR מחייבת קבלת הסכמה מחודשת בשיווק ישיר?

"האם אני חייב לקבל הסכמה מחדש לכל כתובות המיילים שאספתי לפי ה-GDPR?"

נדמה שלא היתה שאלה שנשאלה אצלי במשרד בשנה האחרונה יותר משאלה זו. אנסה להשיב. ונתחיל בהתחלה.

רסיטל (מבוא) 171 ל-GDPR קובע –

"… it is not necessary for the data subject to give his or her consent again if the manner in which the consent                has been given is in line with the conditions of this Regulation."

ובעברית – אם פעלתם לפי ה-GDPR לפני שהיא נכנסה לתוקף, אינכם צריכים לבקש הסכמה שוב אחרי שהיא נכנסה לתוקף… הממממ… אתם מכירים מישהו שעשה כך?

אבל נבדוק את ה-GDPR. תחילה חשוב להבהיר שהרגולציה האירופית אינה מתייחסת כלל למשלוח דואר שיווקי או לדיוור ישיר. אלא שעיסוקה היחיד הוא באיסוף המידע, ניתוחו והשימוש בו.

כיוון שכך, שימוש במידע לשם שיווק מחייב בראש וראשונה קביעת מטרה מוגדרת ומציאת הביסוס החוקי לה.

שיווק ישיר, הינו אחת מהמטרות שה-GDPR מכירה שכמטרה שיש לה בסיס חוקי, והבסיס הוא: איזון האינטרסים בין אינטרס השולט במידע לאינטרס נשוא המידע. מטבע הדברים, כשנסתמך על בסיס חוקי שכזה, האיזון חייב לקחת בחשבון בצורה משמעותית את אינטרס הפרטים, ולכן היקף המידע הנאסף ומידת רגישותו חייב שיהיו מינימליים ככל האפשר, בנסיבות.

לדוגמא, ככל שנאסוף רק שם ופרטי קשר – דומה שהסיכון לפרטיות נשוא המידע הינו מינימלי, ולכן באיזון – לא תהיה בעיה לשלוח שיווק ישיר על בסיס אינטרס לגיטימי זה. מאידך, אם נוסף על פרטי הקשר נאסוף היסטורית רכישות אונליין והיסטורית גלישה באתרים שונים ונפעיל לשם כך "קוקיות", הרי רגישות המידע והסיכון לפרטיות יגדלו, עד שיהיו מקרים שבהם יהיה ברור שחל איסור על איסוף המידע ושימוש בו.

השאלה היכן היא נקודת האמצע היא שאלה פתוחה, שעד שלב זה טרם נענתה, וחובה לקחת זאת בחשבון על בסיס ניתוח מקצועי מעמיק של ה-GDPR ודיני הגנת הפרטיות האירופיים.

מרגע שמצאנו בסיס חוקי לגיטימי ופעלנו לפיו, אין חובה לקבל הסכמה, וניתן להחליפה בשיקול דעת מתועד ומלא של הבסיס החוקי והאיזון שהושג (ותועד) במסגרתו.

 

ה-e-Privacy Directive והשפעתה:

בנוסף ל-GDPR הרי ששיווק ישיר באירופה כפוף ל-e-Privacy Directive (הדירקטיבה לפרטיות ולתקשורת אלקטרונית), וו מקבילה בתפקידה ל"חוק הספאם" הישראלי. חובה לעמוד גם בכללים שנקבעו שם בעת משלוח מסרים שיווקיים.

בתמצות המתעלם מיוצאי דופן, הדירקטיבה יוצרת מנגנון של אישור משלוח מסרים פרסומיים על בסיס opt-out במקרים מסויימים ו-opt-in במקרים אחרים (לצערי ה"אופט-אין" מחוייב כשמדובר במשלוח דוא"ל והודעות טקסט, סמס). לכן חשוב לבדוק את פעולת השיווק הישיר אותה אתם מבצעים ולראות איזה מבין המנגנונים חל עליה.

יש לשים לב שהדירקטיבה עוברת בעצם ימים אלו (יוני 2018) רפורמה, ובעתיד תחליף אותה רגולציה תואמת. הציפיה היתה לפרסומה בחודש מאי 2018, אולם הדבר בינתיים עוד לא בוצע. כאשר תפורסם הרגולציה, יהיה משמעות הדבר תחולה ישירה וגורפת הרבה יותר של חקיקה במדינות ספציפיות באירופה ועם השפעה נרחבת הרבה יותר, בדומה ל-GDPR).

 

בסופו של יום, מסקנות:

  1. חלקים מאמצעי השיווק הישיר באירופה (דוגמת דברי דואר רגילים) הם במודל של opt-out ואינם מחייבים הסכמה.
  2. חלקים אחרים, כבר כיום מחייבים opt-in (כלומר הסכמה), והעניין יוסדר כנראה בצורה מחוזקת יותר בקרוב.
  3. כך או אחרת, איסוף המידע והשימוש בו כפופים ל-GDPR ולכן צריך: 1. הסכמה למטרות השיווק והליך האיסוף, בהתאם לדרישות הרגולציה האירופית, או 2. מציאת בסיס חוקי מתאים כמו אינטרס לגיטימי (המחייב איזון אינטרסים זהיר מאוד בין העסק לין נשואי המידע).

מקווה שבכך הבהרתי קצת יותר את התמונה.

 

מדריך: המסמכים הנדרשים לפי ה-GDPR ותקנות הגנת הפרטיות (אבטחת מידע)

רגולצית הגנת הפרטיות האירופיות (ה-GDPR) ותקנות הגנת הפרטיות (אבטחת מידע) הישראליות מחייבות הכנת מספר לא מבוטל של מסמכים ותיעוד נרחב.

במאמר זה ננסה לגעת בחלקם ולהסביר אותם, על מנת שייקל עליכם לבצע את הנדרש מכם.

טרם אתחיל, חשוב להסביר כי התאמה לתקנות הישראליות והאירופיות כאחד, היא תהליך מורכב ומלא בפרטים.

האמור מטה אלא הוא רקע כללי שבהכרח אינו יכול למצות את כל ההוראות הקבועות בדברי החקיקה השונים ואינו מחליף עצה מקצועית. כך למשל, לעיתים באותו סעיף חוברו להם שני מסמכים שונים, שהנושא המחבר ביניהם דומה, פשו בשל נוחות הכתיבה. לכן, אין להסתמך עליו לפתרון בעיה ספציפית, אלא לקרוא אותו כמבוא כללי שבהכרח חסר פירוט ולאחר מכן להתייעץ עם בעל מקצוע אודות מצבכם שלכם.

  1. הודעת פרטיות תואמת (סעיפים 12, 13, 14 ל-GDPR) וכן נוסח הסכמה מסודר ותואם (סעיפים 6, 7, ו-9 ל-GDPR)

המדובר למעשה בהודעה המופיעה על גבי עמוד אישור מדיניות הפרטיות, שלפי הרגולציה האירופית צריכה לפרט מידע רב אודות המידע הנמסר, מה מטרת המסירה, למי הוא נמסר, למי יועבר, מה השימושים שייעשו בו, מתי ימחק, הודעה על זכויות הפרט במידע (לרבות הזכות להתלונן) וכדומה.

הודעה זו הינה השלב המקדמי של מדיניות הפרטיות, שבשלב מתקדם יותר הופכת להיות המדיניות המפורטת עצמה.

לאחר מכן, עליכם לוודא שגם נוסח ההסכמה עצמה עונה לדרישות הרגולציה. לדוגמא – שהוא ברור וקריא, נפרד מהטקסט המקיף אותו, בולט, חד משמעי, לא מותנה בדבר, לא מסומן מראש וכדומה דרישות הרגולציה.

יש לשים לב במיוחד להסכמה הנוגעת לילדים (בני 16 ומטה או 13 ומטה) ולהסדיר את הסכמת האפוטרופוס שלהם.

בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ, אם כי יתכן שניתן לצמצם מעט.

  1. מדיניות פרטיות מפורטת ומותאמת (סעיפים 12, 13, 14 ו-24 ל-GDPR).

לאור כמות המיילים הבלתי נגמרת שאנחנו מקבלים על תיקוני מדיניות פרטיות של אתרים אליהם אנחנו רשומים, נדמה שהצורך במסמך זה ברור לכולם. עם זאת, צריך להסביר, שלא מדובר באיזה מסמך גנרי שניתן להכין ולכסות את העסק, אלא שמדיניות זו צריכה להיות מוכנה לאחר שהעסק הפנים את הדרישות של חקיקת הגנת הפרטיות ויישם אותן לתוך המודל המסחרי שלו.

ללא התאמתם של הנהלים עצמם, מדיניות כזו לא תוכל לסייע. לכן למשל הפנינו בסעיף 24 לרגולציה האירופית שאמנם אינו קובע חובה ליצור מדיניות כאמור, אך קובע את אחריות האחראי למידע לעמידה בתקנות.

בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ שכן דרישת ה"הסכמה מדעת" בחוק הגנת הפרטיות לא תתמלא אם לא היתה שקיפות, ניתן המידע הנדרש, הוגדרו המטרות והשימושים ונעשה שימוש לפיהם.

עוד חשוב להדגיש, שנדרשת גם התייחסות ספציפית, במרבית המקרים במסמך נפרד, לקוקיות (Cookies) הנאספות על ידיכם או על ידי שירותים המגולמים באתר שלכם, וכן התייחסות לכל אמצעי הניטור והטרגוט מחדש ("ריטרגטינג") בהם אתם עושים שימוש.

  1. הסכמי ספקי שירות תואמים (סעיפים 28, 32 ו-82 ל-GDPR ותקנה 15 לתקנות הגנת הפרטיות הישראליות)

יש לבדוק את כל ההסכמים עם כל אותם גופים הנוגעים, נחשפים או מבצעים פעולה כלשהי במידע שלכם (אמאזון AWS, פייסבוק, גוגל, חוות השרתים שלכם, נותני שירותי פרסום כמו משרד הפרסום הדיגיטלי שלכם וכדומה). בפועל, כל עסק יהיה אחראי לכל הנעשה במידע שאסף – גם אם לא הוא ביצע את הפעולה. לכן, חשוב להסדיר זאת במערך ההסכמים ביניכם, מראש.

יש להסדיר את החובות של הצדדים ותחומי אחריותם בהסכמים, יש להפנות לחובות הספציפיות שקבועות ברגולציה האירופית ובתקנות הישראליות ולוודא עמידה בהן וכמובן יש לקבוע נהלי ביקורת ופיקוח ולעמוד בהם.

המלצה דומה קיימת גם בארץ, על אף שקיימים הבדלים מסויימים בין הישראלית לאירופית.

  1. נהלי פרטיות לעובדיכם (סעיפים 12, 13, 14 ל-GDPR)

עליכם להסביר לעובדיכם מה נהלי הגנת הפרטיות שיש לאמץ בעת עבודתם בחברה, על החשיבות בשמירה על אבטחת מידע ופרטיות וכדומה. שימו לב שמדובר בעובדים ישראליים. ככל שמדובר בעובדים הנמצאים באירופה עליכם להתייחס אליהם כפי שאתם מתייחסים למידע אודות לקוחות הנמצאים שם.

  1. נוהל, תגובה ותיעוד פרצות אבטחת מידע (סעיפים 33 ו-34 ל-GDPR וסעיף 11 לתקנות הישראליות)

יש להסדיר כיצד אתם בודקים באופן שוטף את חשיפת המידע שלכם לפרצות אבטחת מידע (פאסיביות או אקטיביות), מה הנוהל לפעולה במקרה של פרצת אבטחת מידע, כיצד ולמי מדווחים עליה (חובה הקיימת גם בארץ וגם באירופה). כמו כן כדאי להכין נוסח דיווח לרשויות או לפרטים, על מנת שבשעת הצורך הכל יהיה מוכן ומסודר ולא ייעשה במהירות וללא בקרה ומחשבה.

בישראל קיימת חובה דומה, אם כי שונה טכנית במאפייניה.

  1. מסמך הגדרות המאגר (סעיף 30 ל-GDPR ותקנה 2 לתקנות הגנת הפרטיות הישראליות)

אמנם מסמך דומה אינו נדרש לכאורה לפי תקנות הגנת הפרטיות האירופיות, אולם גם שם נדרש, למשל, תיעוד פעולות העיבוד ובכלל – התיעוד הנדרש באירופה כולל חלקים מהותיים מהפרטים הנדרשים בתקנות הישראליות (בין אם כתיעוד ובין אם כהודעה לפרטים).

נקודות המוצא בארץ ובאירופה שונות מעט, שכן בארץ הדגש הוא על אבטחת מידע והרכיבים התומכים בה, בעוד שבאירופה הדגש הוא על הגנת הפרטיות במידע (שאבטחת מידע היא אך חלק ממנו).

  1. קביעת נוהל אבטחת המידע במאגר (תקנה 4 לתקנות אבטחת המידע הישראליות)

גם כאן, לא נדרש מסמך דומה במדוייק לאירופי, אולם המסמך הנדון כולל רכיבים שונים מהחובות המוטלות על "שליטים במידע" באירופה שחייבים אף הם לקבל החלטות ביחס לשאלות אבטחת המידע ולתעד את השיקולים והמסקנות.

  1. מדיניות שמירת ומחיקת מידע (סעיפים דוגמת 5, 13, 17 ו-30 ל-GDPR)

מסמך שאינו ארוך, אבל אחרי שתחליטו איזה מידע נאסף ולאילו מטרות, עליכם להחליט גם מתי כל רכיב מידע ימחק, וכמובן – להודיע זאת לנשואי המידע, המשתמשים שלכם למשל.

  1. הערכת השפעת הסיכונים על הגנת הפרטיות, DPIA (סעיף 35 ל-GDPR וסעיפים 5 ו-16 לתקנות אבטחת המידע הישראליות)

יש לבצע סקירה כאמור ולתעד את תוצאותיה.

חשוב לשים לב שלוחות הזמנים לביצוע בישראל ובאירופה שונים. בארץ, מדובר על חובת ביצוע תקופתית, בעוד שבאירופה – הביצוע נדרש בכל עת בה מתקיים שינוי במאגר המחייב את ביצוע הבדיקה.

גם במסמכים דוגמת אלו, בעוד שהמסמך הישראלי מתמקד בעיקר בשאלות של אבטחת מידע טכנולוגית הרי שהמסמך האירופי מתמקד בעיקר במידע עצמו ובאופן עיבודו העלול לגרום לסיכוני פרטיות ולכן תוכן המסמכים בארץ ובאירופה יהיה שונה.

  1. רישום מעודכן של הרשאות הגישה למאגר (תקנה 8 לתקנות אבטחת המידע הישראליות)

דומה שהסיבה שב-GDPR אלי נדרש במפורש מסמך שכזה, הינה פשוט בגלל נקודת המבט "במעוף הציפור" של תקנות הגנת הפרטיות ואבטחת המידע האירופיות מול הישראליות (כשהאחרונות ממש פורטות את הדרישות מאוספי ומנהלי המידע בעוד הראשונות קובעות את העיקרון ומצפות מהעסקים לממש אותו כנדרש).

לכן, גם ללא חובה אירופית חד משמעית בנושא זה, המדובר במסמך שראוי שינוהל תחת שני דברי החקיקה.

  1. תיעוד נתוני האבטחה (תקנות 17 ו-19 לתקנות הגנת הפרטיות הישראליות וסעיף 5 ל-GDPR)

כל אותם נתונים הנצברים במסגרת הפעלת התקנות – יש לשמור תיעוד שלהם. למעשה, תיעוד כאמור נדרש גם מכוח עקרון האחריות (Accountability) לפי ה-GDPR.

 

מקווה שהמפורט מעלה יעזור לכם ויקל עליכם עמידה בתקנות, הישראליות והאירופיות.

 

גם פייסבוק וגם האדמין אחראים במשותף להגנת הפרטיות במידע על משתמשים בדף

פסק דין אירופי קובע שתי הלכות חשובות בהגנת הפרטיות והגנת המידע האישי של אנשים:

האחת – חובתו ואחריותו של אדמין בדף פייסבוק להגנת הפרטיות ואבטחת מידע באשר לנתוני משתמשי העמוד.

השניה – כפיפותם של גופים כמו פייסבוק וגוגל לרשויות הגנת הפרטיות השונות באירופה.

פסק הדין מתייחס ל-Facebook Insights. באינסייטס המידע נאסף באמצעות קוקיות/קוקיז הפעילות כשנתיים ומכילות קוד מזהה ספציפי. המידע הזה מתעדכן כאשר המשתמש מגיע וצופה בדף הרלוונטי, והמעקב אחר המשתמש מתבצע תחת אותו קוד, על מנת לאפשר משלוח פרסומות מחודש, סוג של Retargeting.

לא פייסבוק ולא האדמין של הדף הודיעו למשתמשים על הקוקיות הללו, ואחת מרשויות הגנת הפרטיות הגרמניות הורתה על סגירת הדף לאור יישום הדירקטיבה האירופית להגנת הפרטיות.

האדמין חלק על קביעה זו ופנה לבית המשפט המדינתי שם. הוא טען, שאין לייחס לו את עיבוד המידע ע"י פייסבוק והאחריות לכך היא של פייסבוק בלבד.

ביה"מ הגרמני פנה לבית הדין לצדק של האיחוד האירופי וביקש הנחיה.

היום (5.6.2018) ניתן פסק דין שקבע, כי פייסבוק (האמריקאית והאירית) נחשבת כ"קונטרולרית" של המידע (Data Controller) המתייחס למשתמשים המבקרים בדף, מכיוון שהיא זו שקובעת מה מטרות השימוש במידע וכיצד יעובד.

עם זאת, נפסק גם שהאדמין נחשב כ"קונטרולר משותף", מכיוון שגם הוא בעל יכולת קביעה אודות מטרות השימוש במידע ואמצעי ומטרות עיבוד המידע.

האדמיניסטראטור של דף (Fan Page) עושה שימוש בפלטפורמה של פייסבוק ביחס לעיבוד מידע אישי על משתמשים אירופיים במטרה להרוויח מהשימוש במידע ואינו יכול להתחמק מנטילת האחריות על השימוש שלו במידע.

בנוסף לכך עסקה ההחלטה גם בהכפפת פייסבוק אירלנד לרשות הגנת הפרטיות הגרמנית (ה-Unabhangiges Landeszentrum fur Datenschutz Schleswig-Holstein). בנסיבות: כשלקבוצת חברות בינלאומית שבסיסה מחוץ לגרמניה, אבל לה מוסדות במספר מדינות חברות באיחוד האירופי (ה-EU) רשאית הרשות המפקחת בכל אחת מאותן מדינות להפעיל את כוחותיה מכוח הדירקטיבה ביחס למוסד באותה מדינה של קבוצת החברות.

זאת – שימו לב פייסבוק וגוגל ישראל – גם אם התאגיד הספציפי באותה מדינה אחראי למכירת שטחי פרסום וכן פעולות שיווק בלבד. במיוחד כאשר אחריות פייסבוק אירלנד מתייחסת לכל תחום האיחוד האירופי, ורשויות הגנת הפרטיות הגרמניות רוכשות סמכות על כך.

פסק הדין נוגע במערך הכוחות ההדדי בין רשויות אכיפת הגנת הפרטיות ואבטחת המידע, והתוצאה היא חשובה ביותר גם לענייננו. כל רשות הגנת פרטיות מקומית שכזו יכולה לאכוף את הדירקטיבה (ואף את ה-GDPR) ביחס לתאגיד שחלקו ממוקם בשטחה, מבלי להזקק להפעלת הסמכות של רשות הגנת הפרטיות במדינות הנוספות.

 

חשוב לזכור שפסק הדין ניתן על בסיס הדירקטיבה הקודמת (95/46), ולא על בסיס ה-GDPR. מצד שני, דומה שהלכות אלו חלות במשנה תוקף תחת ה-GDPR.

להודעת הפרסום (Press Release) על פסק הדין, ראו – https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081en.pdf

 

GDPR צ'קליסט – נושאים לבדיקה

האם העסק הדיגיטאלי שלי תואם לרגולצית הגנת הפרטיות באירופה, ה–GDPR?

ה-GDPR (הרגולציה האירופית להגנת מידע ופרטיות) הן ראשי התיבות הכי מפחידים לעסקים בתקופה האחרונה. אנחנו שמחים להציע לכם כלי בסיסי לבחון ולהתאים את העסק שלכם ל-GDPR שלא תמצאו באף מקום אחר, בעברית.

מובהר כבר כעת, שרשימה זו אינה ממצה ואינה מספקת כשהיא לבדה. ללא איש מקצוע מוסמך שילווה אתכם, ההכנה תהיה חלקית בלבד. כמו כן שימו לב שבישראל חלות תקנות אבטחת המידע, שהאמור מטה אינו מכסה אותן במלואו.

עם זאת, מוטב שתתכוננו חלקית מאשר שתתעלמו לגמרי ולשם כך אנחנו כאן, לסייע, הן במסמך זה והן בהתאמה אמיתית לרגולציה. אתם מוזמנים ליצור עמנו קשר ב-03-6133333.

 

[ ] האם ההנהלה של הארגון שלכם מודעת לרגולציה ולחובתה לבדוק האם העסק שלכם תואם לרגולציה על מנת לא להקים למנהלים חבות אישית ולא לפגוע בעסק?

[ ] האם הרגולציה בכלל חלה עליכם? (הערה: גם אם התשובה היא לא, חלקים משמעותיים מהרגולציה אומצו לדיני הגנת הפרטיות הישראלי, הן לגבי זכויות הפרטים במידע וקבלת הסכמתם והן לגבי אבטחת המידע. אנא בידקו את עצמכם מול עורך דינכם לוודא שאתם עומדים בדיני הגנת הפרטיות ואבטחת המידע הישראליים).

[ ] האם הרגולציה חלה על מי שאתם מספקים להם שירות והם דרשו מכם להיות תואמים ל-GDPR?

[ ] האם בחנתם את כל זרמי המידע שנאסף, את הקטגוריה אליה משתייך כל זרם שכזה, ואת כל הנדרש?

[ ] האם אבחנתם מידע רגיש (דוגמת מידע על אמונות דתיות, העדפות מיניות, מידע המתייחס לילדים וכדומה) ופעלתם בהתאם לרגישות המידע?

[ ] האם "ניקיתם" מידע קודם שנמצא בידיכם והתאמתם אותו לרגולציה?

[ ] האם תהליך תכנון המוצר/שירות שלכם מלווה בשיקולי פרטיות שניתן להם המשקל הראוי?

[ ] האם ברירת המחדל בהגדרות המוצר שלכם היא פרטיות, אלא אם המשתמש בחר אחרת?

[ ] האם בוצע סקר בדיקת סיכוני הגנת מידע ופרטיות (DPIA) בשלב הבסיס והאם קיים אצלכם נוהל לביצוע חוזר שלו בכל מקום בו הדבר נדרש (כמו למשל בפיתוח מוצר חדש או שינוי טכנולוגי במוצר קיים)?

[ ] האם נושא הפרטיות הובהר ואומץ לכל אורך שדרת הארגון? (החל מההנהלה הבכירה, דרך אנשי כוח אדם, אנשי המו"פ, השיווק ומכירות, שירות הלקוחות, התמיכה הטכנית, סגל הנקיון והאבטחה וכדומה)?

[ ] האם הגדרתם את מטרות את איסוף ועיבוד המידע והן תקינות וידועות?

[ ] האם בחנתם את כל פעולות עיבוד המידע, את נחיצות המידע לצורך כל מטרה ואת החובה למחקו כאשר אין בו צורך עוד?

[ ] האם מיניתם אחראי פרטיות והגנת מידע או שקלתם האם אתם חייבים לעשות זאת לאור דרישות ה-GDPR? (אם כן, האם אתם עומדים בדרישות ה-GDPR ביחס אליו?)

[ ] האם אימצתם מדיניות פרטיות מסודרת מול נשואי המידע שנאסף אצלכם? אם כן – האם המדיניות שלכם מפורטת כנדרש ועלה בקנה אחד עם דרישות הרגולציה האירופית?

[ ] האם אימצתם מדיניות פרטיות מסודרת ביחס לאופן פעולת העסק או המוצר שלכם (למשל – הצהרת "קוקיות" (cookies) מתאימה)?

[ ] האם כל פעולה איסוף מידע או עיבוד שלו מלווה בגילוי העולה בקנה אחד עם הרגולציה ובהסכמה?

[ ] האם ההסכמה הינה ברורה, חד משמעית, מפורטת ביחס לכל רכיביה, בולטת, מובחנת מהיתר, לא מותנית ולא מסומנת מראש, מובנת ומתועדת כנדרש?

[ ] האם נתתם הודעה מלאה כנדרש ("שקיפות") על כל פרטיכם שלכם, פרטי המידע הנאסף, השימושים שייעשו בו, העברותיו לאחרים, האמצעים הטכנולוגיים בהם מתבצע האיסוף וכל פרט אחר הנדרש ברגולציה?

[ ] אם אין הסכמה מתאימה – האם איתרתם בסיס חוקי אחר לאיסוף המידע ועיבודו?

[ ] האם אתם מכירים את כל זכויות הפרט לפי הרגולציה? (הזכות לקבל אישור האם נאסף עלי מידע, הזכות לקבל את המידע שנאסף עלי, הזכות להעביר את המידע שנאסף עלי לאחרים בצורה נוחה טכנולוגית, הזכות לתקן מידע שגוי, הזכות למחוק מידע, הזכות להגביל או להפסיק עיבוד והזכות למנוע קבלת החלטות אוטומטית ו"פרופיילינג")?

[ ] האם הכנתם נוהל פעולה ביחס לכל פניה המבוססת על כל אחת מהזכויות ואתם יודעים שתוכלו לבצע את הנדרש במשך הזמן שנקבע ברגולציה?

[ ] דוגמאות לאלמנטים שכדאי לכלול בשירות המקוון שלכם: תיבת הסכמה מסודרת עם הודעה ברורה ומלאה לצידה וקישור למדיניות פרטיות מורחבת; שילוב הזכות לקבל, לצפות, לתקן, להוריד, להעביר ולמחוק את המידע בממשק ההגדרות של המשתמש; הליך של אישור הסכמה כפול; וכדומה.

[ ] האם כל פעולות העיבוד, אבטחת המידע, הגנה בפני פרצות מידע והעברות מידע לאחרים אצלכם מתועדות בפירוט וכנדרש?

[ ] האם נקבע נוהל מניעה, טיפול ודיווח בפרצות מידע והאם הנוהל מאפשר לכם לעמוד במועדים שנקבעו בתקנות לשם דיווח על פרצות המידע לרגולטור או לציבור?

[ ] האם זיהיתם את כל הנקודות בהן המידע נחשף בפני אחרים או מועבר אליהם וטיפלתם בהן?

[ ] האם נקטתם את כל אמצעי האבטחה הסבירים והנדרשים בתחומים השונים?

[ ] אמצעי אבטחה ארגוניים: למשל – האם נקבעו נהלים מתאימים לכל אחד מהמקרים הנדרשים לפי ה-GDPR (דוגמת טיפול במידע אישי או איתור ודיווח על פרצות מידע – data breaches? האם מתקיימים ימי הדרכה חוזרים ומסודרים בנושאי הגנת הפרטיות וכל עובדיכם הודרכו ואישרו בכתב שהודרכו בנושא באופן שוטף?

[ ] אמצעי אבטחה משפטיים: למשל – האם הסכמי ההעסקה של עובדיכם ושל הקבלנים עימם אתם עובדים הותאמו לדרישות הרגולציה? האם נוסחו כל המדינויות וההצהרות הנדרשות כנדרש? האם בחנתם את כל שירותי הענן בהם אתם משתמשים ואתם יכולים לוודא שהם אמינים, שההסכמים עימם משלבים את שחובה עליכם לשלב ואתם יודעים שהם GDPR compliant?

[ ] אמצעי אבטחה טכנולוגיים: למשל – האם אתם נוקטים בהצפנה? בהתממה אחרת של המידע (דוגמת פסודונימיזציה או הפרדה בין מאגרי המידע)? האם העברות המידע מוגנות מספיק (SSL למשל)? האם הרשאות הגישה והשינוי של המידע מנוהלות כנדרש? האם אומצו מנגנוני זיהוי מתאימים? האם נושא מיזעור המידע קיבל ביטוי טכנולוגי מתאים והולם? כיצד מנוהלים גיבויי המידע?

[ ] אמצעי אבטחה פיזיים: למשל – האם דאגתם לנעול את הקלסרים המחזיקים במידע אישי והאם הכניסה למקומות רגישים בעסק מוגבלת פיזית למי שחייב לגשת אליהם בלבד? האם אתם מוודאים שאנשים זרים אינם מסתובבים בעסק ללא פיקוח? האם הכניסה למשרדיכם ולחדרים בהם מאוחסן מידע אישי – חופשית? כיצד אתם מגינים על אמצעי זכרון ניידים מפני גישה ובמיוחד במקרי מחיקה או אובדן? האם התקנתם סורגים בחדרים הנדרשים? ואמצעי איתור וכיבוי שריפות?

[ ] האם הכנתם נוהל איתור פרצות מידע, תיעוד ודיווח עליהן ואתם עומדים בו?

[ ] האם ההסכמים עם מי שמבצע עבורכם את פעולות העיבוד הותאמו לרגולציה ומבצע העיבוד נבדק ונמצא מתאים? (כשהעבודה מתבצעת באירופה, אפילו ספק השכר ותלושי השכר שלכם חייב התאמה של ההסכמים עימו לרגולציה, למשל).

[ ] האם הביטוח שלכם מכסה אתכם במקרי תקלות?

 

מקווה שעזרנו. עכשיו העבודה עליכם ועל המומחה שתצרפו אליכם.

בהצלחה.

 

מדריך "הצינור" למעסיקים – כיצד יש לנהוג בנכסים הדיגיטליים שלכם?

בעקבות הנצחון של משרדנו בעניין דף "הצינור" אני מבקש להציג את המסקנה הכי חשובה מפסק הדין – אסור ש"יהיה בסדר" יהיה המודל העסקי שלכם!

למעוניינים לקרוא את פסק הדין, הקישור אליו נמצא כאן – ערוץ 10 נ' גיא לרר (PDF).

עסק שלא יסדיר הן בצורה חוזית והן בצורה ניהולית את נכסיו הדיגיטליים עלול למצוא את עצמו בלעדיהם יום אחד.

(תיק זה נוהל כמובן כצוות, יחד עם עורכי הדין ד"ר הלל סומר וגבריאלה שוורץ. כבוד להם על עבודתם הקשה והמוצלחת, ותודה).

פסק הדין מתבסס למעשה על שני רכיבים חשובים שהמעסיק לא הצליח להוכיח שהתקיימו בהתנהלות דף הפייסבוק "הצינור": לא הוכח שהמעסיק הצליח להסדיר חוזית מול העובד את בעלותו בנכסים הדיגיטליים שטען שהם שלו. לא הוכח גם שהמעסיק ניהל את נכסיו הדיגיטליים בפועל.

ומכאן שתי המסקנות בהן רציתי להתמקד. מעסיקים –

1. אנא דאגו להסדרת חוזי ההעסקה של עובדיכם (וכן חוזי קבלנות המשנה) בהתחשב במדיות הטכנולוגיות החדשות (חשבון וואצאפ עסקי? דף פייסבוק? חשבון אינסטגראם? חנות באמאזון או ETSY?).

דאגו שהסכמי ההעסקה וההתקשרות שלכם יטילו על העובדים (וקבלני המשנה) את חובותיהם הנכונות ויבטאו את תפקידם בצורה ברורה ומובנת, הבהירו להם את הזהירות הנדרשת מהם, דאגו שההסכמים יבהירו בידי מי השליטה ובידי מי הבעלות בנכסים שאתם מבקשים שיהיו שלכם. כדי גם לחשוב על מארג הנחיות התנהלות דיגיטלית ובמדיה חברתית לעובדיכם, על מנת שיתנהלו נכונה, מדיניות נכסים דיגיטליים (אך רכיב זה לא היה רלוונטי לפסק הדין "הצינור").

2. אנא דאגו לפיקוח אקטיבי ומשותף על נכסיכם. אל תשאירו את הניהול והשליטה רק בידי העובד, גם אם זה תפקידו היחיד אצלכם. דאגו שגם לכם או למי מטעמכם תהיה שליטה בנכסים ויכולת לטפל בהם במידת הצורך (כולל למשל יכולת לבטל את מינוי העובד העיקרי).

פסק הדין ערוץ 10 נ' גיא לרר בחן את שתי הסוגיות הללו והגיע למסקנות הבאות.

מבחינה חוזית, הסכם ההעסקה של לרר לא התייחס כלל לנכסים דיגיטליים. אמנם, בעת תחילת עבודתו לא היה צורך ומקום להתייחס לכך, אולם ההסכם אף תוקן במהלך הדרך, כשתפקיד דף הפייסבוק היה ברור לכל, ובכל זאת ההסכם לא התייחס אליו. תקלה כגון זו מוטב שלא תקרה.

ההסכם במיוחד לא הבהיר את עובדת היות הדף חלק מהתחייבויותיו של העובד (ובפועל, בתיק עצמו, הוכח כי דף הפייסבוק הוחרג והוצא אל מחוץ מערך יחסי ההעסקה עם העובד) ואף לא את הבעלות והשליטה בו. זה היה החטא הקדמון של המעסיק בפרשה זו.

לאחר מכן קיבל בית הדין את רשימת השיקולים הרלוונטיים שהוצגו בפניו לו על ידינו ובחן את נסיבות המקרה בהתייחס אליהם. רשימת שיקולים אלו היא רשימה חשובה, שכן היא מלמדת מעסיקים מה הם האלמנטיים הניהוליים עליהם לשים את ליבם ולהקפיד:

  1. מי יזם את פתיחת החשבון ולאיזו מטרה הוא נפתח.
  2. מה מידת המתאם בין החשבון לבין עבודת העובד. שיקול זה, כך נקב, הוא בעל משקל רב.
  3. באילו שעות ומועדים נוהל החשבון.
  4. מי נשא בהוצאות ניהול החשבון (כגון פרסומו, ייעוץ משפטי, שיווקו וכדומה).
  5. האם ניהול החשבון בוצע תחת הוראות המעסיק ובפיקוחו. רכיב זה, ברצוני להדגיש, גם הוא רכיב חשוב ושומה עליכם לדאוג שיתקיים בכל הקשור בנכסים הדיגיטליים שלכם. פקחו עליהם, וודאו שאת יודעים מה מתרחש ביחס אליהם ואל תזלזלו.
  6. האם קיימות בהסכם העבודה הוראות ביחס לחשבון (בנושא זה כבר דנו)
  7. האם קיים במקום העבודה נוהל עבודה ביחס לשימוש בחשבונות ברשתות חברתיות (זה הוא רכיב מדיניות הנכסים הדיגיטליים, שמומלץ לצרף מעכשיו לכל הסכם העסקה).

יש לשים לב ששיקולים אלו אינם חד משמעיים, אלא הם מקימים משקל מצטבר שיכריע את המסקנה בנסיבות כל מקרה. לכן, גם אם אין ביכולתכם לעמוד באחד או יותר מהם – אנא דאגו שהיתר יתקיימו בענייניכם.

אם תרצו לשמוע אותי מסביר עוד קצת בנושא זה, אתם מוזמנים להקשיב לראיון עימי בתכנית "איפה הכסף" בתכנית 103FM –http://103fm.maariv.co.il/programs/media.aspx?ZrqvnVq=HFJLJD&c41t4nzVQ=ELD

וובינר: מה זה GDPR

מה זה GDPR ומה אני צריך לעשות בעסק שלי כדי להתאים את עצמי.

זו השאלה שאני נתקל בה כל הזמן בתקופה האחרונה ושכל עסק שיש לו נגיעה עם שיווק דיגיטלי, אתר אינטרנט עם קוקיז או אמצעי מעקב, מכירות באירופה או כל נגיעה אחרת לאירופה חייב להתייחס אליה.

 

אני שמח להזמין אתכם לקחת חלק בוובינר GDPR בנושא הזה ממש שעורך הדין טל פרנקל ואני נעביר ממש בקרוב, ביום רביעי הקרוב, 11.4.2018, שעה 14:00. אנא הקישו על הלינק ותרשמו.

המדובר בחלק מהתנהלות כנס "ALL THINGS DATA" בו ארצה בנושא. בוובינר נפתח את הדלת לשיחה יותר ישירה בינינו.

מי שירצה מוזמן להשאיר בתגובות למטה שאלות בנושא ואנו ננסה להתייחס אליהן בוובינר.

 

16 הצעדים להתאמת העסק שלך ל-GDPR

מדריך ראשוני – איך העסק שלכם יכול להתאים את עצמו ל-GDPR, רגולצית הגנת הפרטיות והמידע האירופית.

מדריך – מה זה GDPR.

מטרת המדריך לסייע לכם, עסקים שונים, להבין בפני מה אתם עומדים; מה היא הרגולציה האירופית החדשה ומה הכוונה במונח GDPR.

GDPR LOGO

עסק שלא יתאים עצמו לרגולציה באירופה עלול למצוא את עצמו עומד בפני קנסות גבוהים ביותר (עד 10-20 מליון אירו) ואף תביעות אזרחיות או ייצוגיות. גם מנהליו שלא פעלו כדי להתאים את העסק יצטרכו לתת את הדין.

משאלות רבות שמתקבלות במשרדנו אנחנו לומדים על חוסר ההבנה בנושא זה אצל עסקים שונים. לכן, בחרנו ב-16 צעדים חשובים שחשוב שתבצעו כדי להתאים את העסק שלכם. כמו כן ניסינו להסביר את העקרון העומד בבסיסם. עליכם מוטל הנטל ליישם צעדים אלו  בעצמכם או בעזרת בעל מקצוע מומחה.

עם זאת שימו לב, המדובר במדריך המכיל מידע כללי בלבד. בשל מורכבות הנושא הוא אינו מכיל את מלוא הנושאים ומלוא החריגים. לדוגמא, לא נכלל בו הנושא של תיעוד פרצות אבטחת מידע, הטיפול בהן והדיווח עליהן (בשל חוסר מקום ורצון לא להכביד יתר על המידה). לכן, יתכן שמדריך זה לא יתאים לעסק שלכם ואם תרצו לבצע התאמה ספציפית – אין להסתמך על הכתוב בו אלא להעזר בבעל מקצוע מומחה לביצוע ההתאמה הספציפית שלכם.

הקישו על הלינק כדי לקבל את המדריך בקובץ PDF אליכם למחשב – GDPR_16steps.

יום עיון GDPR

קוראים וחברים יקרים,

אני מאוד שמח להזמין אתכם לערב עיון (לא ארוך) שנערוך עוה"ד טל פרנקל ואנוכי בנושא ה-GDPR (הרגולציה האירופית להגנת מידע ופרטיות) במשרדי Google Campus וראו קישור לעמוד האירוע בגוגל קמפוס.

תאריך האירוע יהיה ה-28.3.2018, בשעה 19:30.

אתם מוזמנים להרשם כאן – https://goo.gl/forms/z5YBZ3o3qUPxIaZ42.

בערב העיון נסקור תחילה את העקרונות העומדים בלב הרגולציה, נבדוק האם העסק שלכם בכלל כפוף לרגולציה ונכוון לפעולות שמומלץ לנהוג בהן על מנת לצמצם את החשיפה והסיכון שעומדות בפני העסקים שלכם בעקבות הרגולציה.

אלא שבניגוד לימי עיון אחרים בנושא זה, הפעם ננסה להתמקד בשאלות הרלוונטיות ביותר לעסקים מקוונים, חברות טכנולוגיות ודומיהם.

אני מזמין אתכם להעלות בתגובות מטה שאלות ותהיות, שבמהלך הערב ננסה להתייחס אליהן.

 

אחריות מנהלים ודירקטורים לפי ה-GDPR

הרצאות להכרת ה-GDPR בפני דירקטוריונים והנהלות

אם אתם דירקטורים או מנהלים בחברות ישראליות (עם לקוחות, משתמשים, גולשים, ספקים, שרתים או שירותים מאירופה), קחו בחשבון שהחל ממאי 2018, כשה-General Data Protection Regulation (679/2016/EU) האירופית (GDPR) תכנס לתוקף, יתכן ותהיו כפופים לתביעות רשלנות לאחר שהחברה שלכם תאלץ לשלם מליוני אירו כקנסות.

לכן, אני שמח להציע לכם הרצאת היכרות עם ה-GDPR בפני הנהלות ודירקטוריונים ואתם מוזמנים ליצור עימי קשר במשרד (03-6133333) או בתיבת ה"צור קשר" על מנת לתאם הרצאה אצלכם כאמור.

בהרצאה זו אני מסביר מה משמעות הרגולציה, מה החובות אותן היא מטילה על עסקים ואני מעניק בסיס לבדיקה – האם הארגון שאתם אחראים עליו צריך לעמוד ברגולציה ואם כן – האם הוא עומד בה?

במרבית המקרים כשפונים אלי לקוחות לבצע סקר מאגרי מידע ובדיקת פערים מול הרגולציה האירופית, הפונה היא מנהלת המחשוב בחברה או היועץ המשפטי. הם כמובן מבינים את החשיבות שיש בהתאמת מערכות המידע של החברה ואת נהליה ל-GDPR. ואחרי שיחה קצרה שנינו מבינים את החשיפה שמסכנת את העסק, אלא שאז מגיע משפט המחץ – "טוב, עכשיו אני רק צריכה לשכנע את ההנהלה".

בפועל אנו רואים שמנהלים ודירקטורים לא הפנימו את משמעותה הדרמטית של הרגולציה המתרחשת עלינו ממש בקרוב, במאי 2018. בבדיקות לא רשמיות שבוצעו בחו"ל התברר שכ-33% מהמנהלים שנשאלו בחברות חוץ-אירופאיות לא היו מודעים לסכנות הטמונות לעסק שלהם ברגולציה. מבדיקה לא רשמית שלי, בישראל, האחוזים גבוהים משמעותית.

באי ידיעה זו נעוצה סכנה רבה כשלעצמה, הן לעסק והן לדירקטורים שלא היו מודעים לדבר מה שחובתם היתה לדעת אותו. האחריות שתוטל על מנהלים ודירקטורים שהתעלמו מהסיכון והדרישות שמציבה ה-GDPR יכולה להקים חשיפה גדולה (שלמיטב הבנתי בהחלט יתכן שאינה מכוסה בביטוח המנהלים ונושאי המשרה הנוכחי).

צעדים לדוגמא שהרגולציה מחייבת הם:

  1. מינוי קצין הגנת מידע במקומות בהם הוא נדרש (וכשאינו נדרש, מינויו מומלץ).
  2. הגנת המידע בפועל. לדוגמא בהצפנה, באנונימיזציה, באמצעים פיזיים, סיסמאות, תוכנות הגנה וכדומה.
  3. הסדרת הליך ההודעה ללקוחות על איסוף המידע והיקפו וכן אופן קבלת ההסכמה החד-משמעית והמוגדר.
  4. הסדרת הליכי זכויות הפרט במידע שנאסף עליו (והרגולציה קובעת מספר זכויות משמעותיות, חלקן חדשות).
  5. הכוונת תהליך סקירת המידע וכן סקרי סיכוני פרצת אבטחת מידע ודיווח על פרצות אבטחת מידע (לרשות ולציבור).

אחד מהרכיבים הבולטים ברגולציה הוא מערך העונשים והקנסות שלה שנקבעו בה. אי עמידה ברגולציה מזכה את הלקוחות שלכם בזכות תביעה כנגדכם וחומור מכך – מאפשרת לרשויות האכיפה האירופיות להיטל (גם על חברות ופרטים מחוץ לאירופה) קנסות בהיקפי מליוני אירו.  אי הערכות לקראת הרגולציה עלול ליצור חשיפה כספית-משפטית מהותית לעסק, ואם לא תדאגו לטפל בנושא כמנהלי התאגיד, אתם עשויים להחשב רשלנים, או אף חמור מכך.

המדובר ברגולצה חדשה שבודדות החברות הישראליות המודעות לה ואשר התאימו את עצמן לקראתה. אלא שאי טיפול בבעיה עשוי לגרום לתביעות משמעותיות כנגד החברה וכנד הדירקטורים והמנהלים שלה. התעלמות לא תעזור. ככל שהדירקטוריון לא יקים מערך הגנת מידע, בדיקת מידע וסיכונים ראוי, יהיו הדירטורים והמנהלים בסיכון בפני תביעות חמורות ומשמעותיות.

נושא זה של אחריות דירקטורים לרגולציה עלה למשל בבריטניה עוד לפני כשנתיים, והרשות המפקחת שם (ה-ICO) הצהירה שתראה במנהלים אחראים אישית לפרצות אבטחת מידע שארעו תוך התעלמות מהוראות הרגולציה.

על מנת להתמודד עם סכנה כזו, משרדנו מציע הרצאות בפני הנהלות חברות להיכרות עם הרגולציה וכיצד ניתן להתמודד איתה. נשמח אם תיצרו איתנו קשר לתיאום.