ready, set go

מדריך ראשוני – איך מתמודדים עם GDPR?

האם אתם כמו כל הלקוחות שרוצים שאני אכין לכם "תעשה לנו תנאי שימוש שמתאימים ל-GDPR באירופה"?

ללקוחותי אני נאלץ להסביר מדוע לא ניתן לעשות זאת (בקצרה: GDPR הוא תהליך שעובר לכל אורך שדרת העסק והאיסטרטגיה שלו, ולא מדובר במסמך או הצהרה כזה או אחר).

לקראת השנה האזרחית החדשה הבאה עלינו לטובה, אני מבקש להציג בפניכם מספר צעדים שיקרבו אתכם להגנה משמעותית יותר על הפרטיות של הלקוחות ועל העסק שלכם, גם אם זו אינה בהתאמה (compliance) מלאה ל-GDPR.

נתחיל בהתחלה – בידקו את עצמכם ובצעו Gap Analysis: האם אתם GDPR Compliant?

תחילה כדאי לבדוק האם ה-GDPR חלה על העסק שלכם. אולם, גם אם תסברו שלא, אין ספק שהמפורט מטה יעזור ויקדם אתכם הן לאור הדין הישראלי והן לאור הסיכון כי בעתיד, הרשויות האירופיות יחשבו אחרת מכם.

בצעו סקר מידע מסודר שיבחן אילו סוגי מידע אישי אתם אוספים, וממי; מדוע אתם אוספים כל רכיב מידע; כיצד אתם אוספים אותו; כיצד אתם מעדכנים את מי שהמידע אודותיו נאסף ("נשוא המידע"); למי אתם מעבירים את המידע או מי חשוף אליו אצלכם; כיצד אתם מאבטחים את המידע שנאסף ונשמר אצלכם וגם במהלך העברתו אליכם ומכם; וכדומה.

חשוב לשים לב לכל סוגי זרמי המידע בכל המחלקות אצלכם בעסק, לרבות מחלקת תכנון ופיתוח, מחלקת כח אדם, המחלקה הטכנולוגית, מחלקת תמיכה ושירות וכמובן מחלקת שיווק ומכירות.

חשוב גם לבחון את ההתקשרויות שלכם עם ספקי שירותים חיצוניים, העובדים שלכם וכל אדם או גוף אחר שנחשף למידע וחשוב שישמור עליו לפי דרישות החוקים השונים.

כל אותם "זרמי מידע אישי" יביאו ליצירת סקר מידע אישי מקיף (Data Survey) שבעקבותיו תבצעו בדיקת פערים (Gap Analysis) – עד כמה אתם עומדים בתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 הישראליות וב-General Data Protection Regulation האירופי ומה הפערים בין הביצוע שלכם בפועל לעומת הנדרש מכם.

בכל פעם בה תגלו שאינכם עומדים בתקנות הגנת הפרטיות (אבטחת מידע) הישראליות או ב-GDPR האירופי – בררו מה היא המשימה שיש לבצע על מנת לעמוד בנדרש, מה האמצעים הנדרשים לצורך זה ומה עלותם.

ככל שתבינו מצב זה, תדעו כיצד עליכם לפעול והאם הפעולה הנדרשת נכונה כלכלית או לא.

אם אין לכם אחראי פרטיות – רצוי שתמנו אחד כזה, ובמהלך העבודה תוודאו כי אתם מתייעצים עם גורמים חיצוניים בעלי נסיון והשכלה (משפטית, ארגונית וטכנולוגית כאחד) שיאפשרו לכם להגן על עצמכם.

 

הבסיס – הפרטיות כחלק בלתי נפרד מכל תכנון

נקודת המוצא, הן של ה-GDPR והן של החקיקה הישראלית היא, כי פרטיות הופכת להיות חלק בלתי נפרד מכל תכנון שתבצעו; בין אם במו"פ טכנולוגי, במבנה ארגוני או בהליך שיווקי. הפרטיות, הופכת להיות רכיב בלתי נפרד מכל תכנון אותו עליכם לבצע.

למשל, כשאתם מבקשים להפוך רעיון למוצר, ראוי שכבר במהלך התכנון הראשוני תבחנו סוגיות של הגנת הפרטיות.

כל מוצר או שירות שלכם צריך שיהיה מתוכנן כך שיאסוף כמה שפחות מידע על משתמשיו ויוגבל במידע רלוונטי, נחוץ ושקיימת הסכמה או בסיס אחר לאיסופו. ככל שהמשתמש יבקש למסור לכם יותר מידע על מנת לקבל שירות נרחב יותר, יהיה עליו לנקוט בפעולה פוזיטיבית שתבהיר את הסכמתו ובקשתו (למשל, להזיז מתג בפאנל ה"הגדרות" של האפליקציה שלכם).

 

עמידה בתקנות הפרטיות (אבטחת מידע) בישראל

אחד מהיתרונות בדיני הפרטיות הישראלים, הוא חקיקתן של תקנות הגנת הפרטיות (אבטחת מידע) המקנות כלים מאוד מפורטים לאבטחת המידע שאצלכם, לעיתים אף בפירוט רב יותר מהתקנות האירופיות.

בניגוד ל-GDPR, הרי תקנות אבטחת המידע חלות על כולנו, כל תושבי ישראל, ולכן בכל מקרה חובה עלינו לפעול לפיהן.

עם זאת, הדין הישראלי בעיקר מכוון להגנה על המידע, בעוד ה-GDPR מכוונת להגנה על הפרטיות. להבדל זה משמעות לא מבוטלת וחשוב להבין אותה בעת נקיטת פעולה.

כך או אחרת, קיום התקנות הישראליות הוא אחד מהצעדים שיקדמו אתכם לעמוד גם בתקנות האירופיות, מה גם שחובה לעמוד בהן, שכן זה החוק החל.

 

הגנה על המידע ומניעת פרצות מידע

קביעת נהלי אבטחה קבועים, סקרי חדירה, נהלי טיפול ודיווח על פרצות מידע וכמובן – תיקון הליקויים, הם נושאים חשובים לכל עסק, גם ללא קשר עם החוק.

כדי להגיע למסקנות ביחס לנהלים הנדרשים, חשוב לבצע סקרי הגנת הפרטיות/אבטחת מידע (DPIA). סקירת המצב הרלוונטי אליכם בחברה, הסיכונים הגלומים בו והדרכים למזער אותם, תאפשר לכם להבין היטב היכן למקד את המאמצים (והתקציב) בצורה שתהיה יעילה יותר.

חשוב גם לאמץ אמצעים טכנולוגיים, משפטיים וארגוניים להגנה על מידע אישי שבידיכם: החל בתוכנות אנטי-וירוס עדכניות וטובות, עבור דרך בדיקת מלאה של מכלול ההסכמים ביניכם לבין ספקיכם ולקוחותיכם (עם עין על שאלות פרטיות ואבטחת מידע) וכלה באמצעים ארגוניים ופיזיים להגנה על המידע שלכם.

 

קבעו נהלי הגנת הפרטיות ברורים ושקופים, והביאו אותם לידיעת עובדיכם ולקוחותיכם

עובדיכם צריכים לדעת בדיוק כיצד עליהם להתנהג בסיטואציות שונות, כששיקולי הגנת הפרטיות הם חלק מהשיקולים שעליהם לשקול. לכן, עדכון מדיניות התנהלות עובדיכם, צירופה להסכם ההעסקה וקביעת נהלי הדרכה – היא צעד נכון, הן פרקטית והן משפטית, לעמידה בדרישות החקיקה השונות.

החליטו מה הם הארועים המסוכנים ביותר לעסק וללקוחותיו בשל הפרת הפרטיות, וקבעו נהלים מראש, שיגדירו לעובדיכם כיצד יש להתנהל בכל מקרה ומקרה. למשל: כיצד פועלים אקטיבית למניעת פרצות אבטחה וכן מה הנוהל במקרה שמתגלה פרצת אבטחה; כיצד פועלים כאשר מופנית אל העסק פניה מאדם שהמידע אודותיו מאוחסן אצלכם (החל מזיהוי הפונה, דרך טיפול בפניתו וכלה בתשובה אליו); מה היא מדיניות השימוש במכשירים אישיים במהלך העבודה וכדומה.

כך גם לקוחותיכם – מי שאתם אוספים מידע אודותיו – צריכים לקבל הודעה מפורשת ומסודרת שתאפשר להם להביע את הסכמתם בצורה נכונה. למשל: מי אוסף את המידע, לאילו צרכים ומטרות נאסף המידע, היכן הוא נשמר וכיצד, מי יכול לגשת אליו או להשתמש בו, למי הוא מועבר, מה זכויות הפרטים ביחס אליו ומתי הוא ימחק; אלו ואחרים הם נתונים שחשיפתם בצורה ברורה ושקופה תקדם אתכם בצורה מהותית לעמידה בדרישות ה-GDPR.

 

מנו אחראי פרטיות והתייעצו עם מומחים

במרבית הארגונים ניתן למצוא כיום כבר אחראי אבטחת מידע; התחלה טובה, אין ספק. אולם פונקציה תאגידית שעיקר מחשבתה אינה ממוקדת באבטחת מידע אישי אלא בהגנת הפרטיות של לקוחותיכם, היא התקדמות מאוד חשובה לעמידה בדרישות הרגולציות האירופית והישראלית.

וכמובן, לאחר שמונה אותו אחראי – הקשיבו לדבריו.

בכל מקרה בו אתם או האחראי מטעמכם אינכם בטוחים מה היא התשובה הנכונה לשאלה שלפניכם, גשו לעו"ד מומחה והתייעצו עימו. מכך תצמח לכם רק תועלת.

 

לסיכום, כל אותן משימות המפורטות מעלה לא נועדו להתמודד במישרין עם ה-GDPR ואימוץ שלהן אין משמעות שאתם עומדים ברגולציה האירופית.

אולם, נקיטה בצעדים המומלצים מעלה תקדם את מצבכם בצורה דרמטית הן מבחינת הגנת לקוחותיכם, והן מבחינת הגנת העסק שלכם מול דברי החקיקה הרלוונטיים תקנות אבטחת המידע והפרטיות בישראל ובאירופה).

ככל שתזקקו לעזרה נוספת אתם מוזמנים ליצור עמנו קשר ולהתייעץ ב-03-6133333.