EPR and GDPR

הגנת פרטיות בעיצוב וכברירת מחדל

חשוב שתכירו את העקרונות שעומדים בלב דיני הגנת הפרטיות וה-GDPR:

  1. פרטיות בעיצוב (Privacy by Design)

  2. פרטיות כנקודת מוצא (Privacy by Default).

במאמר זה אני אציג בפניכם שני עקרונות העומדים בבסיס רגולציית הגנת הפרטיות האירופית וגם בארץ נעשים נסיונות לאמצם וגם אתן לכם המלצות – כיצד עליכם לפעול.

האמור כאן הינו להרחבת ההשכלה בלבד והוא אינו מחליף ייעוץ משפטי מסודר שהותאם לבעיה שלכם. בכל בעיה שתתעורר, אין להסתמך עליו אלא מומלץ לגשת לייעוץ ספציפי. ככל שתרצו  להרחיב ולשפר את התאמת העסק שלכם להגנת הפרטיות, אתם מוזמנים ליצור עימנו קשר ב-03-6133333, ונדבר.

 

מה מקורו של הביטוי Privacy by Design?

המקור של הביטוי מצוי דווקא בקנדה של 1995. באלף הקודם…אחראית הפרטיות באונטריו (הנציבה Ann Cavoukian) הציגה רשימת עקרונות שמבטאים את משמעות הביטוי (התרגום שלי):

  1. כבד את פרטיות נשוא המידע.
  2. היה שקוף וגלוי בפני נשוא המידע.
  3. היה פעיל ולא סביל. הקדם תרופה למכה.
  4. דאג שההגדרות יהיו פרטיות כברירת מחדל.
  5. גבש את עקרונות הפרטיות תוך עיצוב המוצר או השירות אותו תספק.
  6. וודא שגם מי שמעוניין לשמור על פרטיותו יוכל לקבל את השירות במלואו.
  7. הבטח אבטחה מלאה לנתונים ולמידע לכל אורך חייהם אצלך, מכל הכיוונים.

 

מה משמעות Privacy by Design בימים אלו?

מרבית שיטות המשפט, וישראל ביניהן, הפנימו את העקרון לפיו לבני האדם קיימת זכות יסוד להגנה על פרטיותם (וראו לדוגמה את חוק הגנת הפרטיות אצלנו). אם תרצו לקרוא עוד על הגנת הפרטיות, ראו בקישור. הפרטיות מתגלמת בעניין שלנו בפרטיותו של מידע שיש לו אופי אישי (בשלב זה נתעלם מהשאלות המשפטיות שאינן נגמרות בנושא זה).

המשפט מכיר באחריותם של עסקים (גם העסק שלך) להגן בצורה אקטיבית על פרטיות נשואי המידע. העובדה שנשוא המידע מסר בידיכם את המידע האישי שתייחס אליו (ובמאמר זה, "מידע" משמעו מידע אישי), לא מקטינה את אחריותכם לכך.

עקרון חשוב נוסף הוא זה שעוסק בצמצום והגבלת המידע. בשפה מובנת משמעותו היא שיש לאסוף מידע מינימלי ככל שהכרחי לביצוע הנדרש, ולא מעבר לכך.

שאלות של אבטחת מידע הן שאלות משמעותיות בתוך עקרון זה (וכך גם עמידה בתקנות הגנת הפרטיות (אבטחת מידע) הישראליות. אולם, אל לנו התעלם לכך שמדובר בהגנת הפרטיות עצמה, ולא רק המידע. לכך יש משמעויות שיש להיות מודעים להן.

עקרון זה מחייב לא רק אבטחת מידע אלא גם אבטחת פרטיות, באמצעים משפטיים, אמצעים ארגוניים, אמצעים פיזיים וכדומה.

נפרוט את העקרונות המפורטים מעלה ונראה בקצרה כיצד יש להתייחס אליהם בעסק שלכם:

 

הגנה לאורך כל מאגר החיים של המידע האישי בידי העסק

איסוף מידע, שמירת מידע, שימוש במידע, העברתו לאחר, ארכוב המידע וגם מחיקתו – כל אלו הן פעולות המשפיעות על הפרטיות, ולכן יש לבדוק כל אחת מהן גם בעיניים של הגנת הפרטיות.

המלצה: יש לבדוק אלמנטים של פרטיות בכל פעולה שמתבצעת במידע, קלה וזניחה ככל שתהיה.

 

שימוש באמצעי האבטחה הראויים בנסיבות

שימו לב – לא מדובר באמצעים היקרים או הטובים ביותר.

כך למשל, אבטחת מידע שנדרשת להגנת מאגר מידע עם שמות וכתובות בלבד, תהיה שונה מזו שתדרש לאותו מאגר ממש, אליו יתווסף שדה של "סיכום ביקור רפואי" (מידע רגיש שיש להגן עליו ביתר שאת).

אמצעי האבטחה הנדרשים לא מתמצים באמצעים טכנולוגיים. יש צורך למצוא אמצעי אבטחה ברמות שונות. למשל ארגוניות, משפטיות ואחרות.

מנעולים בארונות, מזגן שמונע קריסה של המחשבים וספרינקלרים כהגנה משריפות יכול שיחשבו כאמצעי הגנה ראויים.

אבל גם התאמת כל ההסכמים אותם חתמתם עם ספקי שירות שעובדים עבורכם בעיבוד המידע – גם היא אמצעי אבטחה נדרש באופן ספציפי. ראו לדוגמה את הנחיית רשם מאגרי המידע לעיבוד במיקור חוץ מס' 2/2011. ככל שהעברתם את המידע למי שאינו מוגבל ביכולתו לפעול במידע ואתם אינכם מפקחים עליו, קיים סיכוי טוב שייקבע בעתיד שאמצעי האבטחה שנקטתם אינם מספקים.

המלצה: חשוב למפות את המידע שנאסף בידי העסק שלנו, לוודא אילו סוגי מידע נמצאים בידינו, מה רגישותם של סוגי המידע השונים, מה ההסכמה ששימשה בסיס לאיסוף שלהם, כיצד הם נשמרים, למי הם נמסרים ומה השימוש שנעשה בהם. על בסיס אלו יש להתאים את אמצעי ההגנה הטכנולוגיים והמשפטיים המתאימים.

 

שימוש וחשיפת מידע אישי רק כפי הנדרש – Need to know basis

מטבע הדברים, לא כל העובדים שלכם צריכים להיות נגישים לכל פיסת מידע אישי בכל זמן שהוא, ועדיין יוכלו לבצע את תפקידם כנדרש.

אחרי שיצרנו את מיפוי המידע כהמלצה הקודמת, נוכל להשתמש בו על מנת להבין את הצורך אצל עובדים שונים בפרטי מידע שונים ובזמנים שונים, ועל בסיס זה להגביל את הגישה למידע רק למי שנדרש לו לשם ביצוע תפקידו ובאופן שהוסכם על נשוא המידע.

המלצה: קביעת מדיניות דיגיטלית ופיזית לגבי החשיפה האפשרית למידע לפי הצרכים הנדרשים במידע, ולצמצם את חשיפתו בהתאם לאותם צרכים בלבד.

 

שקיפות באיסוף ובשימוש במידע

שקיפות היא נושא שנמצא בלב מרבית חקיקות הפרטיות ברחבי העולם. כך למשל ראו סעיפים 12-13 ל-GDPR וכמובן גם סעיפים 11, 13 ו-13א לחוק הישראלי להגנת הפרטיות.

נשוא המידע צריך לקבל הסבר ברור על מכלול הפעולות במידע האישי שלו (אני מזכיר – המידע אינו של העסק שלכם אלא הוא של נשוא המידע). למשל (ולא רק) – איזה מידע נאסף, על ידי מי נאסף המידע, לצורך מה הוא נאסף, למי המידע מועבר, איזה שימושים ייעשו במידע, כיצד ישמר, מתי ימחק וכל נושא רלוונטי אחר.

נשוא המידע גם צריך להיות יכול לשלוט באשר נעשה במידע האישי שלו כולל לדרוש את מחיקתו, להפסיק את עיבודו, לתקן טעות בו וכדומה.

כך למשל – אם יש לכם דף לידים, אולם לא נתתם בו הודעה שקופה מספיק לנשוא המידע, אתם אינכם פועלים בשקיפות הנדרשת.

המלצה: יש לעבור על כל הנקודות באמצעותן נאסף מידע אישי, ולהתאים את ההסבר וההסכמה שם לעקרון השקיפות הנכון. כמו כן מומלץ לארגן נהלים מסודרים למענה לפניות נשואי המידע בכל נושא רלוונטי.

 

אני מקווה שההמלצות למעלה מובנות והן יסייעו לכם לשפר את מאמציכם לשמור על פרטיות לקוחותיכם.

לתשומת ליבכם, זו אינה רשימה מלאה וממצה ואין להסתמך עליה לבדה.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-22.12.2022.