רגולציית הגנת הפרטיות באירופה – GDPR
האיחוד האירופי אינו שוקט על שמריו, ובניגוד להרבה שרק מקטרים על מידת החדירה של גופים שונים לפרטיות שלנו התקבלה כבר לפני זמן לא מבוטל הרגולציה להגנת מידע באירופה (ה-GDPR), אשר תכנס לתוקף ב-25.5.2018. הרגולציה למעשה מאפסת את התקנות האירופיות בנושאי הגנת הפרטיות, ומחליפה חלק מהחקיקה הקיימת באירופה.
לא נוכל בפוסט אחד לכסות את כולה, אבל בחרתי לתת כאן "טעימה": שתסביר עד כמה מדובר בשינוי בחוקי אבטחת המידע והגנת הפרטיות, ולהמליץ בכל לשון של המלצה – לבדוק האם היא חלה עלי, ואם התשובה היא כן – מומלץ להתכונן מראש. הקנסות שנקבעו בה הם הרסניים, ויוטלו גם מחוץ לאירופה.
בבסיס הרגולציה להגנת הפרטיות באירופה עומדים שני עקרונות בסיסיים: הראשון – מתן שליטה נרחבת יותר לאנשים פרטיים על המידע שנאסף עליהם במקומות שונים והשני – חיזוק רכיבי אבטחת המידע אצל אוספי ומעבדי המידע (הן טכנולוגית והן ארגונית).
חשוב להבין שהרגולציה עשויה בהחלט לחול עליך גם אם איך לך עסק באירופה. במיוחד אם יש לך אפליקציה או אתר מקוון, ומשתמשים בהם משתמשים מאירופה. הבדיקה האם ה-GDPR חלה עליך היא בדיקה ספציפית אל העסק שלך, ולמעשה גם אפליקציות, רשתות חברתיות, אתרי אינטרנט ושירותים מקוונים שאינם ממוקמים באירופה – יש סיכוי לא רע שתחול עליהם, אפילו אם הם בעברית (אם כי כאן התחולה תהיה רלוונטית לפי מיקום המשתמשים).
ה-GDPR מטילה מספר חובות רבות על הכפופים לה וכאן אציג רק חלק מהן.
מטרת האיסוף והעיבוד של המידע לפי ה-GDPR והליכי קבלת ההסכמה
על המידע להאסף אך ורק באופן חוקי. "אופן חוקי" משמעו עמידה באחד הקריטריונים הקבועים ב-GDPR או לחילופין, קבלת הסכמת נשוא המידע העומדת בדרישות הרגולציה האירופית.
כדי לקבוע אם האיסוף הוא חוקי יש להבין את מטרת האיסוף ולהשוותה למידע עצמו שנאסף; יש לדוק האם השימוש במידע, העיבוד שלו ומשך הזמן בו הם נעשים מתאימים למטרה שהוצהרה.
יש גם לבדוק האם אנחנו מקיימים את נסיבות אחד מסוגי האיסוף ה"חוקיים" שקבועים בסעיף 6 ל-GDPR האירופית.
אחד מנסיבות החוקיות היא הסכמת נשוא המידע, וגם כאן – אין מדובר בסתם "אני מסכים" אלא יש דרישות מאוד קפדניות והליכי קבלת ההסכמה החדשים הינם הליכים מורכבים.
אוסף המידע מחוייב לפרט פרטים רבים וחשובים דוגמת זהותו ופרטי הקשר שלו, מטרות העיבוד, ההיתר החוקי לעיבוד, קטגוריות המידע הנאסף ומקורותיהם, מי הם מקבלי ומעבדי המידע, תקופת שמירת המידע, זכויות הפרט השונות הקבועות ברגולציה אף הן חייבות להיות מפורטות בחלקן וכן מספר הודעות נוספות המחוייבות על פי הרגולציה.
חשוב לזכור שההסכמה צריכה להיות נפרדת מכל רכיב אחר, ברורה, מובחנת, אקטיבית, מתייחסת לכל קטגורית פעולת עיבוד בנפרד, חד משמעית ומפורשת. צריך גם לזכור שישנם כללים ספציפיים להסכמה המתייחסת לילדים מחייבת משנה זהירות והליכים ספציפיים. "ילד" נחשב כל מי שהוא בין גיל 13 ל-16. מתחת לגיל 13 אסור עיבוד כלשהו, גם אם הושגה הסכמה.
רשימת זכויות הפרט וחובות אוסף המידע לפי רגולצית הגנת הפרטיות באירופה
ה-GDPR מפרטת רשימת זכויות נרחבת בהרבה מהמקובל והיא מצטרפת לרשימת החובות.
רשימת החובות כוללת למשל חובה ליצור Privacy and data protection by design and default, חובה לספק מידע מלא, שלם, שקוף ומפורט, חובה לתיעוד נכון ומלא וכמובן – חובה לבצע את כל הכרוך בזכויות שנקבעו.
למשל בעת קבלת ההסכמה לעיבוד חובה לספק את המידע הבא: מי אוסף את המידע ומה פרטי הקשר של נציגו, המטרות לשמן נמסר המידע, מי עשוי לקבל את המידע, מדינות אליהן המידע יועבר ומתבצע בהן עיבודו של המידע, תקופת אחסון המידע וכמובן זכויות הפרט הנלוות למידע והזכות להתלונן ברשות המפקחת הרלוונטית.,
רשימת הזכויות כוללת בין היתר את את הזכויות הבאות: הזכות לגישה למידע (בין אם באמצעות מערכת השולט בו ובין אם באמצעות מסמך נפרד), הזכות לתיקון המידע, הזכות למחיקת המידע ("הזכות להשכח"), הזכות להגבלת העיבוד, הזכות לניוד המידע למקום או ספק שירות אחר וכן הזכות להתנגד לקבלת החלטות אוטומטיות ופרופיילינג.
טיפול בפריצות המאגר – Data Breach
התקנות האירופיות קובעות מנגנונים שחייבים להיות מופעלים בעת פריצה למאגרים (Data Breach), זליגת מידע, חשיפתו, שינויו או פגיעה אחרת בהם. חובות אלו כוללות גם חובות טיפול אינטנסיבי ויעיל בפריצה וגם חובות דיווח לנשואי המידע ולרשות האירופית המתאימה.
החובה למנות קצין הגנת מידע – DPO
התקנות מחייבות ארגונים מסויימים למנות קצין הגנת מידע (DPO) ומעניקות "נקודות זכות" לכאלו שאינם מחוייבים בכך אך בחרו למנות כזה בכל מקרה ולפעול לפי התקנות.
הקנסות בשל אי עמידה בדרישות הרגולציה האירופית, ה-GDPR
חמור אולי מהכל, הינם הקנסות העצומים שה-GDPR באירופה מטילה על הכפופים לה (וכאמור – גם ארגונים ישראלים רבים יהיו כפופים לה). הקנסות חלים על כל מי שיהיה כפוף ה, גם אם אינו אירופאי.
קנסות אלו נעים עד 10,000,000 או 20,000,000 אירו!
הפחדתי אתכם? יופי.
עצרו, קחו נשימה וגשו לבדוק האם הרגולציה האירופית להגנת המידע, ה-GDPR, חלה גם עליכם.