יורם ליכטנשטיין, עו”ד; מוסמך הגנת הפרטיות באירופה CIPP/E.
תאריך פרסום: 30.5.2019
– – –
רגולציית הגנת הפרטיות באירופה (ה-GDPR) כבר אינה דבר מה סודי שאיש אינו יודע מה משמעותו. מדובר ברגולציה שנטחנה עד דק בתקופה האחרונה. לכן, היום לא אציג בפניכם עוד מאמר מייגע בנושא אלא אנסה לגעת, בקצרה ובמהירות, בחמישה כללי אצבע שכדאי לכם לקחת בחשבון בעת ההתנהלות העסקית שלכם. כמובן, שבכך לא די כדי לעמוד ב-GDPR, אבל כל מסע של מיילים רבים מתחיל בחמישה צעדים. לא?
טרם נתחיל חשוב להדגיש, שכל האמור מטה הינו תמצית שבהכרח תהיה חסרה. המאמר נועד לשפר את מצבכם, אך אינו מחליף יעוץ משפטי אמיתי ואין להסתמך עליו.
בכל מקרי אי הבנה או רצון להרחיב, אתם מוזמנים לעיין בטקסט המחייב של ה-GDPR כאן.
1. האם ה-GDPR חלה עליכם?
קיימים שני כללי מוצא שבעטיים תחול ה-GDPR על עסק מסחרי.
האחד – לאותו עסק קיים מוסד באירופה. “מוסד” משמעו לא רק סניף, אלא כל פעילות מבוססת ארוכת טווח באחת ממדינות האיחוד. למשל – סוכן מכירות, משרד, מחסן וכדומה.
גם אם לא, השני קובע כי הרגולציה תחול בכל מצב בו העסק מנטר התנהגות של אנשים שנמצאים באירופה (למשל באמצעות קוקיות ואולי גם שירותי אנאליטיקס, ריטרגטינג וכדומה – תלוי בנתונים עצמם), או מספק שירותים או מוצרים לאנשים שנמצאים באירופה.
הדגש הוא על מקום המצאותם של האנשים; לא אזרחותם ולא כל רכיב אחר.
2. תבדקו האם אתם בכלל מבינים את העקרונות שבבסיס הרגולציה והאם גובשו נהלים מתאימים?
כשלקוח מתקשר אלי ומבקש שאכין לו “מדיניות פרטיות” לפי ה-GDPR, אני יודע שהוא פשוט לא הבין מה משמעות הרגולציה. לא מדובר עוד באיזה שהוא מסמך שעורך הדין שלכם ישרבט ויגן עליכם.
התאמה של העסק שלכם ל-GDPR מחייבת מחשבה בסיסית (כולל סקרי סיכונים להגנת הפרטיות, DPIA) על השירות אותו אתם מעניקים, איזה מידע נאסף על ידיכם לצורך אותו שירות, מדוע הוא נאסף, לאילו מטרות ובאיזה היקף, מה יבוצע במידע הזה, בפני מי המידע יחשף או למי הוא יועבר, מתי ימחק וכדומה.
רק על בסיס ההבנות האלו, תוכלו להתחיל להכין נהלים שונים בתחומי עיסוקכם שיחדדו את ההגנה על הפרטיות, ורק לאחר גיבושם של אותם נהלים (בשיתוף עם אנשי העסק שלכם, יועצים ארגוניים ויועצים משפטיים) תוכלו להתקדם בעמידה ב-GDPR.
3. האם אימצתם את העקרונות – “פרטיות בעיצוב” ו”פרטיות כברירת מחדל”?
Privacy by Design וכן Privacy by Default הם שני עקרונות הבסיס של ה-GDPR.
האחד משמעו שבמהלך כל עיצוב המוצר או השירות שלכם, עליכם לקחת בחשבון בין יתר הגורמים גם גורמים שיש בהם השפעה על הפרטיות של אנשים שעומדים אתכם בקשר (לקוחות, ספקים, עובדים וכדומה).
השני משמעו שברירת המחדל של כל פעולה במידע במסגרת המוצר או השירות היא כי לא נאסף מידע, אלא אם הוא נדרש לצורך המטרה הרלוונטית, יש לכם אינטרס לגיטימי לאסוף אותו, נאסף רק המידע המינימלי הנדרש וקיבלתם הסכמה מפורשת לאסוף אותו.
בהערת אגב שימו לב שמרבית המונחים בפסקה שלמעלה (“מטרה רלוונטית”, “אינטרס לגיטימי”, “הסכמה” וכדומה) הוגדרו ב-GDPR ומשמעם אינה תלויה בכם אלא בפרשנות האירופית שלהם.
4. האם אתם עומדים בכל דרישות אבטחת המידע הישראליות?
הגישה הישראלית קוראת ל”הגנת מידע”. הגישה האירופית קוראת ל”הגנת הפרטיות במידע”. לשני מונחים אלו משמעות שונה, ולא מדובר בדבר של מה בכך.
למרות זאת, עמידה חד משמעית בתקנות הגנת הפרטיות (אבטחת מידע) הישראליות, היא התחלה מצויינת שבלעדיה, יקשה עליכם לעמוד ב-GDPR. מומלץ להתחיל כאן.
5. אחריות העסק שלכם ומשמעות תיעוד התנהלותכם
בהנחה שה-GDPR חלה עליכם, אתם תראו כאחראים לעמידה בה. גם אם עסק אחר מבצע עבורכם פעולות שונות, ככל שתיווצר תקלה בהתנהלותו – תהיה זו אחריותכם.
לכן, אם בדקתם והחלטתם שה-GDPR חלה עליכם ואתם מתקשרים עם עסקים אחרים למתן שירותים (למשל שירותי ענן או חוות שרתים, כמו גם סוכנות פרסום דיגיטלית וכדומה) – חובה עליכם לדאוג הן ארגונית (בקביעת נהלים מתאימים) והן משפטית (בניסוח סעיפי הסכם עיבוד מידע מתאימים) לכך שהספק יעמוד בדרישות ה-GDPR. ככל שלא יהיה כך הדבר, יהיה זה באחריותכם הישירה.
אבל בכך לא די. עשיתם ולא תיעדתם? כאילו לא עשיתם.
התחילו, כבר כעת, לתעד כל פעולה, החלטה או שיקול דעת שקיבלתם בנושאי אבטחת מידע והגנת הפרטיות. אם, חס וחלילה, תקבלו פניה מרשות כזו או אחרת, תביעה או קנס, ולא תוכלו להוכיח כי פעלתם להקטנת הסיכון ולצמצומו, תהיו צפויים לקנסות משמעותיים.
מצד שני, ארגון שמדע לחובות המוטלות עליו ופעל לטפל בהן – סביר להניח שגם אם יתפס בתקלה, היחס אליו יהיה מקל יותר, לעומת ארגון שכלל לא פעל בנושא.
מקווה שעזרתי לכם. ועכשיו – לעבודה.
