חברות קטנות ורגולציית הפרטיות – איך מתכוננים?

רגולציית האיחוד האירופי להגנה על פרטיות הנתונים (GDPR) תיכנס לתוקפה ב-25 במאי 2018, ומבשרת על עידן חדש שבו אכיפה קפדנית של כללים חדשים הנוגעים לפרטיות ואבטחת מידע תוך הטלת עונשים קפדניים על מפרי חוק הופכת למציאות החדשה.

נכון להיום, ארגונים רבים מתקשים עדיין להתמודד עם דרישות הרגולציה ועמידה ביעדים עד לתאריך הנ"ל. השאלה הנשאלת הינה, כיצד חברות וארגונים קטנים אשר משאבי ה-IT והמשאבים המשפטיים שלהם מוגבלים מאוד או אף לא קיימים, יצליחו גם הם להיות ערוכים בזמן.

בכתבה הזו ברצונינו לשים את הזרקור על המשמעות בפועל של דרישות הרגולציה וכיצד ארגונים בסדר גודל קטן צריכים להיערך על מנת לעמוד בדרישות אלו.

דרישת ה-"הסכמה"

על מנת שחברה תוכל לאסוף ו/או לעבד מידע אישי של המשתמשים, לא ניתן עוד לבקש הסכמה חד פעמית שמעניקה כיסוי לכל השימושים במידע זה.

רגולציית ה-GDPR דורשת קבלת הסכמה נפרדת ומדעת (באופן אקטיבי מצד המשתמש) להשתמש בנתוני הלקוחות עבור צרכים שונים, כגון שיווק, בדיקות הונאה או תמיכה. התיעוד הוא גם נוקשה יותר: עסקים חייבים לתעד את קבלת ההסכמה הנ"ל, כאשר היא מתקבלת.

דרישת ה-"זכות להישכח"

כל הסכמה שהלקוח נותן אינה ניתנת לשמירה או שימוש תמידי באופן אוטומטי. עם כניסת רגולציית ה-GDPR לתוקף, נכנסת לתוקף גם הזכות למחוק (המכונה לעתים "הזכות להישכח").

זכות זו מאפשרת לאנשים לסגת מההסכמה שלהם לשמור את נתוניהם או לעבדם, כלומר, חברה תצטרך למחוק את כל המידע שהיא החזיקה בו לגבי אנשים המבקשים זאת או כאשר המידע כבר אינו רלוונטי לצרכים שעבורם הוא נאסף.

דרישת "ניידות נתונים"

ללקוחות עומדת הזכות לבקש עותק המפרט את אוסף הנתונים שלהם שהארגון שומר במקום למחוק אותו. מי שמחזיק את המידע או מעבד אותו חייב לוודא כי הוא מספק עותק קריא של המידע, כך שניתן יהיה לשלוח אותו לספק אחר, אם ירצו בכך.

דרישת חבות ניהול נתונים

הרגולציה מפרטת הוראות ספציפיות המקדמות ביטחון ופרטיות כעקרון של תכנון הנוגע לתהליך איסוף המידע על הפרט. הווה אומר כי על ארגונים לנקוט באמצעים טכניים וארגוניים שונים על מנת לשלב את את האפשרות לאסוף או לעבד נתונים באופן המכבד את פרטיות המשתמש כחלק מתכנון השירות או המוצר שהן מפתחות (או במילים אחרות, דרישת "Privacy by Design").

רגולציית ה-GDPR  תחול על כל עסק המעבד את הנתונים האישיים של אזרחי האיחוד האירופי, כולל עסקים וארגונים המונים פחות מ-250 עובדים. כל הפרה שיש לה השפעה על זכויותיהם של נושאי נתונים דורשת דיווח מיידי לרגולטור, במידת האפשר בתוך 24 שעות, ובכל מקרה לא מאוחר מאשר בתוך 72 שעות.

על מנת להימנע מתביעות וקנסות כבדים ביותר, על הארגון להכיר אלו נתונים נאספים על ידו ולהבין האם נתונים אלו הינם חלק מקטגוריית נתונים אישיים בלבד או גם חלק מקטגוריית הנתונים האישיים הרגישים (לדוגמה, פרטי בריאות או נטייה פוליטית), מהיכן הם מגיעים, לאן הם הולכים וכיצד הארגון משתמש בנתונים אלה.

הזמן להתנהג בהתאם

יש לבחון את אמצעי האבטחה הקיימים בארגון ואת מדיניות שמירת המידע. שימוש נרחב בהצפנה יכול להיות דרך טובה להפחית את הסבירות של עונש גדול במקרה של הפרה.

כמו כן, כאשר מדובר בעסק בסדר גודל קטן והרגולציה לא מטילה חובת מינוי קצין הגנת נתונים (DPO) בעסק, עדיין קיים הצורך בנציג אחראי אשר יזום ו-"ידחוף" את מדיניות אבטחת המידע והנהלים בארגון.

להיות עסק קטן לא מצביע על כך כי הרגולציה אמורה לחלוף מעל לראשך, למרות שידוע כי לעסקים קטנים יש פחות משאבים להתכונן לתחולה זו ואף תיתכן הקלה מסוימת בכל הקשור לאי הציות.

עם זאת, העסק עדיין חייב לוודא כי הינו תואם את העקרונות הבסיסיים של הרגולציה והסיבה לכך היא שהעסק שלך חייב לציית אם הוא מעורב בעיבוד רגיל (הכולל איסוף, אחסון ושימוש) של נתונים אישיים. קל יותר לעקוב אחר הרגולציה ולדאוג לתאימות מאשר לבזבז זמן בהבנה איך אתה יכול למנוע ציות, במיוחד אם אתה עובד ללא הדרכה משפטית.

מלבד החוק, טיפול אחראי בנתונים הוא עקרון בסיסי של אחזקה עסקית טובה. אם אתה להקה של אדם אחד, אבל מודע לכך, הרשומות שלך הם קצת בכל מקום. חשבת על איך אתה יכול להסביר הפרה ללקוחות שלך? זה הזמן להתנהג בהתאם.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.