כבר קראנו סיכומים על תקנות הגנת המידע והפרטית האירופיות, ה-GDPR, וכבר הבנו ממה עלינו לחשוש. אבל אף אחד לא מספר לנו איך להגן על עצמנו ולהכין עצמנו לעמידה בתקנות. אז איך העסק הדיגיטלי שלנו צריך להתאים את עצמו ל-GDPR?
הנה קצת סדר ומספר צעדים שאמנם אינם מספיקים לבדם, אך בהחלט ישפרו את מצבכם לעומת התעלמות גורפת מה-GDPR.
שימו לב שבמאמר אתייחס ל”עסק” אולם סוג העסק יכול להיות מגוון ביותר. יכול להיות שיש לכם אתר אינטרנט, אפליקציה, חברה לשיווק דיגיטלי, אתם מנהלים מסעות פרסום במדיה חברתית ובפייסבוק או כל אלמנט אונליין אחר. כאן תקבלו הסבר כיצד לקרב את עצמכם לעבר תקנות הגנת המידע והפרטיות באירופה כדי שתוכלו לעמוד בהן.
עוד הערה אחת לפני שנמשיך היא הדין הישראלי: הדין הישראלי אמנם אינו כה מפורט ומסודר כרגולציה האירופית, אולם חלקים רבים מהאמור מטה נכללים כבר כיום בדין הישראלי. לכן, אולי אתם מתלבטים אם להתאים את עצמכם לתקנות ה-GDPR, אבל איך שלא תסתכלו על זה, לדין הישראלי תהיו חייבים לבצע התאמה.
1. האם תקנות ה-GDPR חלות על העסק שלך?
המבחן בעניין זה קבוע ברגולציה האירופית בצורה ברורה. ראשית, כל עסק שיש לו establishment (“מוסד”) באירופה כפוף לרגולציה. מוסד שכזה יכול להיות סניף, אתר אינטרנט, חברת בת ואפילו כתובת, מאמצי שיווק או גביית תשלום ביורו מאזרחים אירופים. אולם גם אם אין ביניכם לבין אירופה קשר, ישנם שני מקרים נוספים בהם הרגולציה האירופית בכל זאת תחול עליכם:
האחד – מצב בו אתם מוכרים מוצרים או מספקים שירותים לאנשים הנמצאים באירופה.
השני – מצב בו אתם מנטרים התנהגות של אנשים הנמצאים באירופה.
הפעלת אתר אינטרנט עם שירותים תומכים דוגמת “קוקיות”, ביצוע פעילות שיווקית ופרסומית ופעולות דומות אחרות המתייחסות לאנשים הנמצאים באירופה – נכללים בהגדרת ה-GDPR ומחילים אותה עליכם.
2. מיפוי המידע שבידיכם וקביעת המטרות המתאימות
בראש ובראשונה עליכם לבצע מיפוי של המידע שנאסף ונשמר אצלכם או שאתם עושים בו שימוש:
- עליכם לקבוע מה מטרות איסוף המידע (וכדאי לבחור מטרות שעומדות בדרישות ה-GDPR).
- עליכם לקבוע איזה מידע הכרחי לאסוף כדי לעמוד במטרות אלו ולהמנע מלאסוף או להשתמש במידע שאינו הכרחי לצורך מטרות אלו.
כיצד תוכלו לבצע זאת מבלי לערוך מיפוי מידע בעסק שלכם? כנראה לא תוכלו, ולכן זו המשימה הראשונה שלכם.
3. קביעת נהלים והכנת מדיניות פרטיות תואמת
לקוחות רבים פונים אלי ומבקשים שאכין להם “מדיניות פרטיות לפי תקנות ה-GDPR”.
גישה כזו מתעלמת מהעובדה, שאם לא גיבשתם נהלים תואמי GDPR, לא תהיה לי אפשרות לכתוב כאלה בעצמי.
לכן חשוב להבין שבראש ובראשונה על העסק (בעזרת עורך הדין והאנשים הטכניים שלו) לגבש נהלי פעילות השומרים ומגינים על פרטיות המשתמשים. רק לאחר ניסוחם והפעלתם של נהלים אלו, ניתן יהיה להכין מדיניות פרטיות שתשלב אותם ותהיה ברורה. חשוב לבחון נהלים אלו הן מנקודת המבט של העובדים שלכם וקבלני המשנה, והן מנקודת המבט של לקוחותיכם.
4. מה הוא האינטרס הלגיטימי למטרות שבחרתם וכיצד מקבלים הסכמה?
תקנות ה-GDPR מחייבות אתכם לוודא קיומו של אינטרס לגיטימי (“בסיס חוקי”) לכל פעולת איסוף מידע ולכל מטרה עליה דיברנו למעלה. בין יתר הבסיסים ניתן למצוא את החוזה אותו עליכם לקיים (למשל בחנות וירטואלית), החובה המוטלת עליכם בדין אירופי כלשהו וגם האינטרס האישי שלכם (שהוא גם בסיס חלוקי נאות, אם כי מוגבל בהיקפו ובכוחו).
אחד מהבסיסים הנפוצים ביותר הוא פשוט הסכמת המשתמש. מרגע שהסכים המשתמש לשימוש במידע אודותיו – הנכם רשאים לפעול ככל שההסכמה מתירה.
אלא שהסכמה, לפי ה-GDPR, הינה תהליך מורכב, מסובך ובעל מאפיינים רבים. בצורה לא ממצה, מן הראוי שההסכמה תהיה:
- מיודעת ונכונה; כלומר: כל הפרטים, הנכונים, המלאים ושאינם מטעים יוצגו בפני הלקוח בצורה קריאה ולא מתחמקת. אם תעיינו בסעיפים 12-14 ל-GDPR תגלו כי הפירוט שחובה עליכם לתת הינו נרחב ביותר וחשוב להכיר אותו.
- חופשית ולא מותנית; כלומר, “אם לא תמסור את הפרטים האלו לא נסכים להעניק לך את השירות” אינו תנאי שאתם רשאים להשתמש בו (אלא אם כן אכן לא ניתן להעניק את השירות ללא אספקת אותו מידע).
- לא מסומנת מראש;
- חד משמעית וברורה; כלומר, שמפעולת המשתמש ניתן להסיק רק מסקנה אחת – שהוא הסכים. הטקסט בלשון ההסכמה חייב להסביר בצורה ישירה, מפורטת ולא מתחמקת איזה מידע ייאסף, לצורך איזו מטרה יעשה בו שימוש, בפני מי יחשף, לידי מי יועבר, אילו פעולות עיבוד יבוצעו בו, כיצד ואיפה ישמר, עד מתי ישמר ומתי ימחק, וכן פרטים נוספים רלוונטיים (ראו “מיודעת” למעלה).
- ניתנת לביטול; המשתמש הסכים, אך לאחר מכן הביע את רצונו לבטל את הסכמתו – יש לכבד זאת.
- מתועדת וניתנת להוכחה; פעמים רבות מגיעים אלי לקוחות שמבקשים לשכנע אותי בדבר מה, אולם לשאלתי “כיצד תוכיחו זאת בפני בית המשפט” הם נאלמים דום. גם כאן ה-GDPR מחייב אתכם לתעד כל צעד בו נקטתם וכל הסכמה אותה קיבלתם, בצורה קלה להוכחה בפני הרשויות בהמשך הדרך.
5. הכרה ושמירה על זכויות הפרט
אחד החידושים של רגולציית הגנת הפרטיות האירופית היא קביעה מסודרת של זכויות פרט מפורטות, באופן שלמעשה מעביר את השליטה במידע מידי החברה לידי הפרט אליו מתייחס המידע. חשוב שנכיר זכויות אלו, שכן חלקן הלא מבוטל כבר נכללות במידה כזו או אחרת בדין הישראלי.
- הזכות לשקיפות: אוסף המידע מחוייב להיות שקוף וברור ככל האפשר ביחס למידע הנאסף בידו (כבר מראש, בעת איסוף המידע). במיוחד ככל שמגיעה בקשה מצד האזרח, שכן אז חובה עליו לפרט איזה מידע נאסף אצלו, מה נעשה בו, לידי מי הוא מועבר וכדומה.
- הזכות לגישה למידע (לרבות ניודו לאחרים): ככל שאדם מבקש לצפות במידע הנאסף עליו, חובתנו לאפשר זאת. אותו אדם אף רשאי לבקש עותק מהמידע, ואף יותר מכך: באירופה אותו אדם אף יכול לחייב אותנו להעביר את המידע שנאסף אצלנו אודותיו לכל בעל שירות אחר, בצורה נוחה לעבודה ולקריאה.
- הזכות (והחובה) לתקן כל מידע שגוי או למחוק אותו: דומה שאין צורך להרחיב. אבל הזכות לחייב מחיקה של המידע היא זכות שרק לאחרונה אנו מתחילים להבין את היקפה, ויש להקפיד גם עליה. קל וחומר כשה-GDPR מטיל עלינו חובה להקים מנגנונים אקטיביים לאיתור מידע שגוי ותיקונו.
- הזכות להגביל את עיבוד המידע במקרים מסויימים ולהתנגד לו, גם היא זכות חשובה.
- הזכות להמנע מ-profiling ובמקרים של קבלת החלטות אוטומטית הזכות לדרוש התערבות אנושית בהחלטה.
כל אלו הן זכויות הנכללות ב-GDPR ויש להקפיד עליהן. מרביתן קיימות גם בארץ.
6. הסדרת נהלים מתאימים, לבקשות הפרטים ובכלל – לנושאי פרטיות
חשוב מאוד שתהיו מוכנים להתמודד עם פניות של נשואי המידע, ושעובדיכם ואתם תדעו בדיוק מה עליכם לעשות בכל מקרה של פניה מכל סוג שהוא.
מומלץ להתכונן לכך ולאמץ נהלים מתאימים.
7. אבטחת מידע: טכנולוגית, ארגונית, משפטית וסביבתית
על החובה לאבטחת מידע אין צורך להרחיב. התקנות הישראליות שכבר בתוקף (תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017) מטילות חובות לא מועטות בנושא ובמרבית המקרים עמידה בהן תסייע ביותר לעמידה בתקנות ה-GDPR. אמנם, שימו לב שקיימים הבדלים במיקוד ובחלק מההוראות, אולם עמידה בחובתכם לפי הדין הישראלי היא התחלה טובה לעמידה בדין האירופי.
עם זאת, אבטחת מידע אין פירושה רק הפעלת שירותים טכנולוגיים (כמו אנטי וירוס וחומת אש).
אבטחת מידע כוללת, בין השאר, גם אבטחה משפטית (כמו בדיקה של כל הסכמי ההעסקה והסכמי הספקים שלכם והטלת חובות על הצדדים שמולכם על מנת שאתם תוכלו לעמוד בחובותיכם שלכם), אבטחה ארגונית (קביעת נהלים נכונים והפעלתם) וסביבתית (מנעולים וסורגים בחדרים בהם יש מידע רגיש במיוחד, כניסה על בסיס צורך בלבד, ספרינקלרים כנגד שריפות בחדרי השרתים שלכם וכדומה).
8. מעקב אחרי פרצות אבטחה ודיווח עליהן
תקנות ה-GDPR (ובמידה רבה גם התקנות הישראליות במקרים מסויימים) מטילות חובה לבצע בדיקות פריצה יזומות, כמו גם מעקב אחרי פרצות מידע המתרחשות כל הזמן.
משגיליתם פרצת אבטחה או זליגת מידע, חובה עליכם לטפל בה מיידית ולדווח (הן עליה, הן על דרכי הטיפול בה והן על תוצאותיה) לרשויות האכיפה האירופיות או גם לקהל המשתמשים, לפי הנסיבות.
9. מינוי אחראי
הן לפי הדין הישראלי והן לפי הדין האירופי יש למנות אחראים בעלי עמדה גבוהה ועצמאית בעסק שלכם להגנה על המידע ולאבטחתו. כל אחד מדברי החקיקה כמובן מגדיר אחראי מסוג אחר, אולם בפועל שניהם יכולים להיות חלק מתפקידיו של אותו אדם.
גם אם בחרתם שלא ללכת לפי דרישות החוקים הללו (למה…?), מאוד כדאי לוודא שיש לפחות אדם אחד בעסק שיהיה זה תפקידו לשקול שיקולי פרטיות והגנת מידע ולפעול לקידום נושא זה בעסק. ואתם… אתם תקשיבו לדבריו ותנסו לאמצם.
10. תיעוד, תיעוד, תיעוד
חשוב להבין שגם אם ביצעתם את כל מה שהוטל עליכם, ולא תיעדתם – כאילו לא ביצעתם.
לכן, הכינו לעצמכם “חוצץ” (דיגיטלי או מודפס) שירכז את מכלול שיקוליכם, החלטותיכם ופעילויותיכם בנושא. ככל שבעתיד יבואו אליכם בטענות, הרי אם לא תוכלו להוכיח שפעלתם, העונש שיוטל עליכם יהיה כואב וקשה, בעוד שאם תוכלו להוכיח שניסיתם, התאמצתם אך טעיתם – העונש שיוטל עליכם לא יהיה גבוה כמו במקרה הקודם.
11. אחריות לצדדים שלישיים
אם מוטלת עליכם חובת סודיות, פרטיות או אבטחת מידע, לא תוכלו “להפטר ממנה” באמצעות התעלמות או הטלת אחריות על אחרים, אם לא תדאגו שאותם אחרים אכן יהיו אחראים לכך, ותבדקו את עמידתם בהתחייבויותיהם.
דאגו שהסכמיכם יבטאו את החובות המוטלות על כל מי שפועל במידע מטעמכם, ושאתם תוכלו לאכוף עליו את החובות המוטלות עליכם. אחרת, תמצאו מפרים הן את החוק הישראלי והן את תקנות ה-GDPR מבלי שתוכלו לעשות דבר, רק מכיוון שאותו צד שלישי לא יעמוד בחוק.
12. עקרונות בסיס: פרטיות כברירת מחדל ופרטיות בבסיס העיצוב
כל האלמנטים למעלה אינם ממצים את חובותיכם על פי הרגולציה האירופית להגנת המידע והפרטיות ועל פי תקנות ה-GDPR. אולם, טרם סיום אני רוצה להפנות אתכם לשני עקרונות בסיס חשובים שאימוצם לאורך כל חיי הפעילות העסקית שלכם ויישומם יקל עליכם בשינוי המחשבתי.
הראשון הוא Privacy by design. כלומר, עצבו כל מוצר או שירות, כבר מהרגעים הראשונים של יצירתו, כשפרטיות היא חלק מהשיקולים אותם תשקלו.
השני הוא Privacy by default. כלומר, כל פעולה שמשמעה הפרת הפרטיות צריכה להיות כזו שאינה ברירת מחדל אלא כזו שיש סיבה טובה לנקיטה בה (בין אם מכוח חובה חוקית או חוזית או מכח הסכמת הפרט).
מקווה שקצת עזרתי לעשות סדר ולכוון אתכם.
המאמר נכתב על ידי עורך הדין יורם ליכטנשטיין, מוסמך הגנת פרטיות באירופה CIPP/E.