צרו קשר ונבחן יחד אתכם מה הסיכון אליו אתם חשופים, מה היתרונות עבורכם בהערכות להוראות ה-GDPR, ואילו שירותים שלנו יביאו אתכם לשם בדרך המהירה והאפקטיבית ביותר. לדבריו, "יש אפשרות לסייע בצד הטכנולוגי, באמצעות כלי אבטחת מידע ואנליטיקה של החברה וגם באמצעות אנשים שילוו את החברה. בחלק מהכלים הוטמע החוק, והוא ממש מלווה את הארגון צעד אחר צעד". על הצוות לבדוק למשל אם צריך לפתח מחדש חלק מהשירותים ללקוח או להפסיק לאסוף מידע מסוים.
הצעת חוק הגנת הפרטיות (תיקון מס’ 14), תשפ”ב-2021, אושרה לאחרונה בקריאה ראשונה. GDPRהעברת מידע לחו"לחוק הגנת הפרטיותתיקון חקיקהתקנות הגנת הפרטיות הלחץ של חברות ישראליות לקראת המועד הזה עשוי להיות קטליזטור להביא לתיקון החוק. תהילה שוורץ אלטשולר אומרת שבתוך כמה שנים יפקע האישור האירופאי שמאפשר לחברות שם לעשות עסקים עם ישראל, אלא אם תותאם הגנת הפרטיות בישראל לתקינה האירופאית.
באופן כללי, עמידה ב- GDPR מחייבת התנהלות של אבטחת מידע אישי ושמירה על הפרטיות כברירת מחדל עבור כל שירות או מוצר חדש – כולל מתן אפשרויות מתאימות למשתמשים לשנות את הגדרות הפרטיות שלהם. ההוראות מחייבות ליישם תהליך של הערכת השפעת סיכוני אבטחת מידע ופרטיות (DPIA) במכלול של תהליכים ופיתוחים של העסק או הארגון. עליכם לזהות ולתעד את כל המידע האישי שאתם מחזיקים ושומרים על משתמשים ולקוחות שלכם, מהאיחוד האירופי ובכלל, להבין מהיכן המידע מגיע, כיצד אתם מאחסנים אותו בעסק וגם כיצד אתם עושים בו שימוש ועם מי אתם משתפים את המידע הזה. ליישום של הוראות חוק GDPR יכולות להיות השלכות משמעותיות מבחינת הקצאת משאבים, במיוחד עבור ארגונים גדולים ומורכבים אך בהחלט גם עבור עסקים קטנים ובינוניים וגם עבור העסק שלכם. עם זאת, צריך להסביר, שלא מדובר באיזה מסמך גנרי שניתן להכין ולכסות את העסק, אלא שמדיניות זו צריכה להיות מוכנה לאחר שהעסק הפנים את הדרישות של חקיקת הגנת הפרטיות ויישם אותן לתוך המודל המסחרי שלו. בשנת 2024 הכנסת אימצה את תיקון 13 לחוק הגנת הפרטיות, שמהווה את הרפורמה המקיפה ביותר בדיני הגנת הפרטיות בישראל מאז חקיקת החוק לראשונה.
תנוחו! מהי קצת פגיעה בפרטיות בשביל הבריאות שלנו?
כך למשל, אם המידע על הלקוחות נאסף לצרכי ביצוע הזמנה, אסור להשתמש בו לצורך משלוח ניוזלטר (אלא אם כן הודעתם על כך מראש ללקוח והוא הסכים לכך במפורש). התיקון רלוונטי לכל עסק שמנהל רשימת לקוחות, מערכת CRM, ניוזלטר, תיקי עובדים, הסכמי ספקים וקבלנים וכל מאגר אחר שכולל פרטים על אנשים. תיקון 13 חל על כמעט כל ארגון בישראל שמעבד מידע אישי, ולא רק על תאגידים גדולים.
למה אני בכלל צריך עו"ד GDPR?
ינאי מילשטיין, מנהל תחום אינפורמטיקה בקבוצת אמן, סבור כי "האסטרטגיה של חברות כיום צריכה לכלול את העמידה בתנאי GDPR. הן צריכות לחשוש לא רק מהחוק, אלא גם מהלקוחות. בלי לקוחות – אין ארגון. המחלקה המשפטית ומחלקת ה-IT צריכות להחליט על האסטרטגיה של החברה בתחום, בהתבסס על הרגולציה. השלב השני הוא זיהוי הפערים בין אסטרטגיה לחוק וסגירתם". לדברי ברוך, "לכל לקוח יש את הרגישות שלו. ההיערכות חייבת להיות מובלת על ידי מחלקה משפטית עם מעורבות של המחלקה הטכנולוגית. בסופו של דבר, זה מהלך משפטי – החברה חייבת לעמוד בחקיקה. צריך לפנות למישהו עם ניסיון ורקע בתחום. לקרוא את החוק זה לא מספיק, הוא ארון ולא תמיד ברור, ויש הרבה פרשנות שצריך להבין". ליכטנשטיין אומר כי "ההמלצה הראשונית לכל עסק ישראלי הסבור שקיים סיכון שהתקנות יחולו עליו היא לגשת לעורך דין המומחה בתחום ולבצע מיפוי מידע וסקירת פערים. ייתכן שלאחר הסקירה הזאת המסקנה תהיה שאין צורך לחשוש והכל בסדר". אחת הדרישות היא לאפשר ללקוח להימחק ממאגרי הארגון או לשנות ולעדכן את המידע שלו. כך, למשל, צריך לוודא כי הנהלים בתחום הגנת המידע מתוקשרים אופן ברור, שקופים ואפשר לגשת אליהם בקלות.
הדפסת כתבה זו זמינה למנויים בלבד
העולם הדיגיטלי הולך ומתרחב בתדירות גבוהה במיוחד ויוצרת עידן של זיכרון דיגיטלי שלא שוכח. בית המשפט מדגיש שיש להסתמך על פסק דין סביר במקרים עתידיים אך קיצוניים, כשמודבר במידע שגוי לחלוטין. החוק מגן על אנשים מפני פרסום של תוכן פוגעני, משפיל ומבזה לגביהם, אולם ההגנה שמעניק החוק מוגבלת לתוכן שקרי בלבד. מכאן שחוק הגנת הפרטיות לא מגיע לאותה תוצאה שמגיעה אליה הזכות האירופאית.
אודות גלובס
כך למשל יש לבחון יישום מערכות לאימות גיל המשתמשים שלכם, השגת הסכמה הורית והסכמות כלליות לגבי איסוף ועיבוד מידע אישי. גם ה- GDPR נותן את הדעת על כך ועליכם בתור עסק או ארגון עם פעילות דיגיטלית להתאים עצמכם לדרישות. החוק מפרט בסיסים חוקיים רלוונטיים שניתן לעבוד על פיהם, בעזרת עורך דין מומחה GDPR עליכם לקבוע מהו הבסיס החוקי המתאים לפעילותכם ולהגדיר אותו רשמית. מהפכת ה- GDPR משמעותה שבפועל כל איסוף, שמירה וניתוח של מידע אישי של משתמשים/גולשים מחייב בסיס חוקי תקין ומוגדר לפעולות הספציפיות שהעסק שלכם נוקט בהן. לכן חשוב מאוד שתבינו האם הרגולציה חלה עליכם ומה בדיוק מתוכה רלוונטי עבורכם ברמה המשפטית והתפעולית.
GDPR – תקנות הגנת הפרטיות של האיחוד האירופי
- יש כמה דברים שארגון יכול לעשות בטווח הקצר כדי להיערך לכניסת תקנות ה-GDPR.
- "לא. הסיבה היא שאין פה דרישה כמו באירופה ובארה"ב היא בגלל החקיקה, אבל גם בגלל שתרבות הצריכה בישראל ששונה מארה"ב. המודעות של החברות בישראל נמוכה יותר מאשר בארה"ב ובאירופה בגלל היעדר חקיקה והיעדר לחץ של הצרכנים, שההשפעה שלהם נמוכה יותר בארץ.
- תיקון 13 חל על כמעט כל ארגון בישראל שמעבד מידע אישי, ולא רק על תאגידים גדולים.
- יורם ליכטנשטיין הוא עורך דין המתמחה בנושאי הדיגיטל והגנת הפרטיות כמעט 30 שנה.
- "למשל, הזכות להישכח, הזכות של אזרח לחזור בו מהסכמה שנתן לעיבוד המידע האישי שלו, ודרישה פורמלית שתכלית איסוף המידע שחברה מציגה תהיה לגיטימית".
- סקר ציות מאפשר להבין בדיוק איפה הארגון עומד מול דרישות רגולציה ופרטיות.אנחנו בודקים לא רק נהלים, אלא את היישום בפועל, הבקרות והמודעות בארגון.התוצאה היא תוכנית עבודה ברורה שמייצרת ציות אמיתי ומתמשך.
- הם מאמינים שתקום ממשלה שתראה לנכון לתקן את חוק הגנת הפרטיות.
ההסדר החדש, ‘מגן הפרטיות’, אפשר לחברות אמריקאיות להתחייב באופן וולונטרי לנוהגי פרטיות מחמירים יותר מאלו הנדרשים לפי הדין בארצות-הברית, ולקבל בכך את ההיתר הנדרש לפי דיני הגנת המידע האירופאים לצורך עיבוד מידע בארצות-הברית. "אלה שלא התחילו כנראה כבר שבעים מרגולציה, ופשוט מחכים לראות מה יקרה ביום שאחרי. זה חוק מסורבל ולא לכל ארגון יש מחלקה משפטית שיכולה ללוות הטמעה שלו. רוב הארגונים הבינו כי הם חייבים להתחיל במקום מסוים, וכי עליהם לצמצם את הפער מול הרגולציה". "צריך להבין מה אוספים – למידע יש משך חיים. מידע שנאסף לפני עשר שנים אולי חסר ערך כיום – ולכן אין טעם לשמור אותו. אנחנו מבינים כיום שבין 20% ל–25% מהמידע שנאסף חסר ערך ולא רלוונטי בשביל לספק ללקוח חוויית משתמש טובה. זה כמו שחברה המוכרת כלי רכב לא תמכור מכונית מלפני עשר שנים. אתה מציע ללקוח את המוצר הכי חדש".
הגישה הזו השאירה את מדינת ישראל עם חוק מיושן, שלא כולל התייחסות לסוגיות משמעותיות בנוגע לפרטיות כיום. "מאז ה-GDPR, המון מדינות בשנים האחרונות מעדכנות את חוקי הפרטיות שלהן בשביל תאימות עם אירופה. גם במערב וגם בדמוקרטיות האסיתיות, טייוואן ודרום קוריאה. גם בארה"ב, בקליפורניה עבר חוק פרטיות חדש ושתי הצעות חוק פדרליות מונחות על שולחן הקונגרס – אחת דמוקרטית ואחת רפובליקנית. "למשל, הזכות להישכח, הזכות של אזרח לחזור בו מהסכמה שנתן לעיבוד המידע האישי שלו, סוכנויות פיתוח AI מובילות ודרישה פורמלית שתכלית איסוף המידע שחברה מציגה תהיה לגיטימית".
רוצים להבין מהר אם GDPR חל עליכם ומה הפערים המרכזיים?
ראשית, כדאי להכיר את התקנות, להבין את הדרישות ואם הארגון בכלל אמור לעמוד בהן, ולקבל ליווי משפטי. ד"ר דותן ברוך, ראש מחלקת אינטרנט במשרד עורכי הדין ברנע, המלווה ומייעץ בין היתר לחברות בנושאי פרטיות, טוען כי "מהשטח עולה שמרבית החברות לא ביצעו אפילו בחינה ראשונית אם החוק חל עליהן, וגם אלה שעשו לא ערוכות. בנוסף, נקבע כי לכל משתמש תהיה זכות לגשת למידע שנאסף עליו ולדרוש לתקן אותו, וכי קטינים מתחת לגיל 16 יצטרכו לקבל הסכמה מהוריהם כדי להשתמש בשירותים שונים. הפרשה הדגימה כיצד פייסבוק ועשרות אלפי חברות נוספות בעולם אוספות מידע אישי על לקוחותיהן ועושות בו שימוש, ללא פיקוח והגבלה. עורך הדין יורם ליכטנשטיין עונה לדרישות אלו – הוא פועל כעורך דין GDRP פעיל, מייעץ לחברות ועסקים, מוציא חוות דעת ביחס לרגולציה ומלווה אותם בהתאמת לרגולציה. הרי אחרת, רשיונו מוגבל לפי הדין הישראלי, ונסיונו ביחס לדין החל באירופה ולפרויקט התאמה ל-GDPR מצומצם ביותר.
הודעה זו הינה השלב המקדמי של מדיניות הפרטיות, שבשלב מתקדם יותר הופכת להיות המדיניות המפורטת עצמה. במאמר זה אנסה להסביר לכם מונחים משמעותיים בענייני הגנת הפרטיות בארץ ובאירופה, על מנת שייקל עליכם לבצע את הנדרש מכם ולהתאים את העסק שלכם לדרישות הדין. אני מאשר/ת שארדינסט, בן נתן, טולידאנו ישלחו לי עדכונים מעת לעת, כולל עדכונים מחוקקים, עדכוני לקוחות, אירועים ועבודות מטעם המשרד. All practices כל תחומי ההתמחות ליטיגציה ויישוב סכסוכים תאגידים ומסחרי הייטק וטכנולוגיה בנקאות ומימון נדל"ן אנרגיה, תשתיות ומימון פרויקטים הסדרי חוב וחדלות פרעון ניירות ערך ושוק ההון הגבלים עסקיים ותחרות דיני עבודה הגנת הפרטיות, סייבר ו-IT תכנון ובניה קשרי ממשל, חקיקה ורגולציה מסים לקוחות פרטיים, נאמנויות ועיזבונות מדיה ותקשורת סביבה ו-ESG פעילות בינלאומית צווארון לבן ארגונים שיאמצו גישה פרואקטיבית להגנת הפרטיות ויפתחו תרבות ארגונית המכבדת פרטיות, לא רק יצמצמו את הסיכון לסנקציות, אלא גם יבנו אמון עם לקוחותיהם ויחזקו את המוניטין שלהם בשוק. עבור חברות וארגונים, הבנה ויישום נכון של החוק, ובפרט תיקון 13 החדש, הם חלק בלתי נפרד מהתנהלות עסקית תקינה ואחראית.
מומחי פרטיות מזהירים כי בזמן שמדינות בעולם התקדמו מבחינת חקיקת הפרטיות שלהם, ישראל נשארה מאחור, וזה עלול לעלות לה ביוקר. מן הראוי שהחוק הישראלי יכיר בזכות זו גם לפרט הישראלי במאגרי המידע הישראליים, משום שהחוק הקיים לא מגן היטב ולא מגיע לתוצאות הולמות להתפתחויות הטכנולוגיות. עידן והתפתחויות זו חושפות את פרטיהם של האנשים לעולם כולו ולתקופת זמן כמעט בלתי מוגבלת.
אם תסמכו על יעוץ טכנולוגי בלבד, ולא תעזרו בעורך-דין GDPR תמצאו את עצמכם (שלא בכוונה) מפרים את דרישות הרגולציה ותסכנו את העסק שלכם בקנסות עתק (העולים כדי 10 או 20 מליון אירו) ותביעות פרטיות או ייצוגיות. במקביל התזכיר מציע להיפטר מההגדרה המיושנת ל"מחזיק" ולהמירה בלשון שלוכדת לא רק מי שקיבל עותק של מאגר כדי לטפל בו עבור בעליו, אלא כל מי שקיבל הרשאה כלשהי, אפילו ארעית, להשתמש במידע במסגרת שירות לבעל המאגר. לדבריו, "יש חשיבות בשימור מוגבל של החובה באופן שיאזן בין תועלות מסוימות הכרוכות בו לבין ההקלה שצמצומו יביא בנטל הרגולטורי. איזון זה מתבטא בהסדר המוצע, שלפיו החובה תחול רק על מאגרי המידע המהווים את הסיכון הגדול ביותר לפרטיות". "אנחנו מסבירים שאין אדם שאין לו מה להסתיר. זה נכון שבהרבה נושאים אנשים מרגישים חסרי אונים, למשל מול פייסבוק, מול המדינה או מול חברות הסלולר. אבל אני חושבת שגם בישראל כמו במדינות אחרות יש שינוי בהבנה. למשל פרשת הצבת המצלמות בקלפיות שהפכה לנושא מרכזי מלמדת שהסיפור של הפרטיות לא מת ואכפת לאנשים אם מצלמים אותם. אומרים ש-2020 תהיה השנה של הפרטיות, גם בישראל וגם במדינות אחרות”. כמו כן, גם מי שבעל שליטה במידע ומעבד אותו כאשר העסק שלו אינו נמצא בגבולות האיחוד האירופי במידה שהעסק נושא מידע על תושבי האיחוד האירופאי, בעברות שיווק ומכירת שירותים או מוצרים לתושבי האיחוד.
בנוסף לעיסוקו כעורך דין, עו"ד ישראלי הוא יזם ומנהל בכיר בתעשיית הייטק, שניהל צוותי מוצר, טכנולוגיה ושיווק בחברות טכנולוגיה גדולות וחברות סטארטאפ מצליחות. עו"ד ישראלי שימש גם כיועץ אסטרטגי בחברת Boston Consulting Group בהולנד, וסייע לחברות ענק בפרוייקטים אסטרטגיים ותהליכים פנימיים. יש להתאים את המוצרים, השירותים, מערכי השיווק, התהליכים הארגוניים ומערכות המידע לאבטחת המידע והגנת הפרטיות בצורה יעילה. מדריך זה נועד לספק סקירה מקיפה של הסמכת ISO תוך התמקדות מה התקן הזה מייצג, מהן הדרישות העיקריות בו, כיצד מתבצע תהליך היישום שלו ומהם היתרונות לארגון אשר בוחר להיות מוסמך אליו. תקן זה מסמיך ומדריך חברות וארגונים על ניתוח, ניהול ובקרה על סיכוני פרטיות ומהווה אסמכתא המעידה על עמידת הארגון בתקנות הפרטיות הבינלאומיות. אם אחרי מדריך ליישום GDPR, בו הראנו עד כמה התחום הזה רחב, מורכב, מרובה שלבים וסבוך, אתם עדיין שואלים את עצמכם מדוע אתם צריכים שירות גם מעו"ד המומחה לתחום, הנה עוד כמה נקודות לשיקול. ישראל נכנסת תחת ההגדרות של החלטות הנאותות של הרשויות האירופיות, אך יתכן ומצב זה ישתנה ולכן עליכם לבחון זאת בנקודת הזמן הרלוונטית עבורכם.