אם אתם מנהלים דף עסקי, כל כניסה שלכם לדף מלווה לאחרונה בהודעה המכינה אתכם
לרגולציה כללית בנושא הגנה על נתונים.
יש סביב הנושא באזז רציני, ופייסבוק מיהרה לפרסם צפירת הרגעה מטעמה.
אז בואו נעשה קצת סדר ברגולציה ונבין מי נגד מי ומה זה בכלל.
לפני שנה בדיוק, ב-27.4.17, התקבל בחדרי חדרים של הפרלמנט האירופי,
מועצת האיחוד האירופית והנציבות האירופית, מה שיזכה לשם GDPR.
מדובר בראשי תיבות General Data Protection Regulation
ובעברית – רגולציית ההגנה על פרטיות.
הרגולציה מגיעה בצורת אוסף הוראות שהוסדרו במטרה להגן על נתונים אישיים
של אנשים פרטיים בשטח האיחוד האירופי. כך, כל תושב היבשת יחזיר לעצמו
את השליטה על רוב פרטיו האישיים, גם אם נשמרו בכל מיני חברות, פרטיות,
ציבוריות או ממשלתיות.
הרגולציה תיכנס לתוקפה ב-25.5.18. ותחול על חברות אירופיות, חברות
שבסיסן באירופה וחברות המעבדות נתונים אישיים של תושבי אירופה.
יש המכנים את המהלך "תחילתו של עידן פרטיות חדש".
כדי לסבר את האוזן, הרגולציה נפתחת במשפט:
הרגולציה כוללת 3 עקרונות מרכזיים:
1. עיבוד הגון וחוקי של המידע האישי.
2. מגבלה על מטרות עיבוד המידע האישי.
3. מינימליזציה ושימור של המידע האישי.
חברה עם לקוחות אירופיים שתיכשל בהגנה על המידע
שלהם, תיקנס בעד 4% מהמחזור השנתי או 20 מיליון יורו, הגבוה מביניהם,
ולאו דווקא על הפרה כללית, אלא על כל משתמש שהחברה כשלה בשמירה על
נתוניו הפרטיים. לא משהו שפייסבוק, או כל חברה אחרת לצורך העניין, הייתה
רוצה לראות בדו"ח ההוצאות שלה.
מיהם בעלי העסקים הישראליים שיושפעו מהרגולציה?
1. כל עסק שיש לו קשר כלשהו לפעילות עסקית באירופה,
שכתוצאה ממנה יש לו לקוחות אירופיים.
2. עסק המציע את מרכולתו ללקוחות פוטנציאליים בחרבי היבשת האירופית.
3. כל עסק המבוסס על ניטור נתונים של אזרח אירופי.
ומה אנחנו, בעלי העסקים הקטנים, צריכים לעשות תכלס?
1. החוק מחייב כל מי שאוסף מידע פרטי, לשמור אך ורק את המידע אותו הוא צריך
למטרה מסוימת אליה נאסף המידע מלכתחילה.
2. לכל אחד תהיה הזכות לדרוש למחוק את כלל המידע עליהם,
וכמובן להפסיק הפצה נוספת של המידע ומניעה של צד שלישי משימוש במידע.
3. לכל אדם תהיה זכות לקבל מעסק ששומר עליו
מידע כלשהו, את הנתונים על איפה המידע נשמר ואיזה שימוש נעשה בו.
העסק גם יצטרך לספק עותק דיגיטלי החושף את המידע שנאסף, ללא כל תשלום.
4. יידרש דיווח על כל פירצת אבטחה במדינות החברות באיחוד האירופאי,
בתוך 72 שעות מרגע הידיעה עליה, ובמידה שהיא מסכנת את חירות הפרט.
עסק שנפגע מפירצת האבטחה, יידרש להודיע על כך ללקוחותיו "בעיכוב סביר".
5. הסכמה לשימוש במידע של לקוח, תידרש להיות ברורה וקריאה, ומובחנת מעניינים אחרים.
משיכה/סירוב להסכמה חייבים להיות קלים ונגישים באותה מידה.
ובלי כל קשר, זה הימור לא מופרך שהרגולציה רק תתפתח ולא תיעלם, לכן כדאי לכל עסק
הפעיל ברמה הדיגיטלית להתאים את עצמו, בלי קשר לגודלו, להיקף פעילותו או לקהל היעד שלו.
איך הרגולציה תשפיע על המפרסמים בפייסבוק? זו כנראה שאלת מילון הדולר,
ופייסבוק מחלקת את התשובה להמון חלקים, שתוכלו לקרוא בפירוט כאן
לזכותם ייאמר שהם נותנים מענה על כל שאלה אפשרית שעשויה להתעורר
אצל בעלי עסקים.
ובינתיים, אצלנו…
לצד ההתרחשויות העולמיות, בישראל עובדים על גירסא מקומית לרגולציה, שנכנסה לתוקפה
ביום שלישי האחרון, 8.5.18. את תקנות הגנת הפרטיות (אבטחת מידע, התשע"ז–2017)
אישרה אשתקד ועדת חוקה, חוק ומשפט, והן מפרטות את חובת אבטחת המידע
המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם בעל גישה למאגר מידע אישי,
בהתאם לגודל המאגר.
חובת דיווח על אירועי אבטחה, שתחול על בעלי עסקים, נקבעת על פי 3 דרגות אבטחה.
ברמה הנמוכה נמצאים מאגרים שמספר המורשים אליהם אינו עולה על 10 והמידע אינו רגיש.
אלה לרוב אנחנו, בעלי העסקים הקטנים.
החובות החלות עליהם מצומצמות וכוללות דרישה למסמך הגדרות המאגר, אבטחה פיזית,
ניהול הרשאות גישה, תיעוד אירועי אבטחה, הגבלת שימוש בהתקנים ניידים,
הפרדת מערכות ושימוש בתקשורת מאובטחת.
עוד על הרגולציה המקומית תוכלו לקרוא כאן