המאמר שלפניכם סוקר את עיקרי מהפכת הפרטיות שנכנסה לתוקפה באחרונה (מאי 2018) באירופה, אשר שינתה דרמטית את תחום הגנת ואבטחת המידע האישי ביותר של כולנו עם עונשים כבדים של עד 20 מיליון יורו או 4% מהמחזור השנתי של ארגון.
באחרונה אישרה אירלנד באופן היסטורי את זכות ההפלות.
בכך שמה לה אירלנד את זכות האישה על גופה על סדר היום ומיתגה עצמה שוב כאבירת זכויות הפרט של אירופה, כזו שאיננה מהססת לאשר גירושין, נישואין לזוגות חד-מיניים ומשחררת מעל עצמה את כבלי השמרנות הדתית ונראה שזרועה עוד נטויה.
אלא שמאבק זה, מוצדק וחשוב ככל שיהיה, איננו אלא תוצר מובהק של מהפכה גדולה בהרבה המתחוללת ברחבי היבשת האירופית בשנים האחרונות, ומחלחלת אט-אט אל המרחב הפרטי והווירטואלי, מנת חלקו של כל אחד מאיתנו.
אין זה סוד שהתאגידים התעשייתים הדומיננטיים בשוק כיום, הלא הם גוגל ופייסבוק ודומיהם (E-BAY, AMAZON), הם חלק בלתי נפרד מחיינו.
אלא שאליה וקוץ בה.
מדובר בתאגידים דרקוניים החולשים על פרטיותנו, יוצרים "פרופיילינג" אודות הרגלי הצריכה שלנו (מיקום, השכלה, עבודה, בריאות ואפילו הרגלים אינטימיים).
אנו מצדנו נתונים למקח וערובה מתמשכים על ידי תאגידים אלו, שכן בלא חתימה על התקנון, אנו מנועים מלעשות שימוש בשירותים והיישומונים על ידי תאגידים אלו, כדוגמת העלאת סטורי לרשת, עדכון CHECK IN ב-facebook, ניווט שגרתי בWAZE או שליחת מסרון בקבוצת ה-whats'app השכונתית.
פרשת קיימברידג' אנליטיקה המביכה במסגרתה נאלצה פייסבוק להודות כי 87 מיליון! מחשבונות משתמשיה, לא פחות, הודלפו ונחשפו ברשת, היא הנותנת שמדובר במצב חדש המחייב בצעדי זהירות מידיים וממשיים.
שיאה של הפרשה במתן עדותו של מנכ"ל פייסבוק, מארק צוקרברג בפני הקונגרס האמריקאי, לראשונה, יש לומר, בתולדות תאגיד הענק.
רפורמת הפרטיות:
הדבר מחייב, אפוא, "חישוב מסלול מחדש" לא רק בקרב אותם תאגידים שנתפסו במערומיהם, כי אם בבחינת נקיטת רפורמה משפטית כוללת, חוצת קהילות, ארגונים ומדינות.
אנו עדים למלחמת שוורים של ממש בין האיחוד האירופי לתאגידים האמריקאיים.
בעוד שארה"ב ליברלית וגמישה יותר במדיניות הפרטיות שלה ושל התאגידים שפותחו באדמתה, האיחוד האירופי ואולי לא בכדי נוקט במדיניות מרוסנת ושמרנית בהרבה במטרה לייצר שיניים אל מול האח הגדול האמריקאי.
דומה שהאיחוד האירופי החליט להסיר את הכפפות ולהיאבק בחורמה בתופעת הפגיעה בפרטיות.
ואכן, אצל משתמשי גוגל ופייסבוק התקבלה באחרונה הודעה בדבר שינוי מדיניות הפרטיות.
הדבר הינו תוצר של מהפכת תקנות הפרטיות או בשמן הידוע- GDPR General Data Protection Regulation)), שנכנסה לתוקפה רשמית החל מ-25.5.18.
התקנות קובעות למעשה ששה עקרונות מרכזיים מכוחן מחויב בית העסק/ארגון.
לשם הנגשתם, אנסה להציגם בתמצית:
שקיפות וחוקיות
מכוח עקרון זה, על בית העסק, בבואו לאסוף מידע על אדם, להציג אינטרס לגיטימי לאיסוף המידע; על הארגון לדווח למשתמשיו את שמו הנכון ואת פרטי הקשר שלו, את זהות הנציג האחראי על הגנת מידע ופרטיות, את פרטי מי שהוא מעביר אליו את המידע ופרטי העברות מידע למדינות החיצוניות לאיחוד האירופי (ישראל ביניהן) וכן הלאה.
עקרון הגבלת המטרה
מכוח עקרון זה, על הארגון לאסוף מידע אך ורק לצורך מטרה ספציפית, להגדיר מה היא אותה מטרה ולהיצמד לאותה מטרה. כל שינוי או סטייה ממטרה זו עלול להיתפס כהפרת פרטיות.
עקרון מיזעור המידע
על הארגון ליישר קו עם המטרה המוצהרת בגינה הוא אוסף את המידע באופן תחום ומוגבל ולהימנע מלאסוף כל מידע שאינו נדרש לתכלית האיסוף.
עקרון הדיוק
מכוח עקרון זה, חלה על הארגון החובה לשמור על המידע עדכני, נכון, מלא ומדויק ועליו לנקוט "בכל צעד סביר" כדי לעמוד בחובה זו. ככל ונתגלה אי דיוק יש לוודא תיקונו ולחילופין מחיקתו מטעמי דיוק ושקיפות.
זוהי אחריותו של בית העסק או הארגון ליצור מנגנונים למעקב וניטור אחר שינוי המידע.
עקרון הגבלת האחסון
במסגרת מחויבות העסק לתקנות החדשות, עליו יהיה לשקול גם את משך הזמן שנעשה במידע שנאסף שימוש. בהקשר זה האיחוד דורש מהארגון העסקי למחוק את המידע שנאסף עם תום ההתקשרות ולא להחזיקו למועד בלתי מוגבל ולצמיתות.
היינו, הדרישה היא לתחום את פרק הזמן בו המידע יוחזק במאגרי המידע של החברה.
עקרון השלמות והסודיות
ה-GDPR מחייב את העסקים להפעיל משאבים מספקים לאבטחות המידע בהיבטים שונים: כגון יישום שוטף בתוכנות חומרה ואבטחה קפדניות; הטמעת מדיניות פנים ארגונית לאבטחת וחיזוק הגנת הפרטיות בארגון; ולבסוף עריכת הסכמי אבטחת מידע משפטיים, לרבות תניות סודיות מסחרית.
על מנת להחיל את התקנות, על בתי עסק לעמוד בשלושה תנאי סף:
הרפורמה נכנסה לתוקפה ביום 28.5.18 ומטילה עונשים כבדים של עד 20 מיליון יורו או 4% מהמחזור השנתי של הארגון.
חשוב לציין כי אמנם ישראל איננה חלק מהאיחוד האירופי במובן הפורמלי או הגיאוגרפי אך היא מחויבת לדירקטיבות החדשות ונדרשת לעמוד בכפיפה אחת עם האיחוד בעניין זה, במובן המשפטי.
יחד עם זאת, נראה כי בתי העסק בישראל אינם ערוכים כראוי לכניסת התקנות, גם לא ברמת היערכות ראשונית.
חשוב להדגיש כי לאי היערכות זו משמעויות כלכליות, משפטיות ותדמיתיות לא מבוטלות, וחשוב לדעת אותן בשלב ראשון וליישם אותן בשלב השני.
חברה שרוצה להנפיק, להימכר לחברה אירופית או לגייס השקעה לדעת כי אם לא תעמוד בתקנות ה-GDPR יפחתו סיכוייה וממילא גם שווייה דרמטית.
לפיכך, על חברה המתקשרת עם חברות זרות בפרט אירופאיות לשים לנגד עיניה ולקבל ייעוץ משפטי מתאים הולם ולבצע "בדיקת מערכות" ומיפוי המידע, הפערים והסיכונים הפוטנציאליים.
בפן משלים, מומלץ גם להסתייע בכלים טכנולוגיים להגברת הפרטיות והטמעתם בחברה, ובכלל זאת מערכות ניטור מידע והצפנה, התנהלות מול מתקפת סייבר (תרחיש ריאלי לכל דבר בימינו) והגברת המודעות כמדיניות פרטיות מושרשת.
מכל האמור, המסקנה היא ברורה. אובדן פרטיות משמעותו אחת- אובדן לקוחות!
הפרטיות של כולנו מונחת על הכף. בעידן שבו רבים מייחסים לפרטיות כמונח שפס מן העולם או OVERRATED, נראה שעוד מוקדם מדי להספיד אותה.
סבורני כי מעבר להיבט המשפטי שבדבר, מדובר במאבק חברתי למען העתיד של כולנו ויפה שעה אחת קודם.
משרדנו מלווה בתי עסק וארגונים באופן שוטף בתחום הגנת הפרטיות ועורך הסכמים מסחריים המתכתבים לאורן של תקנות הפרטיות החדשות.
משרד עו"ד לירן ינקוביץ ושות'
לשון הרע והגנת הפרטיות, ליטיגציה מסחרית-אזרחית ויישוב סכסוכים
טלפון: 054-6917337.
דוא"ל: liran-law@outlook.co.il