הטמעת דיני הגנת הפרטיות

לשיתוף המאמר

הטמעת דיני הגנת הפרטיות היא תהליך אסטרטגי ומשפטי שבו ארגונים מתאימים את נהלי איסוף המידע, שמירתו והשימוש בו לדרישות החוק. במיוחד עבורכם הכנו את המדריך המקיף שיעזור לכם להבין לעומק את הנושא החשוב הזה, שישמור עליכם מתביעות ענק וישפר את אמון הלקוחות שלכם בצורה יוצאת דופן.

כולנו מכירים את התחושה המלחיצה כשמידע אישי ורגיש שלנו דולף לרשת או כשחברה מסחרית עושה בו שימוש לא הוגן ללא ידיעתנו. בתור בעלי עסקים או מנהלים בכירים בארגון, האחריות הכבדה הזו מונחת כעת ישירות על הכתפיים שלכם. המחשבה על קנסות כבדים, פגיעה בלתי הפיכה במוניטין של המותג ולקוחות זועמים מדירה שינה מעיני רבים מבעלי העסקים. האם הארגון שלכם באמת מוגן מפני האיומים הללו? האם אתם בטוחים במאת האחוזים שאתם עומדים בכל דרישות החוק המסובכות? זה טבעי לחלוטין להרגיש אבודים בתוך ים התקנות המשפטיות והרגולציות המשתנות. בדיוק בגלל זה יצרנו עבורכם את התוכן הזה, שנועד להפיג את החששות, לעשות סדר בבלאגן ולספק לכם מפת דרכים ברורה ליישום נכון.

מהי הטמעת דיני הגנת הפרטיות הלכה למעשה?

התהליך המורכב של יישום דיני הפרטיות דורש הבנה עמוקה של החקיקה המקומית והבינלאומית. ארגונים נדרשים כיום לבנות תשתית טכנולוגית ומשפטית רחבה המבטיחה שכל פיסת נתון של לקוח או עובד מאובטחת כראוי. מדובר בהרבה מעבר לחתימה על טופס משפטי בודד.

תארו לעצמכם שאתם בונים כספת חדשה עבור התכשיטים היקרים ביותר שלכם. הטמעת התקנות היא לא רק קניית המנעול היקר ביותר מחנות לחומרי בניין, אלא בניית תהליך בו אתם מוודאים שכל השומרים בבניין יודעים מתי מותר לפתוח את הכספת, מי מורשה להחזיק במפתח החלופי ואיך מדווחים בזמן אמת אם מישהו חשוד ניסה לפרוץ פנימה. זהו תהליך חי ונושם שדורש תחזוקה מתמדת.

למה דווקא עכשיו? החשיבות של הטמעת התקנות

התעלמות מחוקי הגנת הפרטיות בעידן הדיגיטלי משולה לנהיגה ברכב ספורט בשיא המהירות בעיניים עצומות. זה אולי מרגיש מהיר וחסר מעצורים בהתחלה, אבל ההתרסקות הכואבת היא רק עניין של זמן. כיום, מידע רגיש נחשב למטבע היקר ביותר בכלכלה העולמית כולה. עלינו לזכור ששמירה על הנתונים הללו אינה רק חובה חוקית יבשה אלא גם התחייבות מוסרית ערכית כלפי האנשים שסומכים עלינו יום יום.

נתונים וסטטיסטיקות מהשנים האחרונות מצביעים על כך שחברות מסחריות שעברו אירועי דלף נתונים ללא הכנה מוקדמת ספגו ירידה חדה בהכנסות ונטישת צרכנים המונית תוך חודשים ספורים. צרכנים מצפים כיום לשקיפות מלאה מכל גוף שאיתו הם באים במגע. הם רוצים לדעת איזה פרט מידע אתם אוספים עליהם ולאיזו מטרה מוגדרת. אם לא תספקו להם את חוף המבטחים הזה, הם פשוט יעברו למתחרים שלכם בלי לחשוב פעמיים.

היתרונות המרכזיים של תאימות לחוק

  • שיפור משמעותי באמון הצרכנים והשותפים העסקיים שיודעים שהמידע שלהם מופקד בידיים בטוחות.

  • צמצום דרמטי של סיכונים משפטיים וקנסות פוטנציאליים מצד רשויות האכיפה בישראל ובעולם.

  • ייעול תהליכי העבודה בארגון יחד עם מחיקת נתונים מיותרים שתופסים שטח אחסון יקר.

  • יתרון תחרותי מובהק מול חברות שאינן מקפידות על סטנדרטים אלו ונתפסות כמיושנות.

השוואת סטטוס הארגון לפני ואחרי תהליך ההטמעה

שלבים מעשיים להטמעת דיני הגנת הפרטיות בארגון

כדי להפוך את המושג המשפטי המופשט למציאות יומיומית בעסק שלכם, נדרשת עבודת מטה יסודית. לא ניתן להסתפק בהורדת מסמך חינמי מרחבי רשת האינטרנט והדבקתו באתר החברה שלכם תוך תקווה לטוב.

מיפוי נתונים וסקר סיכונים

השלב הראשון והקריטי ביותר הוא להבין מה בכלל יש ברשותכם. אי אפשר להגן באופן אפקטיבי על דברים שלא יודעים שקיימים. עליכם למפות בקפידה כל מערכת מחשוב, כל קובץ דיגיטלי וכל תוכנת צד שלישי שאוספת נתונים בארגון. שאלו את עצמכם איזה מידע רגיש נאסף בדיוק, היכן הוא מאוחסן פיזית או וירטואלית, מי מהעובדים ניגש אליו ולכמה זמן בדיוק הוא נשמר אצלכם. פעולות אלו מהוות את בסיס האם לכל תוכנית אבטחה עתידית.

כתיבת מדיניות פרטיות ברורה

מדיניות טובה צריכה להיות מסמך חי, ברור וקריא לחלוטין, ולא חומת טקסט משפטית מאיימת שאף אדם סביר לא מסוגל להבין. כתבו את המסמכים החשובים הללו בשפה יומיומית פשוטה ונגישה. הסבירו ללקוח הקצה בדיוק למה אתם מבקשים ממנו את כתובת הדואר האלקטרוני שלו.

מטאפורה נהדרת להמחשת הנושא היא תפריט מושקע במסעדת יוקרה. הסועד צריך לדעת בדיוק מאילו רכיבים מורכבת המנה שהוא מזמין, האם יש בה אלרגנים מסוכנים ואיך השף המוכשר הכין אותה. שקיפות היא מילת המפתח כאן.

הדרכת עובדים ויצירת מודעות

חשוב להפנים שגם מערכת ההגנה הטכנולוגית המתקדמת והיקרה ביותר בעולם תקרוס מיד אם עובד אחד חסר זהירות ילחץ על קישור זדוני בהודעת מייל או ישאיר מחשב נייד פתוח ללא השגחה בבית קפה הומה אדם. העובדים שלכם הם קו ההגנה הראשון ולרוב גם קו ההגנה האחרון. הדרכות רבעוניות, רענוני נהלים תקופתיים ומינוי גורם מקצועי אחראי שירכז את התחום הם פעולות חובה שאי אפשר לדלג עליהן. כולם במסדרונות הארגון צריכים ליישר קו לחלוטין.

אבטחת מידע אל מול פרטיות מצאו את ההבדלים

בעלי חברות רבים נוטים לבלבל בין תחום אבטחת המידע לתחום הגנת הפרטיות, ומשתמשים במושגים אלו באופן שגוי כמילים נרדפות לחלוטין. למעשה מדובר בשני עולמות תוכן שונים אך משלימים יחדיו, שכל אחד מהם דורש התייחסות מקצועית נפרדת לחלוטין.

אבטחת המידע עוסקת נטו באמצעים הטכניים והפיזיים שנועדו להגן על המערכות מפני גישה בלתי מורשית, גניבת קבצים, שינוי קוד או השמדת שרתים. עולם זה כולל חומות אש מתוחכמות, תוכנות אנטי וירוס מהדור החדש, הצפנת כוננים קשיחים ומערכות בקרת כניסה למבנה הפיזי של המשרדים.

לעומת זאת, עולם התוכן של הפרטיות עוסק בזכויות החוקיות של האדם הבודד שכל המידע הזה שייך לו מלכתחילה. תחום משפטי זה מתמקד בשאלות פילוסופיות ומעשיות כמו איזה מידע מותר לכם בכלל לאסוף מלקוחות, לאילו מטרות מדויקות מותר לכם להשתמש בו, למי מותר לכם להעביר אותו הלאה תמורת תשלום וכמה חודשים בדיוק מותר לכם לשמור אותו בשרתי החברה.

כדי לפשט זאת נשתמש באנלוגיה של בית כלא שמור היטב לעומת בית מלון יוקרתי ברמת חמישה כוכבים. בשני המבנים הללו יש מערכות אבטחה כבדות, מצלמות במעגל סגור ושומרים חמושים בכל כניסה. ההבדל התהומי טמון כמובן בזכויות של האנשים הנמצאים בתוך המבנה ובמטרה לשמה הוקמה מערכת האבטחה. מערכת ממוחשבת מאובטחת מאוד יכולה לאסוף מידע עתק בניגוד לחוק ובכך להפר בצורה גסה את זכויות האזרחים, גם אם שום האקר מקצועי לא פרץ אליה מעולם. השילוב המנצח עבור הארגון שלכם הוא יצירת הרמוניה מושלמת בין שני התחומים האלה.

זכויות נושאי המידע והמשמעות הפרקטית עבורכם

אחד מעמודי התווך של התקנות המודרניות הוא החזרת הכוח השליטה וההחלטה לידיים של הצרכן הפשוט, או בשפה המקצועית המשפטית נושא המידע. עד לא מזמן, תאגידים ענקיים חשבו שמרגע שמידע כלשהו הגיע לשרתים שלהם הוא הופך באופן אוטומטי לרכושם הבלעדי לכל דבר ועניין. התפיסה המיושנת הזו השתנתה לחלוטין בשנים האחרונות. כיום, כל צרכן או עובד זכאי לפנות אליכם ולדרוש לקבל דוח מפורט על אודות הנתונים שאספתם עליו.

תחשבו על התהליך הזה כעל תהליך השאלת ספר עיון מהספרייה העירונית. אתם מקבלים את הספר לידיים שלכם לזמן מוגבל ובתנאים ברורים מאוד, אך הספר הזה לעולם לא הופך לרכושכם הפרטי בטאבו. אם מנהל הספרייה מבקש אותו בחזרה אליו, חובתכם להחזיר את הספר ללא כל דיחוי או ויכוח מיותר.

לקוחות זכאים לדרוש עיון בקבצים, לתקן מידע רפואי או פיננסי שגוי, ואף לדרוש מחיקה מוחלטת מהמערכת תהליך המוכר גם בתור הזכות להישכח באופן סופי. כדי להתמודד עם הפניות האלו ביעילות, המערכות שלכם חייבות להיות מתויגות ומסודרות מראש ברמה הגבוהה ביותר.

שאלות ותשובות בנושא הגנת הפרטיות

כדי לעשות קצת סדר בבלאגן המשפטי, ריכזנו עבורכם את השאלות הבוערות ביותר שבעלי עסקים ומנהלים נוטים לשאול בנושא מורכב זה.

האם כל עסק קטן חייב לעבור תהליך רגולטורי כזה?

התשובה היא בהחלט כן. גם עסקים קטנים מאוד שאוספים מידע בסיסי כגון שמות פרטיים, מספרי טלפון וכתובות מגורים מחויבים לשמור עליהם בהתאם להוראות החוק, ולעיתים אף לרשום מאגר מידע רשמי מול הרשויות. ההבדל הוא לרוב רק בהיקף העבודה ובמורכבות של אמצעי האבטחה הנדרשים להתקנה.

מה ההבדל המרכזי בין חוקי הפרטיות בישראל לתקנות המחמירות באירופה?

התקנות האירופאיות ידועות ברחבי העולם כמחמירות בצורה קיצונית ודורשות שקיפות מלאה מול הלקוח, כולל אכיפה של הזכות להישכח באופן טכנולוגי מלא. החוק הישראלי עובר בשנים אלו התאמות רבות ושינויי חקיקה כדי להתקרב ככל האפשר לסטנדרט האירופאי הזה. חברות ישראליות שפונות לקהל יעד אירופאי חייבות לעמוד בתקנות המחמירות של היבשת מתוקף תחולתן החוץ טריטוריאלית.

מהו קנס פוטנציאלי על חוסר עמידה בתקנות השונות?

הסכומים משתנים כמובן בהתאם לחומרת ההפרה ולתקנות הרלוונטיות של כל מדינה, אך במקרים רבים מדובר בקנסות שיכולים להגיע בקלות למאות אלפי שקלים ולעיתים אף להוות עילה להגשת תביעות ייצוגיות העלולות לרסק כלכלית כל עסק ממוצע שאינו ערוך מראש.

איך בדיוק מתמודדים עם שמירת נתוני לקוחות בשרתי ענן חיצוניים?

שמירת נתונים בשרתי ענן של חברות ענק דורשת חתימה קפדנית על הסכמים משפטיים ייעודיים מול אותן ספקיות שירות, וכן תהליך של מוודא כי חוות השרתים שבהן שמור המידע שלכם אכן עומדות בכל התקנים הבינלאומיים המחמירים ביותר שיש. האחריות הבלעדית על שלמות המידע נשארת אצלכם גם אם השרת הפיזי ממוקם כרגע ביבשת אחרת לגמרי.

כמה זמן מותר לארגון לשמור נתונים של לקוח שעזב את השירות?

העיקרון המנחה והברור הוא שיש לשמור את המידע רק כל עוד קיים צורך עסקי ממשי או צורך חוקי מובהק. לדוגמה קלאסית, חשבוניות מס חובה לשמור למשך שבע שנים לפחות בגלל דרישות רשויות המיסים, אך מידע שיווקי הקשור להעדפות קנייה של הלקוח יש למחוק סמוך לבקשת הלקוח לעזוב את מאגר הדיוור שלכם.

תמונה של עו"ד שחר שוורץ
עו"ד שחר שוורץ

נמנה על קבוצה מצומצמת של כ-10 עורכי דין בלבד בישראל המחזיקים בהסמכות

CISO (מנהל אבטחת מידע בכיר)

DPO (מנהל הגנת פרטיות)