GDPR, חוק הפרטיות האירופאי: השינויים שיגנו על הפרטיות שלכם במרחבי הסייבר
החוק שמגן על כלל האזרחים ששייכים לאיחוד האירופי מפני פריצות אבטחה הקשורות לשמירת מידע ופרטיות, הורחב - וייושם גם על חברות שאוגרות/מעבדות מידע אישי על אזרחי האיחוד, ללא הגבלה גאוגרפית
במאי הקרוב, ייכנס לתוקף חוק הפרטיות האירופאי, ה-GDPR. מטרת החוק הוא להגן על כלל האזרחים ששייכים לאיחוד האירופי מפני פריצות אבטחה הקשורות לשמירת מידע ופרטיות. בשונה מהחוק המקורי משנת 1995, נעשו לא מעט שינויים והתאמות בדמות תקנות חדשות הנוגעות לבתי עסק וזאת על מנת להפוך את החוק רלוונטי לזמננו.
אחד מן השינויים המשמעותיים ביותר, מרחיב את תחום שיפוטו של החוק, עת הוא מיושם על חברות שאוגרות/מעבדות מידע אישי על אזרחי האיחוד, ללא הגבלה גאוגרפית. קרי, גם אם בסיס החברה נמצא ביבשת אחרת, אך החברה אוגרת/מעבדת מידע על אזרחי האיחוד, החוק יחול עליה. כולל עסקים שלא שייכים לאיחוד ובאחריותם למנות נציג לצורך התקשרות מולם.
קנסות וסנקציות
חברה או עסק אשר יפרו את חוק GDPR יהיו חשופים לקנס של עד 4% מהמחזור השנתי או € 20 מיליון (לפי הסכום הגדול יותר). זהו הקנס המרבי אשר ניתן להטיל על ההפרה החמורה ביותר. למשל, במידה ואין הסכמה מספקת של הלקוח שמאשרת את עיבוד נתוניו או הפרה של מושגי הליבה של 'פרטיות לפי עיצוב'. יש גישה שכבתית לקנסות, למשל: ניתן לקנוס חברה בשיעור של 2% בגין אי רישום הרשומות שלה וזאת במידה ולא הודיעו על פרצה או מידת השפעה/נזקים לרשות המפקחת. חשוב לציין שכללים אלה חלים גם על בעלי המאגר וגם על מעבי המידע במאגר כלומר, "עננים" לא יהיו פטורים מהחוק.
מעבר לכך, לכל מדינה באיחוד שמורה הזכות להטיל סנקציות פליליות משלה בגין הפגיעה בפרטיות.
הסכמה
תנאי ההסכמה הוחמרו והחברות לא יוכלו עוד להשתמש בתנאים (תקנונים) בלתי קריאים, ארוכים או בעלי אופי משפטי, שכן הבקשה להסכמה מהלקוח חייבת להינתן בצורה מובנת ונגישה וזאת כאשר ההסכמה לעיבוד נתוניו מצורפת לבקשה. כמו כן ההסכמה חייבת להיות ברורה ומובחנת מעניינים אחרים וניתנת בצורה מובנת ונגישה, תוך שימוש בשפה ברורה ופשוטה. בנוסף, משיכה/סירוב להסכמה שכזאת חייב להיות קל ונגיש באותה מידה.
דיווח על פרצות אבטחה
בהתאם לחוק GDPR, דיווח על פרצה תהפוך לחובה בכל המדינות החברות באיחוד האירופאי, שפרצת האבטחה עלולה לגרום לסכנה של זכויות וחירויות של פרטים. הדבר חייב להיעשות בתוך 72 שעות מרגע הידיעה על פרצה. אותן חברות/עסקים שנפגעו מפרצת אבטחה, יידרשו להודיע ללקוחותיהם "בעיכוב סביר" שנפגעו.
הזכות לגישה
חלק מהזכויות המורחבות, מאפשרות ליחידים (כל אדם שאוספים עליו מידע) לקבל אישור אם חברה או עסק שומרים עליו מידע כלשהו, איפה המידע נשמר ומה נעשה עימו. יתרה מכך, החברה תצטרך לספק עותק דיגיטלי החושף את המידע שנאסף וזאת ללא כל תשלום. השינוי הזה כשלעצמו, משמעותי ונחשב לקפיצת מדרגה בכל הקשור לשקיפות והעצמת כוחם של היחידים.
הזכות להישכח
סעיף זה מדבר על הזכות של היחידים לדרוש מאוסף המידע למחוק את כלל המידע שאסף עליו/ה, הפסקה של הפצה נוספת של המידע ומניעה של צד שלישי משימוש במידע. התנאים למחיקה שכזו כוללים את העובדה שהמידע לא יהיה רלוונטי למטרה שאליה נאסף במקור, גם לאחר בקשה לביטול הסכמה לשימוש. זכות זו תחייב את אוספי המידע להשוות את זכותו של היחיד ל-"עניין הציבור בזמינות המידע", כשיבחנו בקשות מסוג זה.
ניידות המידע
GDPR מציג סעיף חדש, הזכות של היחיד לקבל את המידע האישי שרלוונטי אליו, מדובר במידע שנאסף על-ידי מנועי חיפוש, מידע שסיפקו ברשת וכדומה. הסעיף, יאפשר לנו לקבל את מידע זה כדי שנוכל להעביר אותו לאוסף מידע או בקר מידע אחר.
פרטיות מעוצבת
קונספט שקיים כבר מספר שנים, אך רק לאחרונה הפך להיות מעוגן בחוק ה-GDPR. בעיקרו, המליץ על אמינות כשמתכננים מערכת שמטרתה לאסוף מידע, אך בצורתו החדשה, מחייב את אוספי המידע ליישם טכניקות פיזיות ואמצעים אירגוניים, בצורה אפקטיבית, כדי לעמוד בפרמטרים הנדרשים לפי החוק, לשמירה על זכויותיו של היחיד (שעליו נאסף המידע). בנוסף, החוק מחייב את אוספי המידע, לשמור אך ורק את המידע אותו הוא צריך למטרה מסוימת מאותו יחיד. קרי, לא לאסוף מידע על יחידים לשם איסוףהמידע, אלא רק כשצריך ושזה, משרת את המטרה אליה נאסף מלכתחילה.
נקודה נוספת ומשמעותי ביותר בהקשר לכך באה לידי ביטוי בהטמעת מערכות שמסוגלות להוציא את המידע הפרטי מהמאגר ולשמור רק את המידע הנדרש ושאינו פוגע בפרטיותו של הלקוח, במקומות בהם ניתן לעשות כן – פסאודונימיזציה.
קציני הגנת פרטיות
עד היום, אוספי המידע היו צריכים לדווח על פעילותם לרשות מקומית, שלצרכים בינלאומיים מתברר כסיוט בירוקרטי בגלל שלרוב המדינות השייכות לאיחוד האירופאי, יש דרישות ומחויבויות שונות בנוגע לדיווחים. מרגע שהחוק
GDPR יכנס לתוקף, הבירוקרטיה תיעלם. אוספי המידע לא יצטרכו להגיש בקשות לדיווח, לחכות לאישורים לגבי העברות וכדומה. במקום, יהיה תיעוד חובה פנימי, שעליו יהיה ממונה קצין הגנת הפרטיות. החיוב לאחזקת/העסקה של קצין הגנת פרטיות יהיה בגדר חובה לחברות ולעסקים שיאספו/יעבדו מידע ושפעילותם השגרתית תצריך מעקב רציף וסיסטמתי של יחידים בסדר גודל גדול (חברות/עסקים שאוספים הרבה מידע על הרבה יחידים) או יחידים בעלי מידע אישי מקטגוריות מסוימות כמו, הרשעות ומידע פוגעני.
הפרמטרים שדרוש אליהם קצין הגנת פרטיות:
● חייב להיות מקצועי בתחומו, מומחה בחוקי אבטחת מידע וידע מעשי בתחום.
● יכול להיות עובד קיים או מועסק חיצוני
● פרטי ההתקשרות שלו/ה חייב להיות מסופק לרשות המקומית הרלוונטית
● חייב להקצות לו/ה את המשאבים הנדרשים כדי לבצע את עבודתו/ה מתוך התייחסות למקצועיות (לא מעגלים פינות אם זה יותר זול)
● כפוף ומדווח אך ורק לדרגה הכי בכירה בארגון.
● אסור להקצות לו/ה משימות אחרות/נוספות שעלולות לגרום לניגוד עניינים
מסתמן שעתיד הפרטיות שלנו הולך להיות ורוד במעט, אך הנושא רחוק מלהיות מושלם. לאחר תחילת אכיפתו, סביר להניח שיהיו חברות שלא יספיקו ליישר קו, בקשות למחיקת מידע על-ידי מסה של יחידים שעלולה לגרום לחברה, שכל מטרתה הוא איסוף מידע, לאבד מערכה וכמובן שיצוצו עוד סוגיות ומכשולים רבים ומורכבים בהמשך הדרך.
חשוב להוסיף כי קצין ההגנה על הפרטיות הינה פונקציה נפרדת לחלוטין מקצין אבטחת מידע ומדובר בתפקיד שונה וחדש.