המדריך המלא מבית Y&A לרגולציית ה-GDPR הגדולה

פורסם ב: 05/06/19 מאת: יובל בר אור Mobile

בשפה פשוטה ותמציתית,Y&A יצרה עבורכם רשימה של 11 נקודות חשובות וצעדים שהארגון שלך צריך לנקוט כדי להיערך לקראת רגולציית ה-GDPR שתחול מה-25.5.2018.

אם הארגון שלך משתמש במאגרי נתונים מכל סוג שהוא, בעקבות רגולציית ה-GDPR ההתנהלות הארגונית תהיה חייבת להשתנות בשביל לעמוד בתקנות האירופאיות המחמירות החדשות. עמידה בתנאי הרגולציה תדרוש מהארגון לבחון את גישתו להגנה על המידע ולשים את הנושא בראש סדר העדיפויות הארגוני. ייתכן שתצטרכו, למשל, ליצור נהלים חדשים עבור טיפול בשקיפות ובזכויות הפרט. בארגונים גדולים יש לכך משמעויות רבות מבחינת תקציב, כוח אדם והתנהלות פנים-ארגונית.

הנה 11 נקודות מרכזיות שחשוב לקחת בחשבון כשמתנהלים אל מול הרגולצייה. האם כבר סימנתם 'וי' על כולן?

עסקים בארץ אל מול ה-GDPR- אז...האם הרגולציה תקפה גם על הארגון שלי?

ה-GDPR הוא מסמך אירופאי ולכן לכאורה אין לו משמעות עבור חברות ישראליות, אך כמובן שזהו אינו המצב. ה-GDPR חל על כל חברה האוספת כל סוג של מידע על אזרחים או תושבים באיחוד האירופי, ואף על חברות שמעסיקות עובד שרשום במערכת שלהן ומתגורר באיחוד האירופי. מדינת ישראל מוכרת ע"י האיחוד האירופי החל מ-2011 כמדינה העומדת בסטנדרט האירופי לשמירה על הפרטיות, ובכך עלינו לעמוד גם ברגולציית ה-GDPR.

למעשה, חברות ישראליות רבות מתארגנות לקראת השינוי כבר חודשים ארוכים, בשביל להמנע מהקנסות הכבדים שמוטלים על כל מי שאינו עומד בתקן הנוקשה. אם טרם התחלתם להתאים את עצמכם אל הרגולציה, אנחנו ב-Y&A ממליצים בחום להתחיל לצעוד בכיוון ולבדוק אם ואיך עליכם להתאים את עצמכם אל התקן החדש.

מודעות - האם כל אנשי המפתח מבינים את הרגולציה ואת ההשלכות שלה?

יש לוודא שמקבלי ההחלטות ואנשי המפתח בארגון מודעים לשינוי בחוקי ה-GDPR. כל הנוגעים בדבר צריכים להבין את ההשלכות של הרגולציה ושל ההפרות שלה ולהבין באילו תחומים שבאחריותם עלולות להיות בעיות בהקשר הזה. הטמעת התהליך עשויה לדרוש משאבים, בייחוד עבור ארגונים גדולים, אך היא הכרחית בשביל ליצור המשכיות והתנהלות נכונה בנושאים הקשורים לרגולציה.

תיעוד המידע - האם כל דבר הנוגע למידע מתועד בצורה מסודרת המאפשרת גישה אליה בכל זמן נתון?

לפי התקנות החדשות, הארגון חייב לתעד את המידע שבשרותו, מה מקור המידע ועם מי הוא משותף. בארגונים גדולים מאד, ייתכן שיהיה צורך למנות אדם שתפקידו הבלעדי הוא תיעוד כל המידע שיש ברשות הארגון ואבטחתו. לפי הרגולציה, כל ארגון חייב להיות מסוגל לספק את המידע הנצבר במידה ונושא המידע, שהוא האדם עליו אתם אוספים את הפרטים, יבקש את ההסרה.

אם לדעתך צפויות הרבה בקשות כאלו, כדאי לשקול ליצור הליך אוטומטי בשביל לקצר תהליכים בהמשך. חשוב – יש ליצור פורמט מובנה שבו המידע יסופק לפי הסטנדרט הנדרש לפי ה-GDPR. זה לא יכול להיות תהליך מאולתר, ועצם הגשת המידע חייבת להיות מתועדת אף היא.

עדכון מדיניות הפרטיות - האם מדיניות הפרטיות עומדת בתקנות הרגולציה החדשות?

יש לעבור על מדיניות הפרטיות הקיימת ולשנות אותה בהתאם לשינויים הנדרשים בעקבות רגולציית ה-GDPR. לדוגמא, אחד השינויים הנדרשים הוא החובה להסביר את הבסיס החוקי לשמירת הנתונים בארגון ולמשך הזמן שבו ניתן לעשות בהם שימוש. חשוב לשים לב שתקנות ה-GDPR מחייבות שהמידע יספוק בשפה תמציתית, קלה להבנה וברורה לכל. זה הזמן לוודא שלארגון יש פורמט נוח וברור למדיניות הפרטיות המעודכנת, ושניתן לספק אותה במהירות לכל דורש.

זכויות הפרט - האם כל התהליכים בארגון מקיימים את כל זכויות הפרט הנדרשות?

זה הזמן לבדוק האם הארגון שלך ערוך לרגולציה: איך היית מגיב אם מישהו מבקש מאחת המחלקות לתקן או למחוק את הפרטים שלו לצמיתות? האם המערכות שלך יסייעו לך באיתור ובמחיקת הנתונים? האם המחיקה היא גורפת? מי יקבל את ההחלטות בנוגע למחיקת הנתונים? באיזה פורמט תספקו לגולשים שלכם את הנתונים אם יבקשו?

הרגולציה מחייבת את הארגון לעמוד בתקנים מחמירים הנוגעים להגנת זכויות הפרט השונות, ביניהן:

הזכות לקבל מידע;
הזכות הגישה;
הזכות לתיקון;
הזכות למחיקת הנתונים;
הזכות להגבלת העיבוד;
הזכות לניידות הנתונים;
הזכות להתנגד ולא להיות כפוף אוטומטית להחלטות גורפות בנוגע למידע האישי;

זה המקום להזכיר שלמשתמשים שלך יש את הזכות להתלונן בפני ה-ICO אם הם חושבים שיש בעייה עם האופן שבו הארגון מטפל בנתונים שלהם. עלייך לבדוק האם כל התהליכים הנ"ל פועלים לפי התקנון החדש ולשקול לבצע שינויים במידה ולא.

חוקיות עיבוד הנתונים - האם ניתן להשתמש בנתונים לאחר האיסוף?

כל ארגון צריך לזהות ולהבין לעומק את הבסיס החוקי לעיבוד הנתונים לפי ה-GDPR. ה-GDPR מאגד בתוכו הרבה מאד שינויים מהותיים תחת הכותרת "עיבוד נתוני גולשים". השינוי הגדול ביותר בתחום עיבוד הנתונים הוא היכולת של אנשים לבקש למחוק את הנתונים שלהם ולהביע אי הסכמה מפורשת להשתמש בפרטיהם לעיבוד הנתונים בהמשך. במילים אחרות, עם כניסת הרגולציה, מתן הפרטים כבר לא מהווה הסכמה לעיבוד הנתונים בהמשך. חשוב להבין את המשמעות החוקית של השימוש בנתונים, ולעדכן את מדיניות הפרטיות שלכם בהתאם.

הסכמה - מהי הסכמה ואיך משיגים אותה?

עליך לתכנן מחדש את הדרך שבה הארגון מבקש ומתעד את הסכמת הגולש למתן ועיבוד הנתונים. ה-ICO הוציאו הנחיות מפורטות בנוגע למתן הסכמה. לפי ה-GDPR, ההסכמה חייבת להינתן בחופשיות, בצורה מושכלת, חד משמעית וספציפית לשימוש שברצונך לעשות עם המידע בהמשך. לא ניתן לפרש הסכמה משתיקה או מחוסר פעילות מצד הגולש. בנוסף, חייבת להיות לנושא המידע אפשרות לסגת מהסכמה בקלות. במילים אחרות, צריכה להיות דרך מפורשת שבה המשתמש יכול לסמן שהוא מעוניין לבטל את ההסכמה שהוא נתן. כדאי לשים לב שאין צורך לעדכן הסכמה שניתנה בעבר, כל עוד השימוש שהארגון עושה במידע תואם גם ל-GDPR, ושמעתה ההסכמה ניתנת כנדרש.

ילדים - האם אתם ערוכים להציע שירותים מקוונים גם עבור ילדים?

אם הארגון שלך מציע שירותים מקוונים לילדים, ויש צורך בהטמעת מערכת אימות גיל המבקשת הסכמה מצד ההורה או אפוטרופוס לכל פעילות עיבוד נתונים. לראשונה, GDPR מספק הגנה על מידע אישי ופרטיותם של ילדים. החשיבות של הצעד הזה היא עצומה, בייחוד בהקשר של רשתות חברתיות שבהן ילדים ונוער פעילים במיוחד.

לפי ה-GDRP, ילד יכול לתת הסכמה לעיבוד נתונים החל מגיל 16 (13 בבריטניה). במקרה ובו הילד צעיר יותר, יש צורך באישור מצד הורה או אופוטרופוס. חשוב לזכור שכיוון שההסכמה חייבת להיות ספציפית ומודעת, מדיניות הפרטיות חייבת להיות כתובה בשפה שהילדים יבינו ולכן לא יכולה להיות מנוסחת באופן מעורפל ומסועף כפי שהיא נכתבת לרוב.

קציני הגנת נתונים (DPO) - מי אחראי בארגון שלך על אכיפת הרגולציה?

ה-GDPR יצר תפקיד חדש שלא היה קיים קודם: קצין הגנת נתונים (נקרא גם DPO).מטרתו של ה-DPO הוא לוודא שיש הלימה לרגולציה והוא נדרש באחד מן המצבים הבאים –

כאשר עיבוד הנתונים האישיים נעשה על ידי גופים ציבוריים
כאשר פעילות הליבה של הארגון מורכבת מפעולות ניטור קבוע ושיטתי של Big Data (נפח הנתונים, מספר נושאי הנתונים, משך העיבוד, ההיקף הגיאוגרפי שלו וכד').
כאשר קיים עיבוד של נתונים רגישים במיוחד (גזע, דת, חיי מין, פלילים וכד').

ה-DPO יכול למלא תפקיד אחר בארגון, אך בשביל למנוע ניגוד עניינים, הוא לא יכול להיות המנכ"ל, סמנכ"ל הכספים, המנמ"ר, מנהל השיווק או מנהל ה-HR. יש חשיבות עליונה להמצאו של DPO בארגון, אך ניתן להיעזר בשירותיו של ספק חיצוני בשביל למלא תפקיד זה. זה המקום לציין כי במידה ולא ממונה DPO, העונש הקבוע לפי ה-GDPR הוא 10 מיליון יורו (או 2% ממחזור החברה, הגבוה מביניהם). מעבר לענישה החמורה, מינוי של DPO הוא הזדמנות מעולה לשדרג את המידע שנצבר עד כה ועל האבטחה שלו – כיוון שאנחנו רק בתחילת דרכה של הרגולציה, אדם כזה יוכל לסייע במקרים הפרטניים של הארגון שלך בהמשך, במידת הצורך.

הגנה על הנתונים - האם אתם מוכנים להתמודד עם איומי סייבר?

לפעמים, ההתקפה הטובה ביותר היא הגנה – ודאו כי הארגון שלכם מוגן בצורה הטובה ביותר מפני מתקפות סייבר ונסו לאתר מראש פרצות אפשריות שיכולות לגרום לדליפה. אם אתם מחזיקים במאגר מידע גדול, אנחנו ב-Y&A ממליצים לשכור שירות של חברה חיצונית לבדיקות קוד וסקירות אבטחה בשביל לוודא שאתם באמת מוגנים בצורה הטובה ביותר. כך תוכלו להגן על פרטיותם של המשתמשים שלכם בצורה המיטבית, ולשם כך, הרי, נתכנסנו.

דליפות מידע - מה עושים אם בכל זאת יש דליפת מידע?

כיום, ארגונים לא כל הארגונים מחוייבים לדווח ל-ICO על דליפות של נתוני משתמשים, ולא כל דליפה חייבת להיות מדווחת.
ה-GDPR מחדד את ההוראה, והחל מסוף החודש כל הארגונים יהיו חייבים להודיע על דליפות מידע, רק אם הן עומדות בקריטריון יחיד: פגיעה בחירויות הפרט. במילים אחרות, אם הדליפה יכולה לגרום לאפליה, נזק למוניטין, הפסד כספי, אובדן סודיות או כל נזק כלכלי או חברתי אחר – יש חובת דיווח ל-ICO בתוך 72 שעות מרגע הדליפה.

ברוב המקרים, יש לדווח על הדליפה לנושא המידע בנוסף.באותו עניין, יש לוודא שקיימים נהלים המאפשרים זיהוי, דיווח וחקירה של כל הפרה או דליפה של המידע הקיים ברשותכם. מומלץ לסווג את סוגי המידע שבידי הארגון בשביל לנטר טוב יותר את הנזק, במידה ויהיה. עונש על אי דיווח מגיע לעשרות מליוני יורו, ולכן מומלץ מאד להישאר עם אצבע על הדופק ולהכיר את החוקים היטב.

לסיכום, הנה הדברים החשובים ביותר שעליכם ליישם לקראת השינוי המתקרב: