חוק ה-GDPR האירופאי וחוק הגנת הפרטיות הישראלי

חוק ה-GDPR האירופאי וחוק הגנת הפרטיות הישראלי

במאי 2018 יכנס לתוקף חוק ה-GDPR, החוק החדש הקובע כללים לשמירה על פרטיות לקוחות שהם אזרחי האיחוד האירופאי, לצד תקנות הגנת הפרטיות הישראליות.

ב-18 במאי 2018 ייכנס לתוקפו חוק הגנת הפרטיות הישראלי המעודכן וב-25 במאי 2018 ייכנס לשלב האכיפה חוק הסייבר האירופי החדש והמחמיר, ה-GDPR. חקיקות אלו מהוות ציון דרך חשוב בכל הנוגע לחוקי ולנהלי אבטחת מידע וסייבר. ה-GDPR, הכולל מנגנוני אכיפה מוגברים וקנסות כבדים על הפרות – עד 4% מהמחזור או 20 מיליון יורו (הסכום הגדול מבין השניים) – חל על כל מי שמחזיק בידיו נתונים של תושבי האיחוד האירופי, ללא קשר למקום מושבו, ולכן הוא ישים לגבי כל בתי העסק בישראל המנהלים עסקים עם מדינות האיחוד: מלונות, סוכנויות נסיעות, חברות הרשומות בישראל ומחזיקות סניפים באחת או יותר ממדינות האיחוד ועוד.

חוק ה-GDPR מגדיר את זכות האדם לפרטיות כזכות יסוד בסיסית וקובע דרישות מינימום בנוגע לשמירת המידע ואבטחתו, וכן קובע הגבלות על הזרמת מידע בינלאומית. החוק מחמיר מאד את הבקרה על השימוש בנתונים האישיים. הכוונה לכל המידע השייך לאדם מסוים, כגון שם, תצלום, כתובת דוא”ל, פרטי בנק, מידע רפואי ואף כתובת IP של מחשבו. החוק מפרט את זכויות האדם הפרטי מול החברה בכל הנוגע למעקב על השימוש הנעשה בנתוניו האישיים.

בין השאר משנה ה-GDPR את חוקי המשחק משום שהוא קובע במפורש כי עבור כל כתובת דוא”ל שעסק מוסיף למאגר הנתונים שלו, הסכמתו של בעל חשבון הדוא”ל להוספת הכתובת ולשימוש בה חייבת להינתן באמצעות “אינדיקציה ספציפית, חד-משמעית, הניתנת ללא כפייה ומדעת בנוגע לרצונו של בעל המידע ושבאמצעותה היא או הוא מציינים הסכמה – על ידי הצהרה או צעד המהווה בבירור תשובה חיובית – לעיבוד הנתונים האישיים שלו או שלה”. במילים אחרות, ממאי 2018 לא יתאפשר לאסוף כתובת דוא”ל של אדם או עסק – ולא כל שכן להשתמש בהם – אלא אם הם העניקו הסכמה מדעת ברורה וספציפית לכך. ולמען הסר ספק מוסיף החוק כי “שתיקה, אי פעולה או תיבות בחירה המסומנות מראש אינן מהוות הסכמה. על ההסכמה לכסות את כל פעולות העיבוד המבוצעות לשם אותה מטרה או אותן מטרות. כאשר העיבוד מיועד למספר מטרות, יש לקבל הסכמה על כל אחת מהן”.

במילים אחרות: בא הקץ לנוהל שבו נתונים נאספים מבלי הסכמה פעילה של הלקוח, ונשמרים לצורך פעילות עתידית. גם אם הלקוח נתן את הסכמתו לאיסוף מידע למטרת שימוש ספציפי, ההסכמה ניתנת לצורך שימוש זה בלבד ולמעשה החברות מחויבות להסיר את המידע לאחר מכן.

בנוסף, חברות המאחסנות את המידע שלהן בענן מחויבות להחזיק בבעלות ולשלוט במידע, לנהל מדיניות אבטחת מידע וליישם פתרונות הצפנה המבטיחים שרק הן יכולות לפענח את הקבצים הרלוונטיים. החמרה נוספת שכולל החוק היא החובה לבצע ניטור אבטחתי שוטף של כל בקרות האבטחה השונות, לרבות דיווח בטווח של 72 שעות לכל היותר (ללקוח ולגורם המנחה) על כל פרצה או דליפת מידע, גם אם לא נגרם מהן כל נזק ללקוחות או לחברה. בכך מובטחת שקיפות מלאה ויכולת מעקב של הרשויות באיחוד האירופי.

עמידה בחוקי ה-GDPR והגנת הפרטיות בעסקים השייכים למגזר התיירות, כגון בתי מלון וסוכנויות נסיעות, הינה משימה מאתגרת במיוחד, בשל הכמות העצומה של מידע לקוחות שעסקים אלו נחשפים אליה. מידע זה יכול לסייע מאוד בתהליכי קבלת החלטות ושיפור ביצועים עסקיים, אך איסופו ואחסונו כרוכים בסיכונים ניכרים בתחומי אבטחת המידע ופרטיות המשתמשים. משום כך יש חשיבות רבה להבנת המידע הנאגר וליכולת להתמקד במידע הרלוונטי בלבד, לנטר את הזרימה שלו ולנתח אותו בהקשר המתאים, וכמובן לשמור על שלושת יעדי אבטחת המידע (CIA): זמינות (Availability), שלמות (Integrity) וסודיות (Confidentiality) של המידע.

עמידה ב-GDPR ובחוק הגנת הפרטיות הישראלי מחייבת שידוד מערכות ארגוני בכל הנוגע לאבטחת המידע, החל בניתוח המצב, דרך גיבוש מדיניות ונהלים לאבטחת מידע עפ”י דרישות הרגולציה וכלה בפרויקטים ייעודיים לעמידה בחוק ה-GDPR כגון מנגנוני הצפנה למידע והטמעת בקרות אבטחה והגנת מידע. עקב מורכבות המשימה, בכל ארגון המחויב לעמוד בהנחיות GDPR יש צורך הכרחי במינוי מנהל הגנת נתונים, DPO,
( Data Privacy Officer) ובמומחה שינהל ויחזק את תחום אבטחת המידע וידע לעבוד גם מול ספקי פתרונות אחסון ואבטחת יישומים, כדי לוודא תמיכה באסטרטגיות אבטחת המידע של החברה. בנוסף, חובה להחדיר את המודעות לאבטחת המידע בקרב כל עובדי החברה ולוודא שאף תהליך עסקי (גיוס עובדים, רכישת ציוד חדש וכו’) אינו כרוך בפרצות אבטחה.

כאמור, ה-GDPR הינו חוק אירופאי אבל חל על כל ארגון בעולם שאחסן ו/או מעבד נתונים אישיים של אזרחי האיחוד האירופאי. מעבר לקנסות, ארגון שאינו פועל על פי החוק החדש עלול למצוא את עצמו מוחרם על ידי איגודים אירופאים, ואף להופיע בדפי אינטרנט המכילים רשימות של אתרים וחברות אשר אינם עומדים בדרישות החוק.

לאיי פי וי סקיוריטי  ניסיון עשיר בניהול אבטחת מידע וסייבר והתאמת ארגונים לרגולציה. חברת איי פי וי סקיוריטי מציעה חבילות שירותים ממוקדים אשר נותנים מענה הן לצורך להקטין את החשיפה לאיומי סייבר והן לנקיטת האמצעים הנדרשים לשם עמידה בדרישות ה-GDPR וחוק הגנת הפרטיות.