גופים רבים במשק עסוקים בימים אלו, בצדק, בשאלה אם תקנות הגנת המידע האירופאיות החדשות (GDPR) יחולו גם עליהם. השאלה הזו מטרידה גופים אלו לאור השלכות הרוחב הגדולות שיכולות להיות לתחולת התקנות, עם כניסתן לתוקף בחודש מאי 2018.
תקנות הגנת המידע האירופאיות ("General Data Protection Regulation- GDPR") – יוחלו ויאכפו על-ידי האיחוד האירופי, ובאות להחליף את חוקי הפרטיות הקיימים במדינות החברות באיחוד, ואת החקיקה הקודמת בנושא. מה לכך ולמשק הישראלי, אם כך?
הוראות ה- GDPR מרחיבות את תחולתן באופן משמעותי גם על גופים המצויים אל מחוץ לאיחוד האירופי, אם גוף מסוים (המצוי מחוץ לאיחוד) אוסף, מנהל, מחזיק או מעבד מידע אישי אודות תושבי האיחוד, עוסק באספקת שירותים או מוצרים לשוק האירופאי, בעל נוכחות באיחוד, אף שיווקית, או יוצר פרופילים התנהגותיים על תושבי האיחוד, עוקב אחר דפוסי גלישה או התנהגות של תושבי האיחוד, ועוד.
בנוסף לכך, יותר ויותר חברות אירופאיות העובדות מול גופים בארץ מעלות באופן גובר דרישות מגופים אלו להתאים עצמם להוראות התקנות האירופאיות או להתחייב כי הם עומדים בהן, על מנת שהחברות האירופיות לא יתפסו חלילה בהפרת הוראות ה- GDPR – הפרה העלולה לעלות להן ביוקר. ארגונים שייתפסו כמפרים, עלולים להיחשף לקנסות מנהליים של עשרות מיליוני אירו או אחוזים ניכרים מהמחזר השנתי שלהם. ברי, כי ארגון המצוי תחת תחולת ה- GDPR ואשר לא יערך כראוי לכניסתן לתוקף החל מחודש מאי הקרוב, לא מסתכן רק בפגיעה תדמיתית, אלא בסיכון כלכלי ממשי.
כניסתו של ארגון מסוים תחת תחולת התקנות האירופאיות תשית עליו עלויות כבדות ותצריך משאבים כלכליים, טכנולוגיים וארגוניים כבדי משקל, ועשויה גם להגביל או לשנות את היכולת או האופן בו הוא אוסף, שומר או מעבד מידע אישי במהלך עסקיו השוטפים; שינוי או החלפת טכנולוגיות אבטחת מידע; הטמעת עקרונות ונהלים מחמירים לשמירה על פרטיות ועוד.
עם זאת, הGDPR איננו רק עול, אלא גם הזדמנות. בתקופה הבוערת הזו, בעזרת תכנון נכון, ארכיטקטורה נכונה של סוגיית הפרטיות והשיווק שלה, ניתן לבנות את אמון הלקוחות, לייצר מוניטין ולהגדיל את ערך החברה. המידע הוא אמנם משאב חשוב, אך הלקוחות הם הנכס.
כניסתן לתוקף של תקנות הגנת הפרטיות האירופאיות תוזמנה, במקרה בלבד, לאותו מועד בו יכנסו לתוקף גם תקנות אבטחת המידע הישראליות החדשות – חודש מאי 2018. תקנות אבטחת המידע ממילא מעלות דרישות חדשות ומתקדמות מגופים בארץ – בהתאם לרמות האבטחה אשר תחולנה לגבי כל גוף, כפי שנקבעו בתקנות הישראליות, אשר בחלקן אף חופפות את הדרישות בתקנות האירופאיות. אך גוף שיירצה להתאים עצמו גם לתקנות האירופאיות, יידרש למאמץ נוסף, לא קטן. מכאן הצורך בהיערכות ובבחינת היקף התחולה של התקנות האירופאיות על כך גוף, בנפרד מההיערכות הנדרשת ממילא על בסיס תקנות האבטחה הישראליות.
עיון בתקנות הגנת המידע האירופאיות מגלה מסמך שמצליח להדביק, משפטית, את הקדמה הטכנולוגית בתחום ונותן, בתוך כך, מענה למצבים רבים שלא היה להם מענה עד היום, כמו שאלת התנאים בהם מידע שנהפך לאנונימי אכן ייחשב ככזה, נושא שמעסיק את כל הגופים שעושים שימוש בתגיות ברשת (קוקיז) לצורך אבחון הגולש (פרופיילינג) לטובת שימושים שונים בהמשך לכך; שאלת האחיזה במידע, במקום בו צרכן עוזב את החברה עימה עבד ומבקש לנייד את המידע שנאסף עליו למקום אחר ונושאים חשובים נוספים. צפויות כמובן לא מעט התנגשויות בין החוק לטכנולוגיה, כמו סוגיית הזכות להישכח אל מול עולם הגיבויים.
המעבר על התקנות האירופאיות, ההתרשמות מהיקפן ומהדרישות שהן מעלות והפער שקיים ביניהן לבין מצב החקיקה בארץ, לא יכול להשאיר את מי שנחשף אליהן אדיש. השאלה שעולה בסופו של דבר היא, למה לאירופאים יש ולנו עדיין אין חקיקה שמסדירה בצורה ברורה כל כך את המצב הטכנולוגי הקיים.
חוק הגנת הפרטיות הישראלי חוקק ב-1981. החוק שונה באופן רציני לאחרונה רק ב-1996. אין ספק שהגיעה השעה שגם המחוקק הישראלי יתעורר ויסדיר בחקיקה עדכני את השימושים השונים שנעשים במידע האישי.
