בשנת 2018 החלה השתלטות עוינת אירופית על עולם העסקים העולמי. לא הרגשתם אותה? אם החברה שלכם עושה עסקים עם גופים באיחוד האירופי או מתקשרת עם לקוחות מהאיחוד האירופי – סביר שעוד תרגישו. שם הקוד אשר ניתן למבצע ההשתלטות: GDPR ויש לו לכאורה נגיעה לכל דבר הנוגע לאבטחת מידע ושימוש במידע אישי, אבל בפועל יש לו נגיעה לכל פעילות עסקית, בכל מקום בעולם!
ב 25 במאי 2018 נכנסה לתוקף הדירקטיבה האירופאית להגנה על מידע (שמה המלא הינו: The General Data Protection Regulation, אולם כולם מכירים אותה תחת הקיצור: GDPR), אשר הביאה עימה את השינוי המקיף ביותר לדיני אבטחת מידע מזה מספר עשורים ויצרה מהפך אמיתי בדרישות המוטלות על חברות האוספות או מעבדות מידע אישי של אנשים. השינוי המשמעותי ביותר שהביאה הדירקטיבה היא החלת אחריות ישירה ומוחלטת על חברות ואנשים פרטיים האוספים מידע אישי או מעבדים אותו, לשמירה על סודיות המידע האישי שהן אוספות ולהצדיק מבחינה חוקיות את השימוש בו.
הדירקטיבה אימצה קונספט חדש של פרטיות מתוכננת בנוסף על פרטיות כברירת מחדל והפרתה חושפת לקנסות כבדים הנעים בין 20,000 יורו ל 4% מרווחי החברה. כך, השמירה על סודיות המידע צריכה להיות בשקיפות מלאה מול הלקוח וכזו אשר תוכננה מראש באופן פרו-אקטיבי, מובנית לתוך הטכנולוגיה או תהליך איסוף המידע, ומובטחת באופן אוטומטי, כאשר הלקוח נשוא המידע אינו נדרש לעשות כל פעולה נוספת מצידו על מנת להבטיח את אבטחת או סודיות המידע. עוד, העברת מידע לגבי אזרחי האיחוד מחוץ לגבולות האיחוד האירופי מותרת רק למדינה שנבחנה על ידי האיחוד האירופי ונמצאה עומדת בקריטריונים. יתרה מכך, גם ללא העברת מידע מחוץ לגבולות האיחוד האירופי, הדירקטיבה חלה על כל מידע הקשור לאזרחי האיחוד או לחברות הפועלות באיחוד.
במילים אחרות, אם החברה שלכם מוכרת מוצרים או אוספת מידע אישי של אזרחי האיחוד האירופי או מתקשרת בהסכם עם חברה רשומה באיחוד לפיו אתם חשופים למידע של אותה חברה – עליכם לעמוד בכללי הדירקטיבה. למעשה, גם אם החברה שלכם מספקת שירותים ומקבלת מידע רק לגבי אזרחים ישראליים, די שאחד מהם מחזיק במקביל גם באזרחות אירופאית (דבר נפוץ בישראל), כדי להחיל את הדירקטיבה על החברה
רוב החברות הישראליות מתאימות עצמן לחקיקת הפרטיות הישראלית ולתקנות שהותקנו מכוחה ומאמינות שבכך הן מוגנות, אבל אינן מודעות לכך שהחקיקה הישראלית חסרה רבים מהמרכיבים הקיימים בדירקטיבה האירופאית כמו הזכות להישכח, הזכות של אדם לחזור בו מהסכמה שנתן לעיבוד או שימוש במידע אישי שלו או החובה על חברה האוספת מידע להצהיר בפני לקוחותיה על הסיבה החוקית המצדיקה את איסוף המידע מלכתחילה. במקביל, חברות ישראליות רבות מתקשרות עם גופים אירופאים או אזרחים אירופאים ואוספות מידע אישי לגביהם, תוך שאינם מודעות לכך שעמידה בכללים הישראליים אינה מגינה בפני הפרה של כללי הדירקטיבה.
מה אם כך נדרשים ארגונים ישראלים לעשות על מנת לעמוד בדרישות הדירקטיבה? מומלץ להיעזר בעורך דין בעל מומחיות בתחום כדי לייצר תכנית אכיפה פנימית בנושא, לאחר בדיקה ארגונית פנימית על מנת לאבחן איזה מידע אישי אוספת החברה, איזה שימושים נעשים בו, ומה הסיבות החוקיות המצדיקות איסופו וזאת על מנת לקבוע האם הוראות הדירקטיבה חלות. כחלק מתוכנית האכיפה הפנימית יש לאמץ נהלים פנימיים לאבטחת מידע ושמירה על סודיות, לעדכן את מדיניות הפרטיות ותנאי השימוש, לאמץ נוהל שקיפות, לשנות את ההסכמים עם עובדים וקבלני משנה בעלי גישה למידע ולנקוט בכל צעד נדרש אחר כדי למנוע הפרת הדירקטיבה האירופית.