מדוע תקנות ה-GDPR האירופאיות מהפכניות? עבר זמנו של ניהול מידע שאנן וחסר דאגות
מאת:
שושי ליבוביץ, 20.6.18, 11:32
בתחילה, חברות רבות האמינו, שמשטר שטחי של עדכונים יספיק. טעות גדולה! ה-GDPR דורש אנליזה אינטנסיבית של טווח רחב של ניואנסים. ארגונים ועסקים, שמתעלמים מדרישות ה-GDPR לעיבוד מידע הוגן, שקוף ואחראי, יסבלו מפגיעה פיננסית קשה ומהשפעה הרסנית למוניטין.
תקנות ה-
GDPR האירופאיות להגנה על פרטיות המידע מהוות את החקיקה המלאה והמקיפה ביותר מסוגה עד עתה בעולם. בבסיסה הנחת היסוד הקובעת, שהמידע הפרטי של אזרחים אינו נכס בבעלותם של ארגונים ואינו עומד לשימוש שלהם כשהדבר מתאים לצרכיהם. עכשיו המידע של האזרחים הוא הרכוש הפרטי שלהם והוא עומד לשיתוף רק כשהם מעוניינים בכך.
הגורם החשוב ביותר כיום שייקבע מי מהארגונים יוכתר למלך בשוק הוא אמינות בשימוש במידע. כל ארגון שמנהל עסקים מול האיחוד האירופי או אזרחיו מושפע. ככל שצרכנים מביני עניין יעמדו על זכויותיהם החדשות, אלה, שנכשלים לאמץ את הרגולציות ולעמוד בהן, יהפכו בקרוב למיותרים ויימוגו מהשוק.
בתחילה, חברות רבות האמינו, שמשטר שטחי של עדכונים יספיק. טעות גדולה. ה-
GDPR דורש אנליזה אינטנסיבית של טווח רחב של ניואנסים, כמו בסיס חוקי לאיסוף מידע, אופי ההסכמה והזכות להישכח. ארגונים חייבים לתכנן מחדש את מדיניות המידע שלהם כדי להפוך למנהלי מידע ברמה עולמית ולספק שקיפות בכל מצב.
ישנה גם דרישה לדווח על פריצות למידע לרגולטור בתוך 72 שעות, ללא קשר אם הנפגע הוא עובד או לקוח. הדיווח כולל את אופי הפריצה, ההשפעה האפשרית על הפרטיות של הגורמים שנפגעו, פרטי קשר של מנהלים האחראיים על המידע ואמצעים, שיינקטו ע"י החברה כדי לטפל במצב.
למרות הגישה התקיפה הנוכחית של ה-
GDPR, ישנם עדיין ארגונים הנאבקים כדי להשליט סדר בבית.
בסקר, שנערך בפברואר 2018 ע"י מומחי חקיקה ב-
GDPR Institute, כ-42% מהעסקים דווחו, שהיענות לרגולציה תיקח יותר מ-12 חודשים. בנוסף, 38% היו בספק, שיענו לדרישות הרגולציה עד 25.5.18, מועד בו נכנסו לתוקף הרגולציות החדשות.
על פי ה-
GDPR Institute, כ-52% מהארגונים מוצאים, שניהול מידע הוא כאב הראש הגדול ביותר. לרבים, זאת תהיה הפעם הראשונה, שבה הם יזהו במדויק את כל המידע השמור אצלם, הן של לקוחות והן של חברי צוות פנימיים. הגורם המרכזי בתהליך הזה הוא הגדרת החוקיות של הבעלות על המידע, תהליך איסופו והשימוש בו.
נתוני ה-
GDPR Institute גם מדגישים את המורכבות בכרוכה בהבטחה, שכל מערכות החברה יכולות להתמודד. 48% מהעסקים הנסקרים הצביעו על הסיוט הלוגיסטי הכרוך באישור המוכנות ל-
GDPR לכל תהליך, פיסת תוכנה, חוזה, צד שלישי וכד'. אתגרים נוספים חשובים כוללים אנליזת מידע ותוכן (
44%), הבנה של אחסון המידע (28%) וניהול הסכמה (24%).
בראש סדר העדיפות של כל עסק, שמשיג ומעבד מידע של לקוח, נמצא סטטוס ההגנה שלו יחסית ל-
GDPR. הדבר דורש יכולת ציות לגופי הפיקוח, כולל בסיס חוקי ברור להשגת מידע,
DPIA/PIA עדכני, רשימת פעילות עיבוד מנדטורית ומדיניות מפורטת לעובדים או לצוות המצביעה על עקביות חוקתית.
בכל זמן נתון, ארגונים חייבים להיות מסוגלים לפרט לפרטי פרטים, אם יידרשו, כולל הוכחת פרוצדורות
DSAR (
Data Subject Access Request), פרטי קצין הגנת המידע (
DPO), נוהלי פריצה ולוחות זמנים להודעה וכמו גם פתרונות אבטחת מידע וניטור.
האחרונים במיוחד חשובים. המידע, שמצפים מהחברות להגן עליו, הופך קשה יותר לניטור ולמעקב ככל שכוח העבודה הופך נייד יותר וכזה המתבסס על ענן ויישומים. לדוגמה, חברות, שמבקשות לאחסן מידע בענן, צריכות לשמור על בעלות ושליטה על המידע, לענות על סוגיות של ניהול מדיניות ולפרוס פתרונות הצפנה כדי לוודא, שרק החברה המפקחת יכולה לפתוח את הקבצים הרלוונטיים.
ארגונים, שמתעלמים מדרישות ה-
GDPR לעיבוד מידע הוגן, שקוף ואחראי, יסבלו מפגיעה פיננסית קשה ומהשפעה הרסנית למוניטין.
הרוב כבר מקבלים את העובדה, שה
GDPR- היא חקיקה עם שיניים. אם הכישלון הוא משמעותי ואם יש כוונה לזילות, הרגולטור יעצור כל עיבוד מידע, יקנוס ויסגור את העסק בפועל. ייתכן גם גזר דין של מאסר אם נמצאת הזנחה מצד ההנהלה הבכירה.
הקנסות משתנים ותלויים בגורמים שונים דוגמת דרגת כישלון, היסטוריה של עמידה בדרישות, רמות חשיפה, סיכון לגורמים, שהמידע שלהם נחשף, מספר האנשים, שהמידע שלהם נחשף וסוג המידע. עונשים נעים בין אזהרות ואכיפת פרוצדורות תיקון ועד לקנסות המגיעים ל-2%-4% מהמחזור השנתי או 10-20 מיליון אירו, הסכום הגדול ביניהם.
מאת: שושי ליבוביץ, יוני 2018.
מנהלת פעילות F5 ביוון, טורקיה וישראל.