מומחים: הGDPR וחוק הגנת הפרטיות בישראל - כשלו
עמי רוחקס דומבה
| 26/05/2020
עו"ד אלה טבת. צילום: אסנת רום
בעולם מציינים שנתיים לכניסת תקנות GDPR. כידוע, הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד. גרג דיי, סגן נשיא ו-CSO בפאלו אלטו נטוורקס באירופה, המזרח התיכון ואפריקה (EMEA) מסביר כי "הציות לתקנות GDPR חווה התרופפות כפועל יוצא של משבר הקורונה. מעט ארגונים יודעים באמת היכן הנתונים שלהם נמצאים בענן ולמי יש גישה אליהם."
"המעבר המיידי של ארגונים לשיטות עבודה מקוונות, כאשר כמעט כולנו נאלצנו לעבוד מהבית, פירושו שעקרונות הביטחון והפרטיות נדרשו להסתגל במהירות לשינוי משמעותי. אחת הדאגות העיקריות היא שהמטרה ה"חינוכית" של התקנות כנראה אבדה. נראה שאנחנו מפספסים את ההזדמנות לעזור לארגונים ללמוד מהטעויות שלהם – עבורי זה היה אחד הדברים החיוביים ביותר בתקנות.
"GDPR תוכנן לספק מפת דרכים לשיפור מתמיד ביישום עקרונות הפרטיות והביטחון של הארגונים. אבל אינני חושב שעד היום הוקם מאגר בינלאומי כלשהו שבו ארגונים מכל הגדלים יכולים לטעות שלא במתכוון בעניין הזה – ואיך להימנע מהן. אני סבור שארגונים יברכו הסבר מפורט בנושא, במיוחד במשבר הנוכחי."
רצוי: התאמת עקרונות הGDPR
עוד הוסיף דיי כי שנתיים זה המון זמן במונחי טכנולוגיה. "יש צורך לבחון מחדש כיצד עקרונות GDPR חלים על טכנולוגיות חדשות. יתרה מכך, יישום התקנות במדינות החברות באיחוד השתנה ממדינה למדינה עם כל התפתחות וצריך לוודא שברור לכולם כיצד GDPR חל תוך שינויים טכנולוגיים גדולים", אמר דיי.
"לדוגמא, מאז כניסתו לתוקף של הGDPR, ארגונים רבים עברו לענן. נשאלת השאלה, כיצד חלות התקנות כאשר נתונים זורמים לענן בהיקפים כה גדולים? כיצד נתעד את הסיכונים הספציפיים והפערים הנלווים לכך? מה שמדהים אותי הוא כמה מעט ארגונים יודעים באמת היכן הנתונים שלהם נמצאים בענן ולמי יש גישה אליהם. עבור רבים, הקורונה האיצה את התהליך הזה, ואתגרה את המוכנות של צוותי האבטחה בגלל שינוי סדרי עדיפויות וכוח עבודה מבוזר יותר.
"אני סבור שיש להחיל את כל התקנות הקיימות, ביניהן GDPR, על טכנולוגיות מתפתחות, כמו אלה של רשתות 5G שיושקו בקרוב. אנו רק כעת מתחילים להבין מהי הנורמליות החדשה. אך גם ללא קשר למצב הנוכחי, עלינו להבין שארגונים מוכרחים להמשיך ולפתח את תאימות ה-GDPR שלהם בדרך של שיפור פרטיות ואבטחה מתמשכת, כדי להגן על החברות והכלכלות המקוונות."
חוק הגנת פרטיות חדש
גורם נוסף שהתייחס לאכיפת הGDPR היא עו"ד אלה טבת, ראש מחלקת קניין רוחני ו-GDPR בגרוס GKH. "תקנות הGDPR חיזקו את מעמדה של הזכות לפרטיות והיו יריית הפתיחה של השינוי בדרך בה מדינות רבות תופסות את קונספט ההגנה על מידע אישי", אומרת טבת. "מאז, החל אפקט דומינו, מדינות רבות מאמצות חוקי הגנת פרטיות השואבים השראה מהסטנדרט שהציבו התקנות. חברות רבות עם נוכחות גלובלית נדרשות גם הן להיערך לציות למגוון רחב של חוקים ותקנות, אשר לעתים כוללים דרישות ומגבלות שונות.
"כעת, משהוקמה ממשלה בישראל, ולאור חסרונותיו הברורים של חוק הגנת הפרטיות בישראל - אשר נחקק לפני כ-40 שנה שנחשפו ביתר שאת במהלך משבר הקורונה, רצוי שמדינת ישראל תיישר גם היא קו. זאת, באמצעות חקיקת חוק הגנת הפרטיות חדש אשר יסייע בהתמודדות עם אתגרי הפרטיות המודרניים."
עו"ד אלה טבת. צילום: אסנת רום
בעולם מציינים שנתיים לכניסת תקנות GDPR. כידוע, הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד. גרג דיי, סגן נשיא ו-CSO בפאלו אלטו נטוורקס באירופה, המזרח התיכון ואפריקה (EMEA) מסביר כי "הציות לתקנות GDPR חווה התרופפות כפועל יוצא של משבר הקורונה. מעט ארגונים יודעים באמת היכן הנתונים שלהם נמצאים בענן ולמי יש גישה אליהם."
"המעבר המיידי של ארגונים לשיטות עבודה מקוונות, כאשר כמעט כולנו נאלצנו לעבוד מהבית, פירושו שעקרונות הביטחון והפרטיות נדרשו להסתגל במהירות לשינוי משמעותי. אחת הדאגות העיקריות היא שהמטרה ה"חינוכית" של התקנות כנראה אבדה. נראה שאנחנו מפספסים את ההזדמנות לעזור לארגונים ללמוד מהטעויות שלהם – עבורי זה היה אחד הדברים החיוביים ביותר בתקנות.
"GDPR תוכנן לספק מפת דרכים לשיפור מתמיד ביישום עקרונות הפרטיות והביטחון של הארגונים. אבל אינני חושב שעד היום הוקם מאגר בינלאומי כלשהו שבו ארגונים מכל הגדלים יכולים לטעות שלא במתכוון בעניין הזה – ואיך להימנע מהן. אני סבור שארגונים יברכו הסבר מפורט בנושא, במיוחד במשבר הנוכחי."
רצוי: התאמת עקרונות הGDPR
עוד הוסיף דיי כי שנתיים זה המון זמן במונחי טכנולוגיה. "יש צורך לבחון מחדש כיצד עקרונות GDPR חלים על טכנולוגיות חדשות. יתרה מכך, יישום התקנות במדינות החברות באיחוד השתנה ממדינה למדינה עם כל התפתחות וצריך לוודא שברור לכולם כיצד GDPR חל תוך שינויים טכנולוגיים גדולים", אמר דיי.
"לדוגמא, מאז כניסתו לתוקף של הGDPR, ארגונים רבים עברו לענן. נשאלת השאלה, כיצד חלות התקנות כאשר נתונים זורמים לענן בהיקפים כה גדולים? כיצד נתעד את הסיכונים הספציפיים והפערים הנלווים לכך? מה שמדהים אותי הוא כמה מעט ארגונים יודעים באמת היכן הנתונים שלהם נמצאים בענן ולמי יש גישה אליהם. עבור רבים, הקורונה האיצה את התהליך הזה, ואתגרה את המוכנות של צוותי האבטחה בגלל שינוי סדרי עדיפויות וכוח עבודה מבוזר יותר.
"אני סבור שיש להחיל את כל התקנות הקיימות, ביניהן GDPR, על טכנולוגיות מתפתחות, כמו אלה של רשתות 5G שיושקו בקרוב. אנו רק כעת מתחילים להבין מהי הנורמליות החדשה. אך גם ללא קשר למצב הנוכחי, עלינו להבין שארגונים מוכרחים להמשיך ולפתח את תאימות ה-GDPR שלהם בדרך של שיפור פרטיות ואבטחה מתמשכת, כדי להגן על החברות והכלכלות המקוונות."
חוק הגנת פרטיות חדש
גורם נוסף שהתייחס לאכיפת הGDPR היא עו"ד אלה טבת, ראש מחלקת קניין רוחני ו-GDPR בגרוס GKH. "תקנות הGDPR חיזקו את מעמדה של הזכות לפרטיות והיו יריית הפתיחה של השינוי בדרך בה מדינות רבות תופסות את קונספט ההגנה על מידע אישי", אומרת טבת. "מאז, החל אפקט דומינו, מדינות רבות מאמצות חוקי הגנת פרטיות השואבים השראה מהסטנדרט שהציבו התקנות. חברות רבות עם נוכחות גלובלית נדרשות גם הן להיערך לציות למגוון רחב של חוקים ותקנות, אשר לעתים כוללים דרישות ומגבלות שונות.
"כעת, משהוקמה ממשלה בישראל, ולאור חסרונותיו הברורים של חוק הגנת הפרטיות בישראל - אשר נחקק לפני כ-40 שנה שנחשפו ביתר שאת במהלך משבר הקורונה, רצוי שמדינת ישראל תיישר גם היא קו. זאת, באמצעות חקיקת חוק הגנת הפרטיות חדש אשר יסייע בהתמודדות עם אתגרי הפרטיות המודרניים."
