2020 תיזכר כשנת הקורונה ושנת "הבריאות לפני הכל", לרבות על חשבון הגנת הפרטיות. בשל המגיפה, יותר ויותר אנשים נותרו בביתם, המאושרים בינהם עובדים מרחוק והפחות מאושרים מחוברים לעולם דרך צינור החמצן שמספק האינטרנט. דבר שבה בעת, הופך אותם רגישים יותר לפגיעה באבטחת המידע ובפרטיות המידע שלהם.
אך גם לפני משבר הקורונה, נושא הגנת הפרטיות הינו אחד מהנושאים המרכזיים שהעולם העסקי נדרש היה לעסוק בו בשנה זו.
בשנת 2018 פירסם האיחוד האירופי את התקנות הכלליות להגנת המידע (GDPR) וזו למעשה היתה הפעם הראשונה בה נקבעו הוראות משפטיות הנוגעות לטריטוריה כה נרחבת בהקשר להגנת הפרטיות. הוראות אלה קבעו כי 28 מדינות מרחבי אירופה יתנהלו לפי אותו סט של תקנות, וכן באפשרותן יהיה להטיל קנסות כבדים אם תתרחש הפרה של התקנות.
תקנות אלו הדגישו את מה שנראה ברור מאליו: "המידע שלי הוא שלי, רק שלי, ולא של אף אחד אחר".
תחילתה של "ההתעוררות " הגלובאלית
בתחילה, מעט מאוד ארגונים לקחו את הנושא ברצינות. כך שב-2019, פחות מ-60% מהאירופאים ידעו כי קיים חוק אשר נקרא GDPR.
בחלוף הזמן, קנסות כבדים הוטלו על ארגונים קטנים כגדולים. גוגל למשל, נקנסה ב-50 מיליון יורו בשל כך שלא הבהירה בצורה שאינה משתמעת לשתי פנים מדוע היא אוספת עלינו את המידע, ומה היא עושה אתו.
ארגונים ברחבי העולם החלו "להתעורר" ולשים להם יעד להיות "תואמי GDPR". אך אז גילו להפתעתם, שאי אפשר לעמוד ביעד זה בשיטת "זבנג וגמרנו". צריך לבצע התאמה של הארגון לדרישות החוק במישרים שונים – במישור הארגוני, במישור תהליכי העבודה והטכנולוגיות. יתרה מזאת, נדרש לאמץ תהליכי עבודה שוטפים על מנת לתחזק את העמידה בתקנות.
מדינות שונות באירופה אמצו את ה-GDPR, אך הרחיבו את הדרישות מעבר לאלה המופיעות בחוק הבסיסי.
גם מדינות מחוץ לאירופה פיתחו או הרחיבו חוקים ותקנות משלהן בתחום הגנת המידע. חלקם מתבססים על ה-GDPR ככתבו וכלשונו כמעט, כמו, למשל, ברזיל. חלקם מעדכנים חוקים ותיקים, כמו ישראל (חוק הגנת הפרטיות הישראלי נחקק ב-1981), וחלקם לוקחים דרך עצמאית.
מעוניינים בדוגמאות? בבקשה.
- בנוסף לתקנות ה-GDPR חוקקה בלגיה סט של תקנות שמטרתן להבהיר ולהרחיב את התקנות הגלובאלית, כמו למשל תקנה העוסקת במצלמות מעקב. כך עשו גם בולגריה, פינלנד, הולנד, פולין, פורטוגל צרפת וגרמניה, אשר שתי האחרונות הן המחמירות מכולן.
- קנדה הינה מכבר אבירת הפרטיות. (הרבה אחרניו, אל מי סופר) – היא חוקקה את חוק ה-PIPEDA בשנת 2000 ועדכנה אותו ב-2019. החוק לא מרשה להוציא מידע רגיש מחוץ לגבולותיה, אפילו לא לשכנתה ארה"ב.
- הונג-קונג חוקקה חוק משלה ב-1995 בשם POPO. חוק זה מתבסס על המלצות OECD מ-1980 והוא כולל התייחסות לנושאים כגון: מטרת איסוף המידע, דיוקו ומחיקתו כשאין בו צורך, אבטחת המידע, ובקרת הגישה אליו. דומה אך שונה מידידנו ה-GDPR.
- בקליפורניה נכנס לתוקף בימים אלה חוק המכונה CCPA שמתייחס לחלק מן הנושאים ש-GDPR מתייחס אליהם ואף מרחיב חלק מהם. במקביל, ועדת הסחר הפדראלית (FTC) פועלת לאכיפת השמירה על הפרטיות ואף מטילה קנסות כבדים על הפוגעים בזכות זו.
- גם במדינות כמו טורקיה ורוסיה, מעוז הפרטיות, חוקים ייחודיים בנושא הגנת הפרטיות.
כיצד ניתן להתמודד עם מגוון התקנות מרחבי העולם?
בסיטואציה הנוכחית, לא פלא שארגון המפיץ את מרכולתו או תורתו למספר מדינות בעולם, יתקשה להבין כיצד להתמודד עם מגוון התקנות וכיצד עליו להניע תהליך מותאם לכל החוקים האלה יחדיו.
פירמת הייעוץ הבינלאומית, BDO, הכוללת 1,800 משרדים ב-167 ארצות ולה כ-90,000 עובדים,הקימה גוף ייעוץ המתמחה בהיבטים הגלובאליים של הגנת המידע והפרטיות. גוף זה מונה למעלה מ-600 אנשי מקצוע, אשר בינהם; מומחי תהליכים, ניהול סיכונים, טכנולוגיה ומשפט.
גוף זה עובד בהרמוניה מלאה ועל ידי כך, מציע ללקוחותיו יעוץ רב תחומי תוך הבנה מלאה של מרבית החוקים והתקנות הקיימים בעולם בתחום זה.
גלעד ירון, ראש חטיבת הגנת הפרטיות במרכז הגנת הסייבר של BDO ישראל, והצוות הגלובאלי של הפירמה, פיתחו נייר עמדה - פרטיות 2020 – בו ניתחו חוקים ותקנות מ-26 טריטוריות, תוך סיכום עיקרי הדברים והתובנות שנלמדו מתוך העבודה בשטח.
מסמך זה יכול להוות מורה נבוכים ונקודת פתיחה לכל גוף העובד במרחב הבינלאומי.
גלעד וצוותו עומדים לרשותכם והם ישמחו לסייע לכם לצעוד במסלול מורכב זה, תוך מינימום הפרעה לפעילות השוטפת של הארגון.
למסמך המלא >>
ליצירת קשר עם המומחים שלנו >>