"שולחן עגול" בנושא ה – GDPR

מאת דורון ניב

בחודש יוני, 2019, התקיים במשרדי עורכי הדין גיורא ארדינסט, בן נתן, טולידאנו ושות', בתל אביב, "שולחן עגול" בנושא ה – GDPR.

קורפורט רסורסס גרופ (ישראל) בע"מ, בתוקף עיסוקיה חשופה מדי יום לתקשורת רחבת היקף עם ארצות רבות עם דגש על אירופה ולכן הייתה מודעת לנושא מורכב זה כבר מספר שנים. הבנו שהרבה מאוד חברות ישראליות, גדולות אך ביחוד היותר קטנות, לא לגמרי מודעות לנושא, דבר שעלול לגרום להן ללא כל כוונת זדון להפרת הרגולציה המורכבת והמחמירה של האיחוד האירופי בנושא זה וכתוצאה מכך לשלם קנסות אדירים. חברת גוגל למשל שילמה לשלטונות צרפת קנס של "רק" חמישים מיליון אירו. מדינות האיחוד האירופי מאוד מחויבות לנושא ונמנעות מלהתקשר בעסקות עם מדינות שאינן פועלות עפ"י הרגולציה.

פנינו לעו"ד ליאור אתגר ממשרד גיורא ארדינסט, בן נתן, טולידאנו ושות' לאחר ששמענו אותו בהרצאה מעניינת ומקיפה בנושא והוא יחד עם משרדו ושותפה נוספת, עו"ד מרים קליינברגר-אתר, אכן הרימו לשמחתנו את הכפפה וביחד ארגנו את "השולחן העגול", דיון של שלוש שעות בהשתתפות כ – 25 אנשי/נשות משאבי אנוש ויועצים משפטיים מחברות וגופים גדולים כקטנים כאחד.

General Data Protection Regulation - מדובר באוסף של הוראות מחייבות שהוסדרו ע"י הפרלמנט האירופי ושאר מוסדות האיחוד כדי להגן על נושאי המידע בטריטוריה של האיחוד האירופי בכל הנוגע לעיבוד נתונים אישיים שלהם. הרגולציה מתייחסת לאיסוף, שמירה והעברה של נתונים אישיים של אנשים פרטיים וקובעת כללים אחידים לשמירה על הפרטיות.

-הרגולציה נועדה בעיקר לאפשר לכל תושב האיחור האירופי שליטה על מרבית הפרטים שנאספו אודותיו והרגולציה התקבלה כבר ב – 2016 והפכה לחוק מחייב ב – 25 במאי 2018. יחד עם כניסת ה - GDPR- נכנסה לתוקף החקיקה הישראלית החדשה.

- הנושא מסובך ומורכב, גורם לכאבי ראש גדולים למוסדות רבים הן באיחוד והן מחוץ לו, מעסיק גדודי משפטנים, אנשי משאבי אנוש וכמובן שגם חלקם של אנשי ה - IT אינו נפקד.

- בהרצאתו נגע עו"ד ליאור אתגר במגמות עיקריות בישראל ובעולם שהן: חקיקה ופרשנות מרחיבה של ביהמ"ש ורגולטורים, סטנדרטיזציה חדשה ואכיפה ותביעות אזרחיות.

- במסגרת הנורמטיבית בישראל ישנן הנחיות ייעודיות (לדוג' משרד הבריאות, הפיקוח על הבנקים, אגף

שוק ההון והביטוח, ועוד) המבוססות על הנחיות רשות הגנת הפרטיות ותקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א 2001. המסגרת מבוססת גם על חוק הגנת הפרטיות - התשמ"א 1981, רשות הגנת הפרטיות (לשעבר רמו"ט) ותקנות הגנת הפרטיות - (אבטחת מידע), התשע"ז 2017.

- בהרצאתו ציין עו"ד ליאור אתגר את מדיניות האכיפה של הרשות להגנת הפרטיות הכוללת סנקציות ואכיפה תחת חוק הגנת הפרטיות:

* עבירות אחריות - עד שנת מאסר או קנס מנהלי עד 25,000 ש"ח לכל הפרה.

* פגיעה בפרטיות כעוולה לפי פקודת הנזקין.

* בדין פלילי - פיצויים עונשיים של 50,000 ללא הוכחת נזק, פגיעה בפרטיות במזיד – מאסר עד 5 שנים.

* הפרת חובות סודיות מאגרי מידע – מאסר עד 5 שנים.

האכיפה המלאה תחל ב – 1 ביולי, 2019.

הדרישות העיקריות של חוק הגנת הפרטיות עפ"י עו"ד אתגר הן מינוי בעלי תפקידים והקצאת משאבים

ארגוניים. יש ליצור נוהל אבטחה, אבטחת תקשורת, אבטחה פיזית, ניהול כוח אדם, מיקור חוץ וניהול

מאובטח ומעודכן של מאגר המידע.

מהו מאגר מידע: - נתונים על אישיותו של אדם, מעמדו האישי, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו. מאגר מידע הוא גם "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב" אך אם הוא לשימוש אישי שלא לצורך עסקי, איננו נחשב כמאגר מידע.

הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטרטוריה של האיחוד האירופי אך עוסקים או מעבדים נתונים של תושבי האיחוד. חוקקו חוקים המקשים מאוד על העברת מידע משטח האיחוד האירופי לארצות שאינן חברות וכאן למשל, אפילו חברת רילוקיישן קטנה כמו שלנו מוצאת את עצמה אחראית למאגר מידע גלובלי כאשר חברה כלשהי מהאיחוד מעבירה לטיפולנו נניח שתי משפחות וכמובן שלצורך הטיפול אנחנו חייבים בהרבה מאוד פרטים אישיים כמו תאריכי לידה, מין, אזרחות, מספרי דרכונים, בעיות רפואיות ועוד פרטים כאלו ואחרים ואותה משפחה מועברת נחשפת לחברה זרה שאיננה חברה באיחוד ולכאורה לא חייבת לו כלום אבל לא כך! הרגולציה כתובה כך שמחייבת גם את החברה הזרה מחוץ לאיחוד לשאת באחריות מלאה למידע אליו היא נחשפת.

רמות האבטחה מתחלקות לגבוהה (ארגונים מעל 100,000 איש או מעל 100 בעלי הרשאות) ובינונית.

הוראות החלות על מאגרי מידע ברמת אבטחה בינונית וגבוהה:

	בינונית	גבוהה
סקר סיכונים	אין חובה	אחת ל- 18 חודשים
מבדקי חדירות	אין חובה	אחת ל- 18 חודשים
דיונים באירועי אבטחה	אחת לשנה	אחת לרבעון
נתוני אבטחה	שמירה וגיבוי באופן תקופתי והבטחת שחזור	גם במקרה של אובדן או הרס (recovery)

סנקציות

- צריך לזכור שאי ציות להוראות עלול לגרור ביקורות ובעיקר קנסות כבדים של עד כדי 4% מהמחזור השנתי או קנס של 20 מיליון אירו וראו נא את מקרה גוגל!

מדובר כאן על חוק דרקוני למדי ונמתחה עליו ביקורת רבה בעיקר מחוץ לאיחוד. טענתם של גופים פרטיים ומסחריים כאחד הייתה שיישום החוק כרוך במשאבים רבים, הוצאות כספיות ו– מינוי בעלי תפקידם וקציני אבטחת מידע ((DPO, פיקוח משפטי מורחב ויקר;

אחת הזכויות החשובות בנושא לגבי כל אדם לגביו נאסף מידע הוא הזכות שלו לקבל גישה למידע שלו ולהיות מודע לגבי העברת המידע שלו לצד שלישי – מה שיכול גם להיות העברת מידע מחוץ לאיחוד האירופי ובעולם של ניהול כישרונות כאשר מאות אלפי בני אדם נעים ממדינה למדינה, יש לנושא השלכות גלובליות רבות.

- הנושא הזה הוא כבד ביותר ומוטל ברובו על מערכות משאבי האנוש ודרכן כמובן על הנהלות הארגוניים. הרגישות רבה כי יש גם התייחסות שונה לנושא הן מבחינה משפטית ובעיקר מבחינה תרבותית בין מדינות ויבשות. יש לא מעט חברות גלובליות שחייבו את עובדיהן ואפילו את שותפיהן לעבור הדרכה אינטרנטית בנושא עם הבהרה בהירה וחלקה: מי שלא עובר את ההדרכה לא יכול להימנות עם ספקיהן.

השפעה תרבותית

התרבות האירופית ברובה (כמובן שיש הבדלים בין מדינות גם שם) מגלה רגישות רבה לנושאים אלו. לתרבות הלאומית יש במקרה זה השפעה רבה על רמת הפרטיות או על ההתייחסות לנושא שמירת הכללים והחוקים. אנחנו בהחלט יכולים לצפות להקפדת יתר בארצות האיחוד ובעיקר בארצות בעלות האופי היותר גרמני וקפדני אבל אולי קצת פחות בקצוות המזרחיים והדרומיים....אמנם חלקים רבים ממה שנקרא תיקים אישיים (של עובדים) נמצאים היום במאגרי מידע ממחושבים והגישה אליהם בד"כ מורשית לרשימה מצומצמת של מורשים אבל לא פעם נוכחנו שהמאגרים לא תמיד לגמרי חסומים או עדיין תפוצתם יחסית גבוהה. היום גם רבים משתמשים בטכנולוגית ענן וגם כאן חלה חובה על המשתמשים באבטחת הענן.

- גם בארה"ב בה בהחלט יש לאנשים רגישות לנושא ויש הרבה שאלות שפשוט אינן נשאלות אפילו בעת ראיון נמצא הבדל בהתייחסות ל – GDPR וחלק גדול מהחברות לא ממש מתייחסות לכללי ה – GDPR אך בהחלט שומרות על כללים די נוקשים למשל בעת ראיון למשרה בשל חוקים פדרליים קיימים.

לנו הישראלים שרגילים כל כך באי פורמליות הנושא יראה מאוד מוזר:

למשל, לא ניתן לשאול: האם אתה בעל הבית בו אתה גר או שאתה שוכר? עם מי אתה גר ואיך אתה קשור לאנשים האלו? מותר בארה"ב לשאול אם אתה מועמד לתפקיד ברמן מה גילך באופן ישיר, אבל אסור לשאול בראיון לתפקיד רגיל מה שנת הלידה או מתי סיימת תיכון...

ובישראל שלנו כמעט כולם יציינו זאת בקו"ח או בוודאי שלא ימנעו מלציין זאת בראיון....בישראל גם הזכרת שנות השרות הצבאי חושפות בעצם את גיל המרואיין. גם החוק הישראלי מונע שאלות בענייני צבא כגון פרופיל צבאי או מה בדיוק עשית בצה"ל אבל כולנו מבינים ששאלה בנושא השרות הצבאי היא מרכזית למדי בכל ראיון והיא פשוט חלק מתרבות לאומית בה שרות צבאי נחשב עדין כערך...

- ברור שיש רגישות לנושאים פליליים אבל תלוי מאוד בסוג העיסוק אליו פנה המועמד. ברוב המקרים שאלה כזאת אסורה ואילו כאן אצלנו, עלולים לבקש תעודת יושר למרות שבעקרון החוק אינו מאפשר זאת...

איננו עוסקים בנבואה אבל ניתן להעריך שעוד יהיו ויכוחים אין ספור כיצד ליישם את מערכת החוקים הדרקונית הזאת שמצד אחד יש בה הרבה מן החיובי – רבים מאיתנו חשים אפילו בישראל שגופים ציבוריים שונים (ממשלה, בנקים, חברות אשראי וביטוח) נכנסים יותר ויותר לתוך חיינו האישיים ויש הכרח להגן על זכויותינו אך מצד שני, בישראל, לעומת אירופה ואפילו ארה"ב, בשל רמת האפורמליות, אנשים פחות נפגעים ורגישים לשאלות שהן ביסודן אישיות למדי.

האתגרים העומדים בפני הנהלות הארגונים, אנשי משאבי האנוש, משפטני הארגון ואנשי מערכות המחשוב הם גדולים ועלינו ללמוד איך ליישם את החוק בצורה הטובה כדי למנוע מאיתנו ענשים וקנסות עצומים ואובדן עסקים בעיקר מול המדינות המקפידות על הכללים האלו, ובאמת איך להתמודד עם הזכות לפרטיות במקום העבודה – אתגר ניהולי ממדרגה ראשונה לאנשי משאבי אנוש כמו גם ליועציהם המשפטיים.