מהו GDPR ומה הקשר שלו לאחסון אתרים?
מהו GDPR ומה הקשר שלו לאחסון אתרים?
אם אתם חלק מתעשיית אחסון האתרים, או שיש לכם נגיעה אליה, לבטח שמעתם לאחרונה את המונח GDPR, וודאי תהיתם במה מדובר; האם זוהי איזה שהיא טכנולוגיה חדשנית בתחום אחסון האתרים או פרוטוקול עדכני שנכנס לשימוש? האמת היא שזה לא זה וזה לא זה – ה-GDPR הוא למעשה אוסף של הוראות מחייבות מטעם האיחוד האירופי שנכנס לתוקף בזמן האחרון ונוגע לשמירה על פרטיותו של כל אזרח מאזרחי האיחוד. אז מדוע נדמה שאנשי התעשייה עוסקים בנושא הזה ודנים בו לאחרונה ללא הרף? מכיוון שיש ל-GDPR השפעה ברורה ועמוקה בכל הקשור לאחסון אתרים ולשמירת פרטיהם של אזרחים פרטיים כמו גם מידע עליהם, ואוסף ההחלטות הזה משפיע לא רק על חברות הפועלות באירופה עצמה, אלא על כל חברה, ארגון וגוף, מכל מקום בעולם, הפועל אל מול אזרחי האיחוד האירופי ואמון על שמירת פרטיהם. עם זאת, מכיוון שמדובר בתקנות חדשות, רבים עדיין מגששים באפלה בניסיון להבין במה בדיוק מדובר וכיצד זה באמת משפיע על בעלי האתרים, אך אנו כאן על מנת להסביר ולתמצת לכם מה משמעות ה-GDPR עבורכם.
מהו בעצם ה-GDPR?
GDPR אלו הם ראשי התיבות של General Data Protection Regulation, או בעברית – האסדרה הכללית להגנה על מידע. שורת החוקים, התקנות, ההוראות והכללים הזו נחקקה בשנת 2016 אך נכנסה לתוקף רק החל מה-25 במאי 2018, ומטרתה להחליף סדרת חוקים אחרת ומיושנת שהייתה נהוגה עד עתה באיחוד. התקנות עצמן נוגעות בכל הקשור לכלל פרטי המידע המאוחסנים השייכים לכל אזרח באיחוד (חי או מת) וניתן לעשות בהן שימוש על מנת לזהות את אותו אדם – וזה כולל כמובן לא רק את שמו, אלא גם את כתובות האי-מייל שלו, מספר תעודת הזהות שלו, פרטי חשבון הבנק, תמונות, כתובות IP, רישומים רפואיים ועוד.
כיצד החקיקה הזו משנה בעצם את ההתייחסות לאותם פרטי מידע אישיים, אתם שואלים? אז אם בעבר לחיצה פשוטה על קישור תמים למראה הייתה יכולה להתפרש כהסכמה של המשתמש לחלוק את כל המידע האישי הזה עם התאגיד, החברה או הארגון שמפעילים את האתר בו הוא הוא גולש, ואף לאשר להם להשתמש בפרטים ולשתפם עם גורמים אחרים – כיום המצב משתנה לחלוטין. תקנות ה-GDPR שנכנסו לתוקף מונעות כליל מן החברות והגופים המפעילים את האתרים לקבל את הגישה אל המידע הזה, וכן להשתמש בו ולשתף אותו, ללא הסכמתו המפורשת והברורה של המשתמש עצמו.
כדי להבטיח זאת, התקנות החדשות קובעות כי על הטפסים אותם ממלא המשתמש בעת הרשמה או הצטרפות לאתר או לשירות כלשהו להיות ברורים ובהירים ככל האפשר, והם אינם יכולים עוד להיות מעורבבים עם דברים אחרים שאינם נוגעים לנתינת הסכמתו המלאה של המשתמש לשימוש בפרטיו, כפי שנעשה באתרים מסוימים עד כה. עוד נקבע כי למשתמש עומדת בכל רגע נתון הזכות לסגת מן ההסכמה שנתן לחברה או לגוף המפעיל את האתר לאחסן את פרטיו האישים, להשתמש בהם ולשתף אותם – ויתרה מכך, אף עומדת לו “הזכות להישכח”, כלומר שברגע שהוא מחליט לנתק את קשריו עם חברה או גוף מסוים, זכותו לדרוש שכל המידע האישי שחלק עימם במסגרת הרשמתו יימחק לצמיתות, כשעל הצד השני לקבל דרישה זו.
אז כיצד כל זה משפיע על תחום אחסון האתרים?
כאמור, קובץ החוקים החדשים הללו תקף לא רק עבור חברות הפועלות מאירופה עצמה, אלא לכל חברה העובדת עם השוק האירופי ואחראית על אחסון מידע פרטי הקשור לאזרחי האיחוד, ולא משנה היכן היא ממוקמת בעולם – כך שסביר להניח כי כמעט כלל חברות אחסון האתרים בארץ ובעולם מושפעות מה-GDPR, מאחר שהרוב הגדול פועל ועובד בדרכים כאלו ואחרות אל מול השוק ביבשת הישנה.
אחד הדברים המרכזיים בהם מטפלות התקנות החדשות הוא בעיית הפריצות לאתרים ולמאגרי המידע ולדליפת פרטיהם האישיים של אזרחים בעקבות כך. אם בעבר לא היה חוק אחיד המחייב את חברות אחסון האתרים ובעלי האתרים לדווח על דליפות שהתרחשו בשרתיהן, כעת קובע ה-GDPR כי בכל מקרה של דליפה או פריצה המתגלה ומשפיעה על אבטחת המידע והפרטים האישיים של מי מאזרחי האיחוד האירופי, על החברה שבשרתיה או בעל האתר שבאתרו התרחש הדבר לדווח על כך לרשות הגנת המידע הממונה עליה תוך לא יאוחר מ-72 שעות, כשקנסות כבדים יוטלו מטעם האיחוד האירופי על חברות וגופים שהתברר שלא נהגו כך.
כללים נוספים שנכנסו לתוקף ומשפיעים ישירות על בעלי האתרים והפעלתם הם אלו הקובעים כי לכל משתמש באתר זכות לבקש גישה למידע הפרטי המאוחסן עליו, וכן הזכות לדעת למה בדיוק משמש המידע ולמי הוא מועבר. עוד נקבע כי ללקוח שמורה הזכות לבקש להסיר את כל פרטיו ממאגרי המידע של חברה מסוימת אם הוא מבקש לנתק את קשריו עימה.
לבעלי אתרים ולכל העוסקים בתחום כדאי מאוד להיות ערוכים ומוכנים לשינויים המתרחשים כעת, מאחר ואי ציות אליהן עלול לעלות להם בכסף רב ובאיבוד הכנסות. החוק קובע כי אי ציות לכל אחת מן התקנות החדשות שנקבעו תגרור בעקבותיה קנסות שיוטלו על החברה המתעלמת בסך של לא פחות מ-4% מכלל המחזור הכספי שלה, או 20 מיליון אירו (הסכום הגבוה מבינהם).
אז מה בעצם עליכם לעשות כדי לעמוד בתקנות ה-GDPR ולהימנע מהעונש?
אם אתם חלק מתעשיית אחסון האתרים – בין אם כבעלי חברות או כבעלי אתרים – לאור המצב הקיים כיום, עליכם לוודא כי החברה אליה אתם קשורים מפעילה את כלל אמצעי האבטחה המתאימים על מנת להגן על המידע של המשתמשים והלקוחות של האתרים אותם היא מאחסנת. בין יתר אמצעי האבטחה הללו ניתן לציין הפעלת שרתי אחסון מרוחקים זה מזה על מנת למנוע סיכונים; אחסון קודי ההצפנה בנפרד ממאגרי הנתונים והפעלת שיטות מתאימות ונכונות לביצוע קידוד ופיענוח של מידע.
לסיכום, זוהי רשימת הצעדים המיידים שעליכם לקחת על מנת לעמוד בתקנות ה-GDPR:
מנו קצין בטחון מידע לארגון – דעו לכם כי על פי התקנות החדשות כל גוף – בין אם הוא חברה, ארגון, תאגיד או רשות – המפעיל ניתור סיסטמתי של מידע על משתמשים מהאיחוד האירופי או אוסף פרטים אישיים רגישים אודותיהם, מחויב למנות קצין בטחון מידע (DPO – Data Protection Officer) ארגוני, שיהיה אחראי לוודא כי אותו הגוף מגבש אסטרטגיה ומטמיע שיטות ונהלים התואמים לכללי ה-GDPR.
בצעו הערכת סיכונים – על בעל האתר לדעת באיזה מידע על אזרחי האיחוד הם מחזיקים ואילו תהליכים מתבצעים בו. על הערכת הסיכונים להתבצע כך שהיא תתווה את האמצעים שינקטו להפחתת הסיכונים הרציניים שעלולים להתקיים.
ערכו תוכנית מסודרת להגנת המידע שבאחריותכם – על בעל האתר לפעול בהתאם על מנת להגדיר תוכנית סדורה לניתור ודיווח תהליכי ההתגוננות המתבצעים בה – תוכנית שתהיה מעודכנת על פי התקנות החדשות ותיישר קו עימן.
פרסמו הצהרה ארגונית מסודרת בנוגע להיערכויותיכם לתקנות ה- GDPR– על בעל האתר להכין הצהרה שתספק את תובנותיה ואת עיקרי תוכניותיה לעמידה בתקנות ה-GDPR, עבור לקוחות קיימים ועבור אלו הפוטנציאליים. את ההצהרה יש להכין כך שתבהיר מה הם הגורמים השונים שהופכים את שירותי החברה לערוכים ומתואמים ל-GDPR.
נסחו תנאי שימוש התואמים להנחיות החדשות – הדרך הטובה ביותר להוכיח ללקוחותיכם שאתם עומדים בכללי ה-GDPR היא לנסח מסמכי תנאי שימוש התואמים להנחיות לכל חוזה או טופס שמשתמש הנרשם לאילו מן האתרים שאתם בעליהם ממלא. התנאים וההתניות המופיעים בחוזה שכזה אמורים להיות ברורים ולהבהיר במדויק את ההתחייבות שנעשית בינכם לבין הלקוח ואת התאמתה לכללים התקפים של ה-GDPR.