אחרי שנים רבות בהן תקנות הגנת פרטיות כלליות (GDPR\CCPA) היוו סמן מוביל בנושאי הגנת הפרטיות וניהול מידע - כל אחד באזורו, אנו עדים להתפתחות האסדרה של תחום הפרטיות למרחבים נוספים. בחמש השנים הקרובות צפויה להיכנס שורה של תקנות רגולציה חדשות באיחוד האירופי, שלא רק מחייבות אבטחת מידע נאותה יותר והגנה אפקטיבית על ה-Data privacy, אלא גם מטילות חובה להבטיח את איכות הנתונים, שלמותם ומהימנותם, כולל רכישה ושימוש מוגבלים. הנציבות האירופית, כבר החלה להפיץ טיוטות לקראת האישור הכללי והאשרורים הפרטניים במדינות. עו"ד עדי-עד שלה-מוסלי, מנג'רית במרכז לניהול סיכוני סייבר של Deloitte ישראל, מסבירה כי לכל רגולציה תוגדר תחולה ופרקטיקת אכיפה משלה. למשל: מנגנון למשתמשים לסמן בקלות תוכן, הקמת יכולות דיווח, טיפול והסרה מהירה של תוכן לא חוקי בצורה לא שרירותית ולא מפלה ומתוך כיבוד זכויות יסוד ומנגנון חיצוני לביצוע ביקורת עצמאית.

"בשונה מה-GDPR (התקן האירופאי), הרגולציות החדשות הן ספציפיות לתחומים מסויימים", היא מדגישה. לדבריה, חברות ישראליות יושפעו מהתקנות - באופן ישיר  וזאת כתלות בשרותים אותם הן מספקות, סוג המידע אותו הן מחזיקות ומקור נושאי המידע. 

ואולי אספנו יותר מדי?

הרגולציות החדשות כבר נכנסו בחלקן לתוקף, אבל ניתן פרק זמן להסתגלות. יש המון מה לעשות כדי להיערך. שלה-מוסלי ממליצה לארגונים לנצל היטב את הזמן לטובת הערכה מחדש במגוון פעילויות - אסטרטגיה, אנשים, תהליכים וטכנולוגיה. היא גם ממליצה על בניית יכולות וכלים בארבעה תחומים מרכזיים: ניהול רשומות, פרטיות/תאימות, ניהול משברים והגנה בסייבר. "זה מתחיל בעבודת עומק של מה יש לי בארגון ומה צפוי לחול עליי, כאשר לגבי רוב התקנות אנחנו כבר יודעים די בוודאות על מה מדובר. לאחר מכן מגבשים רשימת פערים, ואז ניגשים לטפל בהם לפי הדחיפות". לחברות Early stage היא ממליצה לנקוט מדינות של Privacy by design - להבין מראש מה רלוונטי עבורן ולבנות בהתאם את התשתיות, האפליקציות וארכיטקטורת המידע כדי לחסוך משאבים בהמשך. 

עדי-עד שלה-מוסלי
עדי-עד שלה-מוסלי

"חברות חייבות לדעת את סוג ומקור הנתונים שנאספו, עובדו ואוחסנו", היא מפרטת. "עליהן להגדיר את סוגי הנתונים שנאספים או נשמרים, מה האחריות שלהן אל מול המידע ומה מהם אישי לעומת ציבורי, באופן התואם את תקנות הפרטיות. יש צורך במידע עדכני על קשרים עם צדדים שלישיים בהקשרי הדאטה, כדי ליצור או לתקן חוזים ולוודא כי דרישות הציות נאכפות לכל אורך השרשרת. בנושא הסייבר נדרשות חברות לשמור על רמת אבטחה נאותה ומותאמת לסיכון ולהיות מסוגלות להגיב לאירועים ביעילות ובמהירות. הן צריכות להיות מסוגלות לטפל בבקשות הצרכנים והמשתמשים. ומעל הכול, החברות חייבות להציב תוכניות מקיפות לפיקוח וניטור של נתונים 24/7". 

"את המיינדסט הזה חשוב לאמץ מוקדם ככל האפשר", היא מסבירה. "יש כאן שינוי תפיסה משמעותי - מרצון לאסוף ולהחזיק בכמה שיותר דאטה, להבנה שעם הדאטה באות אחריות, עלות ומחויבות כלפי הרגולטור והמשתמשים עצמם. במצב כזה, כלל לא בטוח שכל הארגונים יהיו מעוניינים בבסיס הנתונים העצום הזה - בבחינת "מרבה נכסים מרבה דאגה". 

לפני שנצלול לכמה מהרגולציות המרכזיות שצפויות להכנס בשנים הקרובות (ייתכנו שינויים עד לאישור הסופי וניואנסים בין המדינות השונות), שלה-מוסלי עם כמה כללים מנחים והמלצות חשובות לארגונים:

  1. על הארגונים והחברות לקבוע אסטרטגיה ארגונית - להגדיר חזון המונע על ידי ההנהלה ומבטיח את הצלחת הפעולות וההיערכות לשינוי.
  2. על הארגונים והחברות לנהל כל העת בשיתוף הנהלת הארגון שיח באשר לחשיפות והסיכונים שהשימוש והחזקת המידע מעמידות את הארגון
  3. יש לוודא כי אסטרטגיית הפרטיות והגנה על נתונים תומכת ומיושרת עם האסטרטגיה הארגונית הכללית ועם יעדי הצמיחה.
  4. יש לוודא כי הארגונים והחברות יודעות לומר בזמן נתון מה המידע שנאסף ומנוהל בחברה והיכן הוא מנוהל.
  5. בעולמות בו הענן הופך להיות חלק אינטגרלי מהפלטפורמה, על החברה לוודא כי האחריות על המידע והחבויות בגין אחריות זו מובנות לכל משתתפי שרשרת הערך.
  6. מדיניות נכונה שעומדת בתקינה צריכה להיות באישור ההנהלה ובהובלת פונקציה ייעודית.
  7. נדרשת אחריות הוליסטית לניהול המידע - גישת Bottom-up לא תעבוד כאן.
  8. הנתונים ונגזרותיהם הם נכס חיוני בידי הארגון. אם הם אכן מספקים ערך עסקי, אין סיבה לוותר עליהם - חשוב רק להקפיד שהם מטופלים באופן העונה על כללי הרגולציות.
  9. אין "זבנג וגמרנו". מדובר בתהליך שמצריך חשיבה מתמדת, כיצד ניתן להשתפר מבחינת ניצול המשאבים, ייעול התהליכים ושידוד המערכות. 

"חברות חייבות לדעת את סוג ומקור הנתונים שנאספו, עובדו ואוחסנו. עליהן להגדיר את סוגי הנתונים שנאספים או נשמרים, מה האחריות שלהן אל מול המידע ומה מהם אישי לעומת ציבורי, באופן התואם את תקנות הפרטיות"

Digital Services Act 

חוק השירותים הדיגיטליים (DSA) חל על ספקים המהווים גורמי ביניים - מתווכים, פלטפורמות מקוונות, רשתות חברתיות, שירותי איקומרס וכדומה. החוק מתבסס על הוראת המסחר האלקטרוני ומוסיף לו דרישות לחיזוק הבטיחות והאמון, השקיפות והאחריות מצד הפלטפורמות המקוונות. חלק מהגופים, למשל ספקי שירותי אינטרנט (ISP), מנועי חיפוש, שירותי אירוח ופלטפורמות נסיעות ולינה מקוונות, יחויבו גם בבדיקות נאותות ספציפיות. הם יידרשו לכלול אפשרויות לפנייה ישירה לפלטפורמה על תוכן פוגעני שפרסם צד שלישי, על Diversity לוקה בחסר, על Profiling בעייתי וכדומה.  

Digital Markets Act 

חוק השווקים הדיגיטליים (DMA), נועד להפוך את הכלכלה הדיגיטלית למהימנה והוגנת יותר. החוק מגדיר כללים ברורים עבור פלטפורמות מקוונות גדולות כאשר המטרה היא להבטיח שאותן הפלטפורמות לא ינצלו לרעה את מעמדן. החוק מטיל מגבלות ומכתיב דרישות חדשות לחברות הטכנולוגיה, במטרה להקנות לצדדים שלישיים ולחברות קטנות סיכוי להתפתח ולפעול בתוך השווקים הדיגיטליים. בין היתר, על החברות הגדולות לאפשר לצדדים שלישיים להתממשק עם הפלטפורמות שלהן כדי לשרת משתמשים. הסנקציה כנגד אי ציות היא קנס של עד 10% ממחזור הרווח השנתי או 20% במקרה של הפרות חוזרות.   

Data Act (IoT) 

הצעת חוק הנתונים מבקשת להוסיף זכויות למשתמשים במכשירי "האינטרנט של הדברים" (IoT) בכל הנוגע לגישה, שימוש ושיתוף בנתונים שנוצרו על ידם ולשתף נתונים כאלה עם צדדים שלישיים, חוק הנתונים יגן על חברות קטנות ובינוניות מפני תנאים חוזיים בלתי הוגנים שנכפו על ידי צד בעל עמדת מיקוח חזקה יותר. תקנה זו צפויה להיכנס לתוקף במהלך שנת 2024 ולחול על יצרני IoT וספקי ענן. 

Cyber Resilience Act 

חוק תקדימי זה נועד להגן על צרכנים ועסקים מפני מוצרים עם תוכנות אבטחה לא נאותות. הוא מציג דרישות אבטחת מידע מחייבות עבור מוצרים עם אלמנטים דיגיטליים לכל אורך מחזור חייהם כך שיפותחו באופן שיבטיח רמה נאותה של אבטחת סייבר על היצרנים: לזהות ולתעד נקודות תורפה הכלולות במוצר; להחיל בדיקות וסקירות יעילות וקבועות של אבטחת המוצר; לספק מנגנונים להפצה מאובטחת של עדכונים וכו'.חוק זה צפוי להיכנס לתוקף במהלך שנת 2026. 

DORA) Digital Operational Resilience Act) 

הנציבות הציגה הצעה לתקנה בנושא החוסן התפעולי הדיגיטלי של המגזר הפיננסי, קובע סטנדרטים לכלל האיחוד האירופי עבור בדיקות חוסן תפעולי דיגיטלי. התקנה מציבה דרישות אחידות לאבטחת מערכות הרשת והמידע של חברות וארגונים הפועלים במגזר הפיננסי וכן של צדדים שלישיים קריטיים המספקים להם שירותים רלוונטיים, מענן, ניתוח נתונים ועד יכולות תגובה והתאוששות ממשבר סייבר. 

 Eprivacy 

תקנת הפרטיות האלקטרונית תקבע מתי יורשו לספקי שירותים לעבד נתוני תקשורת אלקטרונית או לקבל גישה לנתונים המאוחסנים במכשירים של משתמשי קצה כאשר ככלל, נתוני התקשורת האלקטרונית יהיו חסויים. היא מסדירה את ההגנה על נתונים אישיים ומשתמש קצה יוכל לתת הסכמה לסוגים מסוימים של קובצי קוקיז על ידי רשימה בהגדרות הדפדפן. היא תחול, עבור כל התקשורת האלקטרונית והדיגיטלית. 

AI Act 

מטרתה להציג מסגרת רגולטורית וחוקית משותפת לנושא הבינה המלאכותית ההצעה אינה מקנה זכויות ליחידים, אלא מסדירה את הנושא בקרב ספקי ה-AI והגופים העושים בכלים שימוש מקצועי. כללים יתייחסו לסיכונים הספציפיים הנשקפים ממערכות AI ויקבעו את הסטנדרט הגבוה ביותר בעולם. חוק הבינה המלאכותית מסווג את הסיכון לארבע רמות: סיכון לא מקובל, סיכון גבוה, סיכון מוגבל וסיכון מינימלי. צפויה להיכנס לתוקף ב-2025. 

  NIS2 

מדובר בניהול סיכוני סייבר והגדרת חובת דיווח בקרב רשימה מוגדרת של מגזרים חיוניים כגון אנרגיה, תחבורה, בריאות ותשתיות דיגיטליות. זה כולל מועד מחמיר יותר לדיווח על אירועים (אזהרה מוקדמת תוך 24 שעות) והטמעת אמצעים מתקדמים ולניהול הסיכונים. אי ציות יוביל לקנסות גבוהים, ואמצעי האכיפה יכללו בדיקות באתר, ביקורות ואפילו השעיות או איסורים זמניים של פעולות. בצד פירוט הסקטורים, התקנה המתגבשת כוללת גם רשימה ארוכה של ספקי ענן, דאטה סנטרים, רשתות תקשורת ציבוריות, ספקי שירותים מנוהלים, שירותי דואר, ייצור מזון, ניהול מים, טיפול בפסולת, ייצור כימיקלים, תחום החלל וכן גופי מינהל ציבוריים ברמה מרכזית ואזורית (אך לא פרלמנטים ובנקים מרכזיים). המדינות באיחוד האירופי יצטרכו לשלב את החובות החדשות הללו בחוקים הלאומיים שלהן לפני ספטמבר 2024.