a88b7ad3-14e5-4ec1-9c3c-2109ad02f798.png

Blog & Updates

x

״השינוי הוא דרמטי, ומשפיע באופן ישיר על החלטות עסקיות.״

(ד״ר אבישי קליין, DPO, אמדוקס)

23.9.2020

ביום ד׳ ה-9.9.2020, קיימנו Webinar בשיתוף עם ISACA בנושא השפעת המגבלות החדשות על העברת מידע בין אירופה לארה״ב על חברות בישראל. ה-Webinar כלל הרצאה ופאנל מומחים בהנחיית רם לוי, מייסד ומנכ״ל Konfidas. משתתפי הפאנל:  ד״ר אבישי קליין, DPO, אמדוקס, עו״ד נתנאלה טרייסטמן, שותפה, יגאל ארנון ושות׳, עו"ד רביד פטל, הממונה על פיקוח הרוחב, הרשות להגנת הפרטיות - משרד המשפטים, יוני קפלנסקי, תכנון ותשתיות סייבר, Fico, עו״ד דבורה האוסן-כוריאל, סמנכ״ל רגולציה ו-Konfidas, CLO.

לנוחיותכם, ריכזנו  את עיקרי הדברים שעלו ב-Webinar:

 

פס"ד שרמס  2: מבט על 

״ניהול הסיכון בעיניים פקוחות - השינויים קורים מהר, צריך לעקוב.״ (עו״ד דבורה האוסן-כוריאל, סנמכ״לית רגולציה ו-Konfidas, CLO)

  • פס"ד שרמס 2  קבע שתי נקודות עיקריות:

    • הסדר ה-Privacy Shield להעברת מידע אישי של נשואי מידע תושבי ה-EU מה-EU לארה"ב - מבוטל לאלתר. 

    • לעומת זאת, בית המשפט קבע כי החלופות של standard contractual clauses  ו-חריגות ע"פ סעיף 49 של ה-GDPR יכולים עדיין לאפשר העברת מידע, בתנאים מסוימים.

  • המשמעות: 

    • כל ארגון שמעביר מידע אישי של אירופאיים שמקורו ב-EU למדינה שלישית -- שאינה ב-EU ושאינה נהנית מ-adequacy decision על בסיס GDPR 45 - חייב לערוך בדיקה פרטנית לגבי ההגנה של זכויות נשואי מידע באותה המדינה בקשר למידע האישי שהארגון מעביר.

    • העברת מידע אישי למדינה שאינה עומדת בדרישות ה-GDPR דורשת מהארגון המעביר מספר החלטות :     

      • לבחון את הצורך להעביר מידע אישי לאותה המדינה;

      • לספק הגנות מספקות (additional safeguards) כשנדרשים; 

      • לא להעביר מידע אישי אירופאי למדינה שלא מיישמת רמה אירופאית של הגנת מידע.

  • אמנם ה-GDPR קובע רף גבוה שמגובה בסנקציות אמיתיות - אבל יש גם כיווני רגולציה אחרים, בשווקים לא פחות חשובים (סין, הודו, רוסיה) שחשוב לקחת גם אותם בחשבון. אם ה-EU לא ידע לאכוף את המסר של שרמס 2 מחוץ לגבולותיו, הוא יתנגש עם ההסדרה  של מדינות  אחרות. ויש תופעה נוספת שמתפתחת: לחברות גלובליות יש תפקיד שהוא מתחיל להיות דומה לזה של רגולטורים. 

  • יש הרבה אתגרים שמוצבים לארגונים כתוצאה משרמס 2. אחד הבולטים הוא שמידע אישי נמצא בתנועה מתמדת.  לפעמים,  אין אפשרות לדעת בכמה עשרות מדינות עבר המידע האישי שהעביר הארגון ביום נתון. נוכל להגיע לתיעוד של הדברים, אך השאלה היא כמה ה-EU ירצה לאכוף ולפקח על כל שרת ושרת שהמידע עובר דרכו.

  • בחודשים הקרובים התמונה הרגולטורית תתבהר יותר לגבי העברת מידע בין ה-EU לארה"ב, כמו גם דרכי האכיפה של התוצאות וההשלכות של שרמס 2.

השלכות פס״ד שרמס 2 על פעילות חברות ישראליות והמלצות להתמודדות עמן 

״שרמס 2 הוא נקודת מפנה מאד משמעותית לעולם הפרטיות וגם לעולם העסקי״ (עו״ד נתנאלה טרייסטמן, שותפה, יגאל ארנון ושות׳).

  • חברות קטנות נדרשות גם הן להערך מחדש כדי להתמודד כעת עם ההשלכות של שרמס 2.

  • המלצות פרקטיות להתמודדות עם השלכות שרמס 2: 

    • חשוב לבצע הערכה יסודית: מי הם הצדדים השלישיים אליהם אני מעביר מידע? מי הספקים? מי הן החברות הבנות (במידה ויש)? האם זה נחוץ להעביר את המידע לספק שנמצא בארה״ב או שאולי אפשר לעבוד עם ספק אחר - אירופאי (דובר גם על האפשרות שחברות אמריקאיות שיושבות פיזית במדינות אירופאיות עדיין כפופות לחוק הפדרלי בארה״ב). 

    • במקומות שאנחנו מזהים כרגישים, ישנם מספר פתרונות אפשריים:

      • הצפנה של הדאטה - ואז חשוב להגדיר למי יש את המפתח לדאטה. 

      • הגבלה של החשיפה של הדאטה - בחינת האפשרות לאפשר לעובדים בארה״ב גישה חלקית למידע, כדי לא לחשוף מידע של נשואי מידע אירופאים.

      • באופן ספציפי, אם יש העברות נחוצות מחוץ לאירופה, יש לבחון לאיזה מדינה מעבירים ולהעריך את הרגולציה באותה מדינה. 

      • בחוזים מול הספקים יש לבחור בצורה מדויקת מה מעבירים ומה לא, במידה והדבר לא אפשרי מול ספקים גדולים (דוגמת Google, AWS), יש לבחון מעבר לעבודה מול ספקים קטנים יותר.

      • פתרון נקודתי הוא Explicit Consent- תחת ה-gdpr, ניתן להעביר מידע אם מתקבלת הסכמה מפורשת של נושא המידע ולאחר שהוסברו לו המשמעויות וההשלכות האפשריות. ברמה הפרקטית אי אפשר להסתמך על פתרון כזה בצורה שוטפת, ממספר סיבות: ראשית חווית המשתמש נפגעת כיוון שיש כאן הטרחה של הלקוחות לאשר את העברת המידע בצורה נפרדת מיתר האישורים הנדרשים באתר (תנאי שימוש, פרטיות); בנוסף, כאשר נושא מידע נותן הסכמה הוא יכול לבטל אותה בכל שלב.

 

השלכות פס״ד שרמס 2 על פעילות חברות גלובליות והמלצות להתמודדות עמן

״להערכתי סביר שבקרוב תישלל זכותה של ישראל להיקרא חלק מה-Adequacy Decision.״ (ד״ר אבישי קליין, DPO, אמדוקס)

  • ביטול ה-Privacy Shield לא הפתיע אותנו. היה ברור לנו שזה הסדר זמני ולכן מראש לא הסתמכנו עליו בהעברת מידע לארה״ב.

  • כשמעבירים מידע מאירופה לאותה המדינה, יש יכולת תחת ה-GDPR לעשות זאת. כאשר אתה מעביר מידע מאירופה אל מחוצה לה, ישנן מספר אפשרויות תקינות:

    • העברת מידע אל מדינות שמוגדרות כבטוחות. 

    • תחת הסכם (דוגמאת ה-Privacy Shield).

    • הסדרים חוזיים המאפשרים להעביר מידע בין חברות הכפופות לסטנדרטים דומים, באופן (יחסית) חופשי: "Model Clauses". בהסכמים נקודתיים אלה בין 2 חברות, יש בדיקה נקודתית שאותן החברות עומדות בדרישות ההגנה על המידע ועל זכויות נשואי המידע בצורה דו-כיוונית. 

  • השינוי שמתרחש כעת הוא שהסכמי ה-Model Clauses כבר לא מספקים. אתה נדרש לעשות הערכה לכל העברת מידע, בצורה פרטנית, הן מבחינת היכולת של המדינה אליה עובר המידע להגן עליו, והן מבחינת היכולת של החברה אליה המידע עובר. כלומר - אם עד כה בחנת אם חברה מסוימת עומדת ברגולציה הרלוונטית, כעת צריך לבחון את רמת המסוכנות לפי המדינה אליה המידע עובר. הבעיה היא שבחברות גדולות לא מדובר במדינה אחת. השינוי הוא דרמטי לחלוטין ומשפיע באופן ישיר על החלטות עסקיות - חברות רבות ינסו למצוא פתרונות לוקליים לעיבוד מידע.

  • החלטת ביטול ה-Privacy Shield מסכנת את העברת המידע בין אירופה לישראל, חד משמעית. ישראל כבר זמן רב תחת הסתכלות מקרוב של האיחוד האירופי. החוק הישראלי ישן, לא מאפשר זכויות פרט בצורה משמעותית, נושא האכיפה והסמכויות לא פתור - כל אלה לא אמורים להעלם מעינם של האירופאים. לכן להערכתי סביר שבקרוב תישלל זכותה של ישראל להיקרא חלק מה-Adequacy Decision.

  • המלצות: 

    • לפעול להחזקת כמה שיותר מידע בתוך אירופה.

    • למעט העברות מידע למדינות תחת הרדר - במיוחד ארה״ב. 

    • לבצע מפוי יסודי של כל העברות המידע שהחברה מבצעת עם אירופה: מי הספקים? איפה יושבים? מיפוי כזה מאפשר לזהות את הסיכונים בצורה ברורה. יש לוודא שהעברות המידע עם אירופה אינן מסוכנות או רגישות כדי להיות מוכנים להראות ללקוחות שידרשו זאת בעקבות השינויים.

    • רצוי להיערך למצב החדש אבל חשוב לזכור שההחלטה עדיין בהתהוות וההשלכות לא לגמרי ברורות.

 

השלכות ביטול ה-Privacy Shield על אבטחת מידע בארגונים 

״מבחינת תפעול מערכות אבטחת מידע, אני חושב שאנחנו נראה יותר שותפות של הנושא בכל הקשור להסכמים עם ספקים.״ (יוני קפלנסקי, תכנון ותשתיות סייבר, FICO)

  • התגובה הרשמית של ה- Department of Commerce היא להמתין, ולא לערוך שינויים עד לקבלת החלטה בדבר ההנחיות החדשות. עם זאת, חברות רבות נוקטות בגישה פרואקטיבית - הן מתחילות לבחון מחדש את מידת הציות שלהן לתקנות, הן מול ספקים והן אל מול לקוחות. 

  • אנחנו רואים את אותה גישה פרואקטיבית גם בתהליכי פיתוח תוכנה - שימת דגש על איסוף לוגים יותר מסיבי, יותר בקרות על מי רשאי להגיע לדאטה, ועוד. 

  • כתוצאה מהשינויים ברגולציה, לארגונים יש כעת יותר צרכי אבטחת מידע. הצורך בא לידי ביטוי בשני מוקדים עיקריים:

    • בעבודה מול ספקים - בחינת תהליכי אבטחת ואחסון המידע כחלק מההסכמים שהארגון חותם עליהם עם ספקים.

    • בעבודה מול לקוחות - הטמעת מערכות הגנת סייבר,  בדיקה מדוקדקת של מיקום ודרכי העברת המידע של הלקוחות.

  • השפעת השינויים הרגולטוריים משמעותית יותר כאשר מדובר בחברות קטנות או צעירות. חברות גדולות ומבוססות עומדות מראש בתקינות רבות, לכן הסטנדרטים שלהם מבחינת אבטחת מידע כנראה מחמירים יותר ויש פחות צורך בשינויים.

 

אכיפת הציות לדיני הגנת הפרטיות בישראל 

"הזכות לפרטיות נמצאת על סדר היום הציבורי וביתר שאת בתקופת הקורונה." (עו"ד רביד פטל, הממונה על פיקוח הרוחב, הרשות להגנת הפרטיות - משרד המשפטים)

  • מערך פיקוח הרוחב של הרשות להגנת הפרטיות:

    • התווסף בשנת 2018 לזרועות האכיפה הפלילית והמנהלית ברשות להגנת הפרטיות. המערך מקיים פיקוחי רוחב מגזריים או נושאיים לבחינת יישום חוק הגנת הפרטיות והתקנות מכוחו בגופים שונים במשק הישראלי. המערך פועל לאיתור הפרות יזום של חוק הגנת הפרטיות, להגברת מודעות המשק להוראות החוק, לאיתור כשלים ענפיים הדורשים התערבות והנחיות מיוחדות ולקבלת תמונת מצב מגזרית לגבי עמידה בהוראות החוק.  

    • במסגרת פיקוחי הרוחב, נדרשים מאות גופים להשיב על שאלוני ביקורת ולספק נתונים שונים שייבחנו את עמידתם בהוראות החוק והתקנות, בין היתר בהתייחס לאופן קבלת ההסכמה לשימוש במידע אישי בו הם מחזיקים, אופן השימוש בו, עיבודו ורמת אבטחתו.

    • נוכח הממצאים שעולים מהליכי פיקוח הרוחב, הרשות מנחה את הגופים המפוקחים לתקן את הליקויים שנמצאו, לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים, כאשר כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים. 

  • הסדרים חוזיים מול ספקי שירותים/מחזיקים במאגרי מידע - יש לעמוד בתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) שעוסקת בסעיפים החוזיים שבעל מאגר המידע מחויב לקיימם. בעלי מאגרי מידע, ככל שמתאמצים לשמור על המידע ולפעול בהתאם לתקנות, כאשר הם מעבירים מידע למיקור חוץ הם לעיתים מזניחים את הדרך בה הם מפקחים על מחזיק המידע שלהם/של לקוחותיהם.

  • בכל הקשור להעברות מידע לחו"ל - גוף ישראלי שרוצה לקבל מידע בנוגע להוראות הדין בנושא, מוזמן לבקר באתר הרשות להגנת הפרטיות.


 

לצפיה בהקלטת ה- Webinar המלאה