4 צעדים שניתן לנקוט כעת כדי לציית לתקנות הGDPR

הGeneral Data Protection Regulation הפך להיות אחד הנושאים המשמעותיים בארגונים מסביב לעולם. לפי סקר היערכות שערכה חברת PwC, 92% אחוז מהארגונים בארצות הברית נותנים חשיבות עליונה לציות לתקנות החדשות במסגרת פעולות האבטחה והפרטיות של הארגון. יותר ממחיצתם אף אמרו שזו המטרה הכי חשובה עבורם.
עבור 8% הנותרים חשוב להסביר שהGDPR הינה תקינה אירופאית חדשה בנושא פרטיות’ המגנה על מידע אישי של אנשים פרטיים שמתגוררים בגבולות האיחוד, ללא קשר לאזרחותם או לשאלה האם המידע האישי שלהם מאוחסן בגבולות האיחוד או לא. התקנות נוגעות לכל הארגונים בין אם בתוך האיחוד או מחוצה לו, כל עוד הם מספקים טובין או שירותים, או מנטרים את פעילותם של תושבי האיחוד.
התקנות החדשות נכנסו כבר לתוקף והחל מחודש מאי 2018 האיחוד יחל באכיפתן על ידי הטלת קנסות כבדים על חברות שימצאו מפירות אותן. כאשר המועד לציות קרוב מתמיד, עכשיו זהו הזמן עבור ארגונים להתחיל לאפיין תהליכי עבודה עבור הצמדות לדרישות התקינה.
אין להתייחס בקלות ראש לתקנות החדשות ולהתייחס אליהן בהמלצה בלבד, אלא להכיר בחובה לעמוד בהן. חברות שימצאו בהפרה של התקנות עשויות להיקנס בקנסות עד לגובה 4% מכלל המחזור השנתי או 20 מיליון אירו (הגבוה מבין השניים), ולא משנה מה גודל החברה, ההשפעה עליה תהיה קשה. חברות רבות כבר התחילו לצעוד לעבר ציות לתקינה – אך הזמן אוזל עבור חברות שבהן התהליך מתעכב.
אז כיצד הGDPR עשוי להשפיע על הארגון שלכם?
מכיוון שהיקף התקנות והדרישה שבהן הינן עמוקות ומורכבות יש צורך להתכונן עבורן כבר עכשיו על מנת לוודא שתצייתו להן באופן מלא. התקנות דורשות גישה מובנית וברורה להגנה על מידע, בדומה לתקינות אחרות כגון SOX או PCI, לכן יש צורך בתוכנית הגנתית מקיפה שתאפשר לכם להוכיח לרגולטור שאתם פועלים כיאות. שאלו את הארגון את השאלות הבאות:
- מהו המידע שאנו מאחסנים שנוגע לאיחוד האירופי (מידע על עובדים, צרכנים ולקוחות)?
- האם אנו ערוכים לספק ראיות על ציות לGDPR לרגולטור האירופי, הישראלי או האמריקאי? מי עשוי לבקש את הראיות האלו?
- האם יש לנו בקרה ונראות מלאים ביחס למידע האישי שאנו אוספים? כיצד אנו משתמשים בו? עם מי אנו חולקים אותו?
- האם יש לנו תוכנית תגובה למקרה של זליגת מידע שעונה על החובה המוגדרת בGDPR להודיע על כך לרשויות תוך 72 שעות? האם בדקנו אותה?
- האם הגדרנו תוכנית פרויקט מפורטת עבור ציות לGDPR?
- האם איתרנו אדם שייקח על עצמו את תפקיד ה-Data Protection Officer (DPO) כפי שמחייב הGDPR?
ישנם ארבעה אזורים קריטיים בהן חברות צריכות להתמקד כאשר הן ממפות את גישתן לקראת ציות לGDPR: מדיניות, תהליכי עבודה, נהלים ואנשים.

מדיניות
ממש בתחילתו של התהליך חשוב לאתר את צוות ההיגוי של הפרויקט שיוביל את השינוי הנדרש בכל רחבי הארגון. מומלץ להתחיל באיתור מישהו בהנהלה הבכירה שמוכן לקחת על עצמו את הובלת הפרויקט כולו. גיוס ההנהלה הבכירה והגדרתה כבעלת הפרויקט בשלב מוקדם יעזור להבטיח את חלוקת הזמן והמשאבים שידרשו בהמשך. שאר צוות ההיגוי צריך להיות מורכב מנציגים של כל המחלקות השונות בארגון.
צרו תוכנית פרויקט מפורטת עבור כל מחלקה בארגון. מנהלי פרויקטים ימונו על ידי צוות ההיגוי ויוגדרו באופן ברור לוחות הזמנים, אבני דרך ותפקידים וסמכויות.
על כל מנהל פרויקט כזה וצוותו להעריך ולהבין איזה מידע בדיוק נופל תחת הגדרת התקנות, היכן המידע הזה מאוחסן וכיצד המידע עובר בתוך מערכות הארגון. לדוגמא: מידע אישי מזהה של עובדים שמאוחסן על גבי מערכת הERP בחברה. במידע עושות שימוש מחלקות משאבי אנוש, כספים וכדומה.
ברגע שזיהיתם את כל המידע האישי שמעובד על ידי החברה, אתם יכולים לייצר מדיניות שתקבע מה יש לעשות עם המידע הזה על מנת לציית לתקנות. יש לשאול את עצמכם:
- מדוע אנחנו אוספים את המידע הזה?
- האם אנחנו צריכים לשמור עליו?
- האם קיבלנו הסכמה מכל אדם ואדם לאסוף עליהם את המידע הזה?
- למי יש גישה למידע ולאיזה צורך?
כמובן שיש צורך ליזום גם מדיניות מקיפה הנוגעת לאמצעי האבטחה שעל הארגון ליישם על מנת למנוע זליגה פנימית או חיצונית של המידע. יש לאתר ולהגדיר את כל הסיכונים האפשריים ולשתף אותם עם הגורמים הרלוונטיים בחברה על מנת למצוא ביחד את הפתרונות המתאימים.

תהליכי עבודה
על מנת לציית לתקנות הGDPR באופן מלא, יש לבחון לעומק את התהליכים הקיימים בחברה הנוגעים לאיסוף ושמירה של מידע אישי. את חלקם יהיה צורך לבנות מחדש, ואחרים יעזרו לכם להבין שישנו מידע שנאסף על ידי החברה אך כעת אין בו צורך יותר, עובדה שמייתרת את התהליך כולו. לדוגמא: כיום אתם מבקשים מאנשים מידע אישי מזהה על מנת להתאים להם שאלות אבטחה בעת יצירת חשבון חדש. מכיוון שידוע לכם שבקרוב תיכנס לפעולה מערכת אבטחה חדשה שלא דורשת את המידע הזה, אלא משתמשת באמצעים אחרים, ניתן כעת להפסיק לאסוף אותו ולמחוק את כל המידע שכבר אספתם.
דוגמאות נוספות לתהליכים שיש לבחון מחדש כוללות: יידוע אנשים לגבי מתי וכיצד נאסף עליהם מידע אישי, בקשה להסכמה ברורה לאיסוף המידע האישי, הוספת בקרות גישה נוספות למניעה מאנשים שאינם מורשים לכך מלגשת למידע רגיש ויישום הצפנת מידע היכן שנדרשת.

נהלים
חשוב מאוד ליזום נהלים אשר מגדירים כיצד יש להגיב כאשר אנשים פרטיים יבקשו למצות את זכויותיהם מולכם כפי שמאפשר הGDRP. יש לשקול מספר דברים ביחס לנושא הנ"ל:
- מי האחראי בארגון לקבל את הבקשות הנכנסות מאנשים פרטיים?
- מה תהליך העבודה שמנחה את הטיפול בבקשה?
- מהם המקרים בהם יש צורך לשמור מידע לצרכים משפטיים, עסקיים או אחרים?
יש לבחון לעומק כל אחת מנקודות אלו ולוודא כי הנהלים ברורים ומתוקשרים היטב לכל בעלי העניין בארגון.

אנשים
הנכס החשוב ביותר שלכם הוא האנשים. אל תשאירו אותם באפלה ביחס לתהליך השינוי שהארגון עובר. חנכו את הלקוחות, הספקים והעובדים שלכם לגבי משמעויות הGDPR והציגו בפניהם את המדיניות, תהליכי העבודה והנהלים שהגדרתם על מנת לשמור על המידע האישי שלהם. אמרו להם כמה אתם מעריכים את הפרטיות שלהם ואת תפקידכם כשומרים של המידע האישי שלהם. ספקו להם שקט נפשי באמצעות הידיעה שאתם לוקחים את התקנות החדשות ברצינות ומתאימים את עצמכם להן בזהירות וביעילות.
בסופו של יום הם יודו לכם, והארגון שלכם יכול להתגאות בעובדה שהוא מציית באופן מלא לתקנות.
נקודות תורפה אפשריות
אנשים רוצים לעשות עבודה טובה ולדאוג ליישום מלא של הGDPR אך מתקשים להתקדם מעבר לשלב איסוף המידע הראשוני. לעתים יש מידע שקשה מאוד או לא ניתן לקבל לגבי היבטים מסוימים בארגון ובמקרים כאלו התהליך כולו עשוי להיעצר. דעו מתי להמשיך עם מה שיש לכם. התקדמות חלקית עדיפה על חוסר התקדמות.
במקרים אחרים נעשית עבודה יסודית ופערים רבים שיש לסגור בארגון מזוהים, אך בעלי התפקידים אינם יודעים היכן להתחיל וכיצד לתעדף את העבודה. התחילו בלאבטח את המידע הרגיש, המשיכו בהדרכה נכונה בנושא כיצד יש לנהוג בו והמשיכו על ידי הקמת מנגנוני בקרה.
לצערנו, הקצאה ראויה של זמן ומשאבים בדרך כלל מגיעה בשלב מאוחר בפרויקט. לכולם יש את משימות שוטפות ואנשים אינם מחויבים למשימות הנדרשות בפרויקט הGDPR שנתפסות רק כמפריעות. בעלות מלאה של הנהגת החברה וצוות היגוי חזק יעזרו למנוע מקרים שכאלו.
אז מה עכשיו?
קחו את ההזדמנות הזו כדי להפוך את צוותי הפרויקט לסוכני שינוי אמיתיים בארגון. תמרצו את העובדים תמיד לחשוב על פרטיות בזמן שהם עובדים. תפיסה שכזאת צריכה להשפיע על כל מחלקות החברה, IT, משאבי אנוש, שיווק, מכירות, פיתוח ועוד. הGDPR יכול לשמש כזרז לשינוי כללי בארגון לקראת אימוץ מלא של השקפת עולם מבוססת פרטיות.
הGDPR מציג הזדמנות לארגונים להפריד את עצמם מאחרים לא רק על ידי ציות לתקנות, אלא על ידי התמקדות באנשים. אם בכל שלב אינכם בטוחים מה היא הדרך הנכונה להמשיך, שאלו את עצמכם כיצד אתם הייתם רוצים שיטפלו במידע שלכם?
הצטרפו לרשימת התפוצה שלנו.