פרטיות היא ביטוי לאוטונומיה שלנו. היכולת שלנו לבחור ולשלוט בחיים שלנו.
ללא פרטיות אין דמוקרטיה, אם יודעים עלינו הכול, אז גם ידעו למי אנחנו מצביעים.
פרטיות מוגדרת ע"י תרבות ויכולה לבוא לידי ביטוי לכל אחד ואחת בצורה שונה. במקומות שונים יש
תפיסה שונה של מה אנחנו רוצים שיהיה פרטי ומה לא.
הצורך בפרטיות אינו חדש, יש אזכורים לכך אפילו בספרי התנ"ך ולאורך הזמן הפרטיות השתנתה עם
התרבות.
הטכנולוגיה טרפה את הקלפים, כיום יש מכשירים ואפליקציות שאוספים המון מידע על המשתמשים, כך
גם רשתות חברתיות שמאתגרות את תפיסת הפרטיות.
אבל, אסור שנצטרך לוותר על שימוש בטכנולוגיה כדי לשמור על הפרטיות שלנו, ממש כמו שזה לא הגיוני
לוותר על יציאה לרחוב כדי להימנע מאלימות. חשוב מאוד שתהיה שמירה על הפרטיות שלנו במרחבים
הווירטואליים ויש דרכים לעשות זאת.
לאור ההתפתחויות הטכנולוגיות קם צורך בחקיקה חדשה שתעזור לשמור על איזון בין גופי
ממשלה/ארגונים עסקיים והשאיפות שלהם לאסוף עלינו מידע לבין הזכות הבסיסית שלנו לשמור על
הפרטיות שלנו.
אנחנו מתחילים להבין את ההשלכות של הטכנולוגיה המתקדמת על הפרטיות שלנו וישנה מגמת שינוי.
ארגונים ומדינות מתחילות להתייחס לנושא בכובד ראש. דוגמא טובה לכך היא רגולציית הגנת הפרטיות
האירופאית ה GDPR שמכתיבה סטנדרטים בנושא וקונסת בכבדות ארגונים שלא מכבדים אותם.
מצד שני ישנן מקרים בהן חדירה לפרטיות משמשת מנגנוני אכיפה כמו בזיהוי עבריינים, פעילי טרור או
אנשים עם נטיות אובדניות.
מילת המפתח היא איזון.
איך אנחנו יכולים לשמור טוב יותר על הפרטית שלנו?
אנחנו צריכים להבין מה אנחנו רוצים להשאיר פרטי ומה לא.
פגיעה בפרטיות נגרמת כאשר פרסמנו משהו למטרה מסוימת ואז המידע מנוצל למטרה אחרת.
ישנו שובל דיגיטאלי לכל מה שאנחנו עושים ברשת ויש לקחת את זה בחשבון.
ככל שנחשוף פחות כך נשמור טוב יותר על הפרטיות שלנו.
אין צורך להסכים לכל בקשה של כל אפליקציה שדורשת לאסוף מאיתנו מידע. צריך לבדוק מה כל
אפליקציה רוצה והאם זה הכרחי בשבילנו לאשר זאת.
לא תמיד זה קל כי חברות נוהגות לערפל את מדיניות הפרטיות ע"י שיתוף מסמכים ארוכים ובלתי
קריאים, מייאשים את המשתמשים שחותמים עליהם ללא יכולת להבחין על מה בעצם הם חתמו.
GOOGLE נקנסה ע"י ה GDPR בדיוק בגלל זה.
קצת קשה לנו כלקוחות בודדים לעמוד מול חברות הענק ולכן יש צורך בבקרה חיצונית.
מה לגבי ארגונים וחברות, איך באה לידי ביטוי האחריות שלהם?
ארגונים חייבים לעמוד בדרישות החוק. בישראל ישנו חוק פרטיות משנת 1981.
ארגונים צריכים להיות ברורים לגבי הפעולות שלהם ולמה הם עושים את הפעולות האלו.
למה אוספים את המידע? איפה הוא נשמר? ממי הם אוספים מידע? ולמי מעבירים את המידע הזה?
ארגונים צריכים לבדוק שאכן הם מבצעים את מה שהצהירו.
חייבת להיות צמידות מטרה לאיסוף המידע, המידע נאסף למטרה מסוימת שהוגדרה.
חייבת להיות שקיפות מול הלקוחות שמבהירה את המדיניות כלפי המידע שנאסף.
ארגונים צריכים לנקוט בצמצום איסוף המידע ולמחוק מידע שאינו רלבנטי יותר.
ארגונים אמורים למקסם את המאמצים לשמור על המידע ולהימנע מדליפות מידע.
בהרבה ארגונים ישנו קונפליקט בין אנשים ששואפים לאגור מידע כי ייתכן ויהיה בו שימוש בעתיד לבין
שמירה על הפרטיות של הלקוחות. לא תמיד ישנה הבנה להשלכות של איסוף מידע ושימוש לא נאות.
אבל...
ארגונים אשר שומרים על הפרטיות של הלקוחות שלהם יגיעו להישגים.
חברות יכולות לאסוף מידע על הלקוחות ללא פגיעה בפרטיות שלהם, דוגמה טובה לכך היא חברת
APPLE ששואפת לשמור על הפרטיות של הלקוחות שלה.
אנשים קובעים את השימוש בטכנולוגיה ולא ההיפך (נכון לעכשיו 😊) כך שהאחריות היא בידי האנשים
שמנהלים את הארגון. אף אחד לא רוצה להיות מנוטר 24*7.
יש לזכור שכל מקרה של דליפת מידע מסכן את הארגון, לכן שמירה על מידע שאינו נחוץ מעמיד את
הארגונים בסיכון מיותר.
אחסון עולה הרבה כסף, עדיף למחוק מידע לא שימושי גם כדי לחסוך.
אז מי בארגון אחראי על שמירת הפרטיות?
המנכ"ל/ית אחראי/ת על שמירת הפרטיות של הלקוחות אך הוא בוודאי צריך עזרה.
בהרבה חברות בישראל מנהל אבטחת המידע הינו הממונה על הפרטיות אך אלו אסכולות שונות
שממשיקות בהרבה תחומים אבל נפרדות מטבען.
ממונה אבטחת המידע אחראי לאבטחת הארגון וממונה הפרטיות אחראי לפרטיות של הלקוחות.
ה CISO שומר על המידע וממונה הפרטיות קובע מה מותר ומה אסור לעשות אתו.
ה GDPR הגדיר תפקיד חדש ה DPO (Data Protection Officer).
למנהלי אבטחת המידע יש תפקיד רחב ביותר עם הרבה משימות וקונפליקטים, לא יהיה להם קל
להתנהל בכובע שני של ה DPO.
כאמור פרטיות היא תלוית תרבות, בארה"ב היא מובלת ע"י הצורך בחופש, באירופה ע"י יושרה ובישראל
לאור התרבות שלנו היא מובלת ע"י אבטחה.
הדבר משתקף בתקנות בישראל שמתעסקות בעיקר בשמירה על המידע ועל מאגרי המידע. ה GDPR
עוסק יותר בעקרונות של ניהול המידע.
ה DPO מייצג ישות נפרדת אשר מתממשקת לאבטחת המידע, לטכנולוגיה, למשפט, ניהול סיכונים וכל
זה בהקשר לסוג העסק והאופי שלו.
בישראל (בניגוד לאירופה) אין חובה ב DPO לכן לעיתים רבות מנהלי אבטחת המידע הם אלה שמאיישים
את תפקיד השמירה על פרטיות. בישראל זה אפשרי ובאירופה ישנו איסור מפורש על כך.
איך המדינה עוזרת/מבקרת את הארגונים?
מדינת ישראל נחשבת לחלוצה בתחום הפרטיות ויש לנו חוק בנושא משנת 1981.
הרשות להגנת הפרטיות היא גוף אשר שואף להתוות דרך לארגונים להתנהגות ראויה בנושא.
ישראל נחשבת כמקום בטוח להעברת מידע.
עם זאת, לחוק ולרשות אין את היכולת לקנוס כמו ל GDPR ולכן חסרים בכוח מהותי כדי להוביל לשינוי
נרחב.
המושג מאגר מידע נוטה לבלבל את הארגונים אשר לעיתים מנסים להתמודד אתו ביצירתיות משפטית.
ארגונים אשר לא מוגדרים כבעלי מאגר מידע נוטים לעשות פחות עבור הפרטיות של הלקוחות שלהם.
בראייה לעתיד, נראה שיש התעוררות בהקשר לפרטיות ולהבנת החשיבות שלה.
ישראל אינה מנותקת מהעולם ולכן ההתקדמות הגלובאלית תחייב גם אותנו למצוא את האיזון בין הרצון
של החברות להרוויח כסף והרצון של המדינה לאכוף את החוקים לבין הפרטיות שלנו כאזרחים ולקוחות.
מה חשוב לזכור?
פרטיות היא זכות בסיסית של כולנו.
אנחנו צריכים להיות יותר זהירים במידע שאנחנו חושפים.
אנחנו צריכים לשים לב לפגיעה בפרטיות שלנו ולהיות אקטיביים לגבי זה.
ארגונים צריכים לגלות אחריות בנושא, שמירה על פרטיות הלקוחות תעזור לארגון לשגשג.
האתגר הטכנולוגי אמנם מאתגר אך צריך למצוא את האיזון.
חשוב לפשט את תפיסת הפרטיות באגונים כדי שיהיה נוח וקל להבין אותה. פרטיות יכולה להיות עניין
פשוט.
הפרטיות לא מתה, היא חיה ובועטת!!!