07/01/2021

כמה להשקיע באבטחת המידע של הלקוחות או המשתמשים שלי?

artical-image

האם כל חנות בגדים שאוספת מאגר לקוחות עבור רימרקטינג, שוות ערך לחברת סטארט-אפ שעוסקת בביג דאטה? ומה לגבי עורכי דין וחברות בעלות אופי ביטחוני? מאת עו"ד עידן בן-יעקב

ההאקרים שפרצו לחברת הביטוח שירביט יעלמו בקרוב חזרה לאנונימיות, אולם החברה ככל הנראה עדיין תיאלץ לעמוד בפני מתקפה משפטית בשתי חזיתות: פלילית, על ידי רשויות המדינה, ואזרחית – על ידי הלקוחות שלה שפרטיותם נפגעה.

רק השנה דווחו למעלה מ-200 אירועי כופר דיגיטליים בישראל, וכנראה שזה רק קצה הקרחון: ככל שהעולם מתקדם לעבר דיגיטציה – המספר רק יטפח. אך כאשר עסקים וחברות נאלצים להתמודד עם משאבים מוגבלים, נשאלת השאלה המתבקשת: עד כמה להשקיע באבטחת מידע? האם כל חנות בגדים שאוספת מאגר לקוחות עבור רימרקטינג, שוות ערך לחברת סטארט-אפ שעוסקת בביג דאטה? ומה לגבי עורכי דין וחברות בעלות אופי ביטחוני?

חוק הגנת הפרטיות (אבטחת מידע) מספק לנו תשובות לחלק מהשאלות ומגדיר שלוש רמות של אבטחה בהתאם לרגישות המידע שעליו אנו מופקדים. כך למשל, אין דינו של מי שעליו מוטלת חובת חיסיון (רופא, עו"ד וכד') כדינו של בעל חנות אלקטרונית לממכר ספרים. החוק מאפשר לחברות סוג של הגנה מפני תביעה במידה והן אכן עמדו בכל הכללים הנדרשים, לכן חשוב להקפיד עליהן ולא "לסמוך על הנס".

רבים נוטים להזניח את הנושא, אולי יש לכך קשר לסמכות המועטה יחסית שקיימת כיום בידי הרשות להגנת הפרטיות לאכוף את החוק (כך לדברי מנהל מחלקת האכיפה ברשות להגנת הפרטיות עלי קלדרון). אך חשוב לזכור שכאשר אנו עוסקים בחברות בינלאומיות גורם נוסף נכנס לתמונה.

קנסות GDPR

אירופה, למשל, לוקחת את נושא הגנת הפרטיות של אזרחיה ברצינות רבה. הפרות חוקי הפרטיות של האיחוד האירופי (GDPR) כבר הובילו לקנסות כבדים על חברות שונות, חלקן בינלאומיות שכלל אינן ממוקמות באירופה.

משנת 2018 ועד היום הגיע סכום הקנסות בגין הפרת כללי הפרטיות של האיחוד האירופי (GDPR) לקצת יותר מ-220,000,000 יורו. יש מי שטוען כי גם זה מעט מדי. דו"ח שהוציא משרד עורכי הדין DLA PIPER קבע כי דווחו למעלה מ-160,000 הפרות GDPR ברחבי האיחוד האירופי מאז שנכנסו לתוקפם החוקים במאי 2018.

אולם כשבוחנים את סכום הקנסות ואת אופן ההתפלגות שלהם לעומת מספר ההפרות נראה כי הוא אינו משקף את היקף ההפרות בפועל. המדינה המובילה בפעילות אכיפה מקרב מדינות האיחוד האירופי היא ספרד עם 144 קנסות, כאשר הרבה אחריה מגיעות רומניה (41), הונגריה (32), איטליה (31) וגרמניה (27).

אכן, אירופה לוקחת מאוד ברצינות את הנושא, וכך גם החברות הפרטיות שפועלות בה. רק לאחרונה דווח כי ווטסאפ אירלנד "שמה בצד" ליום פקודה 91.8 מיליון דולר למקרה של הפרת GDPR פוטנציאלית, על רקע חקירה שהתעוררה בהקשר זה. גם החברות הישראליות המקיימות פעילות ברחבי אירופה חייבות להישמר. ליווי משפטי צמוד הוא תנאי הכרחי לכל פעילות סטארט-אפ שמחזיק מידע על לקוחות ומשתמשים.

מחזיקים מידע גם על אזרחים אמריקניים? העסק מסתבך עוד יותר…

המסקנה ברורה: בימינו כל ליווי משפטי מקצועי מחייב, בין השאר, גם התמחות גבוהה בנושא אבטחת מידע. מי שמתפשר על כך עלול למצוא את עצמו במצב קשה מאוד. הנה, תראו את שירביט…

עו"ד עידן בן-יעקב, ממשרד בן-יעקב עורכי דין, עוסק בתחום הנדל"ן, השקעות בארץ ובחו"ל, הגנת הפרטיות, ניהול הון משפחתי, ייעוץ שוטף לחברות, חברות הזנק, חברות בשלות ועוד