השבוע צוין ברחבי העולם יום הגנת הפרטיות הבינלאומי, תזכורת שנתית לכך שפרטיות אינה מותרות, אלא תנאי בסיסי לחיים דיגיטליים תקינים. בישראל, היום הזה מקבל השנה משמעות מיוחדת על רקע כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות. לא מדובר בעוד עדכון טכני או קוסמטי, אלא בשינוי עומק שמחייב חברות לחשוב מחדש על פרטיות כנדבך ניהולי ועסקי.
מאחורי השם הטכני מסתתר שינוי עמוק. זהו גל דרישות רגולטוריות שמטלטל שורה ארוכה של תאגידים, חברות טכנולוגיה, גופים פיננסיים, מוסדות חינוך ובריאות, קמעונאות ועסקים קטנים ובינוניים.
החוק נכנס לתוקף כבר באוגוסט, אך החודשים הראשונים התאפיינו באכיפה רכה יחסית ובמעין “תקופת הסתגלות”. התקופה הזו מסתיימת. הרשות מאותתת בבירור שהכללים משתנים, ומי שטרם נערך, חשוף לא רק להפרות טכניות, אלא גם לקנסות משמעותיים ולפגיעה תדמיתית. המהלך האחרון של הרשות, שבחרה לבצע פיקוח רוחבי על מגזרי פעילות שלמים ולא להסתפק בתלונות נקודתיות, ממחיש היטב את השינוי.
ארגונים אינם נמדדים עוד רק בשאלה האם הפרו את החוק בפועל, אלא האם הם מנהלים את תחום הפרטיות באופן סדור והאם ניתן להסביר בזמן אמת איזה מידע נאסף, לאילו מטרות, ומי אחראי עליו. הסיכון הופך להיות לא רק משפטי אלא עסקי. פגיעה בפרטיות עלולה להתגלגל במהירות למשבר אמון, לפגיעה במוניטין ולתגובות ציבוריות חריפות.
אחד השינויים המרכזיים הוא הרחבה משמעותית של מושגי היסוד. “מידע אישי” הוא כל מידע הנוגע, במישרין או בעקיפין, לאדם מזוהה או שניתן לזיהוי. האחריות לאבטחת המידע אינה מונחת עוד על כתפיו של מנהל מסוים, אלא על הארגון כולו.
מתוך המציאות הזו צומח גם תפקיד הממונה על הגנת הפרטיות (DPO). זהו תפקיד חוצה תחומים, שמחבר בין משפט, טכנולוגיה, נתונים וניהול, ונועד להטמיע חשיבת פרטיות כבר בשלב התכנון ולא ככיבוי שריפות בדיעבד. הביקוש ל־DPO ולאנשי פרטיות נמצא בעלייה ברורה, ושוק העבודה כבר מתחיל לשקף זאת.
סביר להניח שמה שאנחנו רואים כעת הוא רק קצה הקרחון. ככל שהאכיפה תעמיק והמודעות תגדל, יותר ויותר ארגונים יבינו שפרטיות היא מבחן לניהול אחראי בעידן של מידע. מי שיבין זאת מוקדם, ירוויח. מי שימשיך להתעלם - ישלם, ובדרך כלל ביוקר.
התרעות פיקוד העורף