עו"ד רפאל בייפוס – צילום: נועה שרביט
האם העסק (הקטן) שלכם מפר את חוק הפרטיות בלי לשים לב או בלי לדעת זאת?!
המאמר באדיבות: עו"ד רפאל בייפוס
רוב בעלי העסקים הקטנים לא קמים בבוקר כדי להפר חוק. הם עסוקים בלשלם משכורות, להביא לקוחות, לסגור ספקים ולשרוד תחרות. אבל במקביל, כמעט כל עסק קטן מחזיק מידע אישי, ולעיתים רגיש, על לקוחות ועובדים. ברגע שמידע כזה נאסף, נשמר או מועבר בצורה לא מאובטחת, נכנס לתמונה חוק הגנת הפרטיות ותקנות אבטחת מידע.
הבעיה היא שרבים פשוט אינם מודעים לכך או אינם שמים לב לכך שההתנהלות היומיומית שלהם עלולה להיחשב כהפרה של חוק הגנת הפרטיות.
נתחיל בדוגמאות פשוטות. בית עסק שדורש צילום של תעודת זהות, לא מטופל ברשומות בצורה מאובטחת, לדוגמא שומר את הפרטים בקבוצת ווטסאפ של הצוות. חנות שמחזיקה קובץ אקסל פתוח ולא מאובטח עם פרטי לקוחות וסיסמה זהה לכל העובדים.
בית עסק השומר פרטי אשראי של לקוחות בקובץ ללא הצפנה. בעל עסק שמתקין מצלמות אבטחה אך אינו מציב שילוט מתאים, אינו דואג שהמצלמות לא יכוונו לשטחים פרטיים או יכסו אזורים פרטיים ואינו מגדיר מדיניות שמירה. אף אחד מהמקרים האלה אינו נובע מכוונה רעה, אך כולם יוצרים חשיפה משפטית ממשית.
החוק אינו מבחין בין תאגיד ענק לחנות שכונתית בכל הנוגע לחובה לשמור מידע בצורה סבירה. גם עסק קטן מחויב להגן על המידע שהוא מחזיק, להשתמש בו רק למטרה שלשמה נאסף, ולהימנע משמירה עודפת.
אחת הטעויות הנפוצות היא איסוף מידע ללא צורך אמיתי. צילום תעודת זהות כאשר די במספר טלפון, שמירת פרטי אשראי לאחר ביצוע עסקה, או רישום מידע רפואי שאין לו קשר ישיר לשירות הניתן. עקרון בסיסי בדיני פרטיות הוא צמצום מידע. אוספים רק מה שצריך, ולא מעבר לכך.
טעות נוספת היא שימוש לא מבוקר בכלים דיגיטליים. בעלי עסקים רבים מנהלים רשימות לקוחות במערכות ענן, באפליקציות דיוור או בקבוצות מסרים. כאשר המידע מועבר לצד שלישי, גם האחריות על אופן השמירה שלו נשארת אצל בעל העסק. ללא בדיקה בסיסית של אמצעי האבטחה וללא הסדרה חוזית מתאימה, העסק נותר חשוף.
גם מצלמות אבטחה הן מוקד סיכון שלא תמיד זוכה לתשומת לב. מותר להציב מצלמות לשם הגנה על רכוש וביטחון, אך יש להגדיר מטרה ברורה, להציב שילוט מתאים, להימנע מצילום אזורים פרטיים ולשמור את הצילומים לזמן סביר בלבד. צילום בלתי מבוקר או שימוש בצילומים למטרה אחרת עלול להיחשב כהפרה של חוק הגנת הפרטיות.
עו"ד רפאל בייפוס – צילום: נועה שרביט
מה נדרש בפועל מבית עסק כדי לכבד את חוק הגנת הפרטיות?
1. הבנה איזה מידע קיים בעסק וכיצד לשמור עליו. מטרות המאגרים , רשימת לקוחות, פרטי עובדים, נתוני ספקים, צילומים ממצלמות, מידע רפואי או פיננסי. מיפוי מאגרי מידע בסיסי כזה מאפשר לזהות היכן מצוי הסיכון.
2. קביעת כללים פנימיים ברורים. מי רשאי לגשת למידע, מהי האבטחה היכן הוא נשמר, כמה זמן שומרים אותו, ומה עושים במקרה של עזיבת עובד. אפילו נוהל קצר ומותאם לעסק קטן יכול להפחית משמעותית את הסיכון.
3. הדרכת עובדים. פעמים רבות הדליפה אינה טכנולוגית אלא אנושית. עובד ששולח בטעות רשימת לקוחות, משאיר מחשב פתוח, או משתף מידע בקבוצת מסרים לא מאובטחת. הדרכה שנתית קצרה יכולה למנוע טעויות יקרות.
4. להיות ערוכים לבקשת לקוח. לכל אדם יש זכות לדעת איזה מידע מוחזק עליו בבית העסק ואף לבקש תיקון או מחיקה במקרים מסוימים. עסק שאינו ערוך להשיב לפנייה כזו בזמן סביר עלול להיתקל בתלונה לרשות המוסמכת.
מה קורה כאשר מתרחש אירוע הקשור לאבטחת מידע. מעבר לקנס אפשרי, יש פגיעה תדמיתית. לקוחות מאבדים אמון במהירות. בעידן רשתות חברתיות, תלונה אחת על שימוש לא ראוי במידע עלולה להפוך לנזק כלכלי ותדמיתי רחב בהרבה מההיבט המשפטי עצמו. עבור עסק מקומי, מוניטין הוא נכס מרכזי. פגיעה באמון עלולה להיות יקרה יותר מכל קנס.
הבשורה הטובה היא שאין צורך במנגנון מורכב או יקר כדי לפעול נכון. רוב העסקים הקטנים זקוקים לבחינה מסודרת של אופן ניהול המידע, התאמת נהלים בסיסיים למציאות שלהם, ובקרה תקופתית פשוטה. מדובר בניהול סיכון עסקי, לא רק בחובה משפטית.
עסק שמטפל במידע של לקוחותיו באופן אחראי משדר מקצועיות, אמינות וכבוד. בעידן שבו מידע הוא מטבע יקר ערך, שמירה עליו היא חלק בלתי נפרד מניהול עסק מודרני. השאלה איננה האם העסק שלכם מחזיק מידע אישי. כמעט בוודאות כן.
השאלה היא האם אתם מנהלים את העסק שלכם, או שהוא מנהל אתכם.
המאמר באדיבות: עו"ד רפאל בייפוס מתמחה בהגנת הפרטיות ואבטחת מידע.
כתובת מייל: info@beifus.co.il
