בלי הודעה דרמטית ובלי אירוע מתוקשר, פירסמה לפני מספר ימים הרשות להגנת הפרטיות הודעה שעשויה להתברר כאחת המשמעותיות ביותר בשנים האחרונות: פתיחתו של פיקוח רוחבי יזום, לראשונה מאז כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות. לא מדובר בבדיקה נקודתית בעקבות תלונה או דליפת מידע, אלא במהלך מתוכנן ורחב היקף, שנועד לבחון את רמת המוכנות הארגונית במספר סקטורים מרכזיים.
בין הגופים שנכללים במהלך לפיקוח הרוחבי שנעשה באופן תקדימי לראשונה: רשויות מקומיות, חברות אשראי, אפליקציות לניהול כספים, מכוני סקר גנטי וצהרונים. המכנה המשותף ברור: החזקה ועיבוד של מידע אישי רגיש, לעיתים כחלק מליבת הפעילות העסקית, ולעיתים תוך הסתמכות על ספקים חיצוניים, מערכות טכנולוגיות ושירותים דיגיטליים מורכבים.
המהלך הנוכחי מסמן שינוי תפיסתי בגישת הרשות. אם בעבר הפיקוח הופעל בעיקר כתגובה לאירועים, דליפות, תלונות או כשלים נקודתיים, הרי שכעת מדובר במעבר לפיקוח יזום, שמבקש לבחון את ניהול תחום הפרטיות בארגון כהליך מתמשך.
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף באוגוסט האחרון נתפס עד כה בעיקר ככלי אכיפה, אולם כעת מקבל בהקשר זה משמעות רחבה יותר. הרשות אינה מסתפקת עוד בבחינת קיומם של אמצעי אבטחת מידע, אלא בוחנת שאלות ניהוליות: כיצד מתקבלות החלטות ביחס לעיבוד מידע אישי, מי נושא באחריות, והאם קיימת התאמה בין מדיניות כתובה לבין אופן הפעולה בפועל.
המסר שמבקשת הרשות להעביר ברור: הגנת פרטיות אינה רק סוגיה טכנולוגית או משפטית, אלא סיכון ניהולי. בעולם שבו מידע אישי הוא נכס מרכזי, ניהולו מחייב מעורבות הנהלה, קבלת החלטות סדורה ומנגנוני בקרה.
מהניסיון המצטבר, מרבית הכשלים בתחום לא נובעים מהיעדר מערכות או פתרונות טכנולוגיים. ברוב הארגונים קיימות מערכות, נהלים ולעיתים אף ייעוץ חיצוני. הבעיה מתגלה במקום אחר, בהיעדר תמונת ניהול כוללת שמחברת בין כל המרכיבים לכדי מדיניות יישומית אחת.
פיקוחים רוחביים מסוג זה בוחנים שאלות בסיסיות אך קריטיות: האם הארגון יודע אילו מאגרי מידע קיימים אצלו? מי מוסמך לאשר שימוש חדש במידע אישי? כיצד נבחנים סיכונים בעת הכנסת מערכת חדשה או התקשרות עם ספק חיצוני? והאם קיימת בקרה שוטפת על אופן היישום בשטח?
העובדה שהפיקוח נפתח ללא אירוע מקדים אינה מקרית. הרשות מבקשת להעביר מסר ברור: ניהול פרטיות אינו עניין שמתעורר רק לאחר משבר. הציפייה מארגונים היא לניהול יזום, מתועד ושיטתי של מידע אישי, כחלק בלתי נפרד מהתנהלות ארגונית תקינה.
חשוב להדגיש כי עצם פתיחת הפיקוח לא בהכרח מבשרת על גל אכיפה מיידי. עם זאת, מדובר באיתות רגולטורי חד וברור. ארגונים שיתייחסו להודעה כאל עוד עדכון רגולטורי שגרתי, עלולים לגלות כי הפער אינו טכני , אלא תפיסתי: בין ראיית הפרטיות כעניין תגובתי לבין ניהולה כסיכון מובנה.
הפיקוח הרוחבי הראשון מכוח תיקון 13 עשוי להיתפס כמבחן בגרות. לא מבחן של עמידה בצ’ק ליסט, אלא של יכולת להציג שיקול דעת, תהליכים והחלטות סדורות. עבור הנהלות ודירקטוריונים, מדובר בקריאה לבחינה מחודשת של אופן ניהול המידע האישי בארגון.
ארגונים שיבחרו לנצל את המהלך כהזדמנות לבחינה עצמית מיפוי מאגרי מידע, זיהוי פערים בין מדיניות ליישום, וחיזוק מנגנוני קבלת החלטות ימצאו עצמם ערוכים טוב יותר, לא רק לביקורת רגולטורית, אלא גם לניהול סיכונים עסקיים בעולם מבוסס מידע.
המהלך הנוכחי של הרשות להגנת הפרטיות אינו עוד עדכון רגולטורי שגרתי. הוא מסמן מעבר מפיקוח תגובתי לפיקוח יזום, ומהתמקדות בטכנולוגיה לבחינת ניהול. עבור ארגונים, ובעיקר עבור הנהלות ודירקטוריונים, מדובר במסר ברור: הגנת פרטיות היא כבר מזמן לא רק עניין משפטי – אלא חלק בלתי נפרד מניהול כלכלי אחראי בעידן הדיגיטלי.
הכותב הוא עו"ד שעוסק בליווי משפטי בתחומי הגנת הפרטיות, אבטחת מידע ורגולציה
