המקומות הכי פחות צפויים שבהם מחזיקים מידע אישי

כניסתה לתוקף של רגולציית ה-GDPR מתקרבת במהירות, והיא משפיעה לא רק על עסקים הממוקמים באיחוד האירופי, אלא על ארגונים בכל העולם. ארגונים הנמצאים תחת הדרישות שלה חייבים לשנות את הדרך שבה הם אוספים, מאחסנים ומטפלים בנתונים האישיים של המשתמשים או העובדים שלהם, שאותם הם אוספים.

השלב הראשון בתהליך התאימות הינו הנושא של מיפוי המידע הקיים בארגון ונוכחותו בתהליכים העסקיים השונים. איתור והגנה של נתונים הנמצאים "במנוחה" הוא תהליך קל יחסית. אך מה עם הנתונים אשר לא נאספים לתוך בסיסיי נתונים? נתונים הנעים ברשת? נתונים המועברים לצד שלישי וחזרה?

ארגונים מאחסנים סוגים שונים של נתונים אישיים, הנאספים ממקורות רבים ושונים. נתונים אלה עשויים להיות מאוחסנים במספר פורמטים שונים – בבסיסיי נתונים, גיליונות אלקטרוניים, מסמכי Word, מסמכי PDF, דואר אלקטרוני, הודעות ווטסאפ (WhatsApp), ניירת (hard copy) ועוד. נתונים אלו עשויים להיות מאוחסנים במקומות שונים, כולל עותקים של אותם נתונים בקבצי גיבוי ובארכיונים, או בכוננים ניידים, במדיה אופטית ואף בניירת בקלסרים. נתונים אישיים יכולים להימצא לעתים גם בקובצי יומן, בקבצים זמניים ובמקומות בלתי צפויים אחרים. 

להגן על הנתונים הלא מובנים

חשוב לציין כי על מנת לעמוד בדרישות הרגולציה, כל הנתונים האישיים שנאספים, מעובדים ומאוחסנים בארגון, חייבים להיות מוגנים, וזה כולל נתונים לא מובנים כמו גם מובנים. נתונים מובנים, קלים יותר להגנה, מפני שהכל נמצא במקום אחד. אך לא כך הדבר לגביי נתונים לא מובנים. על מנת להגן על הנתונים הלא מובנים, יש להבין היכן ניתן למצוא אותם בארגון, גם במקומות הבלתי צפויים, ולהגדיר מדיניות ברורה כיצד לטפל בהם.

דוגמה לנתונים שאינם מובנים היא, למשל, תמונות של דו"חות חשבון, המחאות וחשבוניות, כמויות גדולות של תוכן שנאספות באגמי נתונים, שיכללו פוסטים בערוצי מדיה חברתית כגון פייסבוק (Facebook), טוויטר (Twitter) ולינקדאין (LinkedIn), יחד עם פוסטים בבלוגים ותקשורת לא רשמית אחרת. אפילו שעוני מים או גז יכולים להכיל מידע שעשוי גם הוא להיות מסווג כנושא נתונים אישיים. למשל, פרטים לגבי מיקום או צריכת שירותים של המשתמשים השונים.

בכל רגע נתון, ארגון חייב לנסות ולהרחיב את המחשבה, היכן נשמר מידע שעשוי להיחשב כמידע אישי. לדוגמה, בתוך מסמך, ניתן לאחסן חתימות ואפילו טביעות אצבע, שתיהן יכולות לשמש לגנבת זהות. הקלטות קול, תמונות ווידאו של נושא נתונים – גם אלו נתונים שעשויים להיחשב נתונים אישיים, כיוון שנתונים אלו יכולים לשמש בכדי לאתר זהות.

תחומים נוספים שצריכים להילקח בחשבון כאוגרי נתונים אישיים לא מובנים כוללים נתונים מהתקני האינטרנט של הדברים (IoT). אחד השימושים בהתקנים מעין אלו הם חיישנים, המוקנים ברחבי חנויות או רחובות העיר, ושבאמצעותם ניתן לקבוע היכן הקונה מבלה את זמנו, היכן נעצר על מנת להסתכל על תצוגה מסוימת, לאן הלך והיכן הסתובב.

התקנים נוספים קיימים במכוניות החכמות – מהו השימוש ברכב, מהו מיקומו, כיצד המשתמש נוהג ברכב, איזה סוג בידור נצרך תוך כדי נהיגה, וכדומה. כל זה הוא מידע בעל ערך שנאסף, ולאו דווקא בהסכמה מפורשת של המשתמשים.

אם הציות ל-GDPR מרגיש כמו ניסיון לפגוע במטרה נעה, הסיבה לכך היא שהנתונים האישיים נאספים גם באופן מובנה וגם באופן אינו כזה – וזה מקשה על הזיהוי וההגנה של המידע האישי. ארגונים יוכלו  להשתמש במספר טכנולוגיות, כגון הצפנה ופסוידוניזציה, בכדי לשמור על פרטיות הנתונים, אך חשוב להבין היכן המידע נמצא, כיצד הוא מעובד ולאן הוא מועבר, על מנת ליישם אכיפה טכנולוגית, וזאת בכדי לעמוד ביעדי הציות של הארגון לרגולציה.

הכותבות הינן הגב' אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי בשת"פ עם עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.