חברות נוטות לחשוב שככל שהן אוספות כמה שיותר מידע יש להן יותר כוח, שכן באמצעות המידע, הן יכולות להשתפר, למקד את הצעות השירותים שלהן, לבצע תחזיות, להציע ללקוחות תובנות, לחסוך בכוח אדם ועוד.
האם איסוף כמה שיותר מידע נכון בהיבטי פרטיות? תלוי את מי שואלים. כך או כך, חברות יכולות לבצע פעולות עיבוד למידע שנאסף, אולם נדרשת לכך מחשבה מראש והקמה נכונה של התשתיות התומכות בתהליך העיבוד הרצוי.
אם תחשבו רגע על התהליכים בחברה שבה אתם עובדים, תגלו שקיים סיכון לפגיעה בפרטיות בתהליכי השיווק, המכירה, משאבי אנוש, אבטחת מידע, מחקר ופיתוח ובתהליכים נוספים. כלומר, הגנת הפרטיות רלוונטית לכל תהליך שבו מעובד מידע על אנשים, ויש אינספור תהליכים כאלה.
כדי לנהל את הסיכון לפגיעה בפרטיות בצורה יעילה, הרשות להגנת הפרטיות ממליצה לבצע תסקיר הגנה על פרטיות, שמטרתו לנתח את מכלול הסיכונים ולהציע פתרונות שיגדרו ויצמצמו את הסיכון.
תכנון לפרטיות הוא תהליך פנים-ארגוני שנועד לסייע באיתור, הערכה וניהול של סיכונים לפרטיות בפרויקטים או פעילויות עסקיות וארגוניות, הכוללות עיבוד של מידע אישי. במלים פשוטות, תכנון לפרטיות מנתח את התהליך, שואל הרבה שאלות שמטרתן אכן לוודא שהמידע שמעובד נדרש ומידתי.
על אף שבחלק מהרגולציות ביצוע תסקיר השפעה על פרטיות אינו חובה חוקית. רצוי למפות את המערכות ותהליכים שבהם יש חשש גבוה לפגיעה בפרטיות ולנהל תסקירי השפעה על הפרטיות שמטרתם לנתח את מכלול הסיכונים ולהציע פתרונות שיגדרו ויצמצמו את הסיכון.
באחרונה פגשנו לא מעט חברות שבאמצעות תהליך "צור קשר" באתר האינטרנט שלהן מבקשות לאסוף כמה שיותר מידע על הגולשים. להלן דוגמה שכיחה הקיימת באתרי אינטרנט של חברות "צור קשר".
בחינה של התהליך בהיבטי פרטיות תאפיין בראש ובראשונה לאיזו מטרה נדרש המידע והאם האיסוף, השימוש, והשמירה שלו הוא סביר ומידתי.
במקרה שלעיל מטרת איסוף המידע היא לזהות את הלקוח, לקשר את פנייתו לתיק הלקוח וליצור עמו קשר. נראה כי זיהוי הלקוח באמצעות פרטים כה רבים אינו נדרש. במלים אחרות, אין צורך לבקש מהלקוח גם שם מלא, מין, תאריך לידה, מספר ת.ז, כתובת דואר אלקטרוני ומספר טלפון.
על פניו, נראה שלא שמו במקרה זה דגש מהותי על תחום הפרטיות, שכן אם היה מתבצע ניתוח של תהליך זה, סביר שלא הייתה בקשה לכל כך הרבה פרטים מזהים - שכן מטרת התהליך היא ליצור קשר באתר, ואין צורך בזיהוי כפול ומכופל.
הטמעה ותכנון של שיקולי פרטיות בתהליכים שונים תסייע לחברה למנוע איסוף כמויות רבות של מידע שאינו נדרש שעלול לפגוע בפרטיות הלקוח. לאיסוף מידע רב נלוות הוצאות כספיות משמעותיות הנובעות גם מאבטחת המידע ואחסונו, וכן קיימת חשיפה לקנסות ותביעות משפטיות.
בשורה התחתונה, תכנון נכון של תהליכים עשוי לחסוך לחברות הרבה סיכונים מיותרים, פשוט צריך לדעת לשאול את השאלות הנכונות מראש.
פנו עוד היום אל מומחי הפרטיות של מרכז הגנת הסייבר של BDO לבניית תוכנית פרטיות בארגון שלכם.