מאת: עורכי הדין משה כאהן ושמואל חדאד
פנייה ראשונית מטעם הרשות להגנת הפרטיות בדרך כלל מגיעה בדוא"ל מהרשות להגנת הפרטיות עצמה או ממשרד רואי חשבון[1],וכוללת דרישה לענות על שאלון.
חשוב לזכור כי קבלת פניה שכזו אינה אומרת בהכרח כי הרשות להגנת הפרטיות חושדת כי עברתם על חוק הגנת הפרטיות[2]או כי התרחש אירוע של אבטחת מידע בארגון שלכם.
ישנן שלוש סיבות מרכזיות שבגללן הרשות עלולה לפנות אליכם:
- במסגרת ביקורת יזומה של מערך אכיפה-פיקוח רוחב של הרשות[3].
- בעקבות אירוע של אבטחת מידע בארגון, שבו נעשה שימוש לא מורשה במידע, כגון מתקפת סייבר עוינת.
- בעקבות תלונות אודות שימוש לא חוקי במידע על ידי הארגון.
אם הארגון שלכם נערך מראש לתרחיש שכזה[4], קרוב לוודאי שתכירו את המונחים שבהם נעשה שימוש בשאלוןוככל הנראהשתצליחו לענות על השאלון בנקל,לאחר השקעה של כמה שעות.
מאמר זה פונה בעיקר לאותם עסקים או חברות, אשר לא הכירו את כל החובות שלהם מכוח חוק הגנת הפרטיות,עד לקבלת אותה הפניה.
ובכן, אם בבעלותכם[5] מאגר ממוחשב המכיל מידע אישי אודות אנשים פרטיים, כגון: פרטי קשר, מידע דמוגרפי, מידע כלכלי, ניסיון מקצועי וכד', הרי שחלות עליכם מספר חובות מתוקף החוק.
לאחר קבלת הפניה הראשונית, מומלץ לפנות בהקדם האפשרי למשרד עורכי דין העוסק בתחום הגנת הפרטיות.עורכי הדיןיוכלו לברר יחד אתכם מה היקף החובות שלכם בהתאם לחוק, מה הפערים בין דרישות החוק לבין איך שהארגון שלכם מתנהל בפועל, ולסייע לכם לענות על השאלון.
דוגמאות לפערים בין דרישות החוק לבין האופן שבו מתנהל הארגון:
- הארגון לא רשם את מאגרי המידע שבבעלותו אצל רשם מאגרי המידע, בניגודלחובתו של בעל מאגר מידע לרשום את המאגר אצל הרשות להגנת הפרטיות.
- הארגון לא קיבל את הסכמת האנשים שהמידע שלהם נאגר במאגרי המידע שלו, "נושאי המידע" לגבי האופנים בהם הארגון משתמש במידע זה. זאת בניגודלחובתו של בעל מאגר מידע לקבל את הסכמתם של נושאי המידע אודות השימושים שהארגון עושה במידע שלהם, כדוגמת מחקר, מיון והשמת עובדים, ניהול מועדון לקוחות, דיוור של ניוזלטר וכו'.
- הארגון לא דאג לאבטחת המידע[6]שלנושאי המידע, מפני שימוש בלתי מורשה במידע זה, או מזליגה בלתי רצונית של המידע לאנשים מחוץ לארגון.
בד בבד עם התהליך של מענה לשאלון, עורכי הדין יסייעו לכם בביצוע פעולות מתקנות בכדי לגשר על הפערים שהוצפו.ייתכן שעורכי הדין שלכם ימליצו לכם לשכור את שירותיו של מומחה אבטחת מידע חיצוני, אשר יוכל לסייע לארגון שלכם לעמוד בסטנדרט הנדרש לאבטחת מידע בהתאם לתקנות.
שיתוף פעולה עם הרשות להגנת הפרטיות היא הדרך הטובה ביותר לטיפול בפניה
חשוב ביותר לשתף פעולה עם הרשות להגנת הפרטיות, שכן בסמכותה לדרוש ידיעות ומסמכים בקשר לאופן שבו ארגונים מנהלים ומחזיקים במאגרי מידע. הרשות יכולה, למעשה, לאסור על הארגון להשתמש במאגרי המידע שלה, למשך תקופה או לצמיתות, או לתפוס חפצים שבאמצעותם מתבצע השימוש במאגרי המידע (מחשבים, מסמכים וכד') – פעולות עם השלכות קשות במיוחד לרוב הארגונים במשק, אשר תלויים במאגרי המידע שלהם לניהול עסקים.
כמו כן, בסמכותה של הרשות להגנת הפרטיות להטיל קנסות מנהליים[7], על גופים אשר אינם עומדים בדרישות החוק, ואף לנקוט נגדם בהליכים פליליים[8].
הניסיון שלנו מלמד, כי כאשר הגוף הנחקר משתף פעולה עם הרשות ואף מוכיח לרשות שהוא מבצע פעולות מתקנות על מנת לעמוד בדרישות החוק, הרשות נמנעת מנקיטה בסמכויות אכיפה קשות.
בהרבה מקרים, פעולה הביקורת של מערך אכיפה-פיקוח רוחב, תסתייםבדרישה מצד הרשות לארגון לביצוע פעולות מתקנות.
ראו בפניה של הרשות להגנת הפרטיות כהזדמנות לשיפור
עמידה בהוראות החוק לא רק שתסייע לכם להגן על הפרטיות של האנשים שהמידע שלהם מצוי במאגרים שלכם, אלא גם בהגנה על הנכסים האסטרטגיים שלכם בפני התקפות סייבר עוינות.
על אף שאין ערובה כי עמידה בהוראות החוק תוכל למנוע לחלוטין את התרחשותם של אירועי אבטחת מידע, ארגון אשר מקפיד על דרישות החוק להגנת הפרטיות ואבטחת מידע, בדרך כלליוכל להתמודד טוב יותר עם אירועי אבטחת מידע, ולמנוע התרחשות נזקים גדולים יותר לארגון ולציבור[9].
כמו כן, במקרה של אירוע אבטחת מידע הרשות להגנת הפרטיות תתייחס יותר בחומרה כלפי ארגון אשר לא קיים את חובותיו, והסנקציות שהוא מוסמך להשית על אותו הארגון עלולות להיות חמורות יותר[10].
מומלץ לבצע בדיקה עצמית פעם בשנה[11], על מנת לוודא שהארגון שלכם עומד בדרישות החוק והתקנות, וכדי להתכונן לביקורת של הרשות להגנת הפרטיות.
משרדנו עוסק במתן ייעוץ משפטי בתחום הגנת הפרטיות. נשמח לעמוד לרשותכם על מנת לסייע לכם בהתמודדות עם פניה מטעם הרשות להגנת הפרטיות, או בשיפור הציות של הארגון שלכם לדרישות החוק.
[1]מומלץ לבצע כמה בירורים בקשר לזהות אותו משרד רואי החשבון, על מנת לוודא שמדובר בפניה אמיתית מטעם הרשות להגנת הפרטיות.
[2] חוק הגנת הפרטיות, תשמ"א-1981.
[3]סביר להניח כי ארגונים נוספים במגזר שלכם קיבלו פניה דומה. מדובר בשאלון רחב היקף, בקשר לאופן שבו הארגון שלכם בפרט, והמגזר העסקי שאתם שייכים אליו בכלל, ממלא את חובותיו בהתאם לחוק.
[4]ראו את מאמרנו "איך להתכונן לביקורת של הרשות להגנת הפרטיות".
[5]ישנם חובות בהתאם לחוק ולתקנות, החלות על ארגונים שיש להם גישה למאגרי מידע של ארגונים אחרים בתור "מחזיקים", מתוקף השירותים שהם נותנים לאותם ארגונים.
[6] ראו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
[7] בהתאם לתקנות העבירות המינהליות (קנס מינהלי – הגנת הפרטיות), תשס"ד-2004. מדובר בקנסות עד 5,000 ₪ ליחיד ו- 25,000 ₪ לתאגיד, לעבירה.
[8] בדרך כלל, הליכים פליליים ננקטים במקרים של פגיעה זדונית בפרטיות או כתוצאה משימוש של אדם במאגר מידע שהיה לו גישה אליו מתוקף בתפקידו, שלא לצורך עבודתו. העונש במקרים אלו הוא עד 5 שנות מאסר או קנס כספי עד 226,000 ₪, או שילוב של מאסר וקנס.
על עבירות קלות יותר בהתאם לחוק, העונש הוא עד שנת מאסר או קנס כספי עד 29,200 ₪ או שילוב של מאסר וקנס. במקרים אלו, לרוב העבירה תטופל בדרך של קנס מנהלי.
[9] מעבר לסנקציות המנהליות והפליליות אשר ארגון ומנהליו חשופים אליהם, ארגון ומנהליו אשר אינם מקיימיםאת הוראות חוק הגנת הפרטיות,חשופיםלתביעות נזיקיות מצד נושאי המידע שפרטיהם אגורים במאגרי המידע של הארגון. כמו כן, בית המשפט מוסמך לפסוק סכום של עד 50,000 ₪ לאדם שנפגעה פרטיותו, אף ללא הוכחת נזק.
[10] בין היתר, הרשות להגנת הפרטיות יכולה להטיל קנסות מנהליים על הארגון ולפרסם את שמו של הארגון ביחס לאירוע אבטחת המידע, דבר אשר במגזרים מסוימים עלול לפגוע קשות במוניטין של החברה ובאמון הציבור באיכות השירותים שהארגון מספק.
[11] בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, בעל מאגר מידע שחלה עליו רמת האבטחה הגבוהה, מחויב לערוך, אחת ל-18 חודשים לפחות, סקר לאיתור סיכוני אבטחת מידע, וכן מבדקי חדירות למערכות המאגר. על בעל המאגר לבצע פעולות מתקנות בהתאם לממצאים שהתגלו.
בעל מאגר מידע ברמת אבטחה גבוהה מחויב לערוך דיון אחת לרבעון לפחות אודות אירועי אבטחת מידע בארגון, ולבחון את הצורך בעדכונו של נוהל אבטחת המידע של הארגון. בעל מאגר מידע ברמת האבטחה הבינונית מחויב בכך אחת לשנה לפחות.
כמו כן, במאגר מידע שחלה עליו רמת הבטחה הבינונית או הגבוהה, על בעל המאגר לערוך, אחת לשנתיים לפחות, ביקורת על ידי אדם בעל הכשרה מתאימה, כדי לוודא את עמידת הארגון בהוראות התקנות. על בעל המאגר לבצע פעולות מתקנות בהתאם לממצאים שהתגלו.
במאגרי מידע בכל רמות האבטחה (למעט במאגר המוגדר לפי התקנות כמאגר המנוהל בידי יחיד), על בעל המאגר לבחון פעם בשנה את הצורך בעדכון נוהל אבטחת המידע שלו.