ביקורות הרשות להגנת הפרטיות: "מה ניתן לעשות?"
מאת: עו"ד משה כאהן ועו"ד שמואל חדאד
אנו נמצאים בפתחו של העשור השלישי של המאה ה-21 והמהפכה הדיגיטאלית בעיצומה. גופים רבים אוספים עלינו מידע לצרכים שונים, ואוגרים אותו במאגרי מידע אלקטרוניים ברחבי העולם. הגברת השימוש והתלות שלנו באמצעים ממוחשבים הופכת אותנו לפגיעים יותר להתקפות סייבר עויינות, וגובר החשש כי המידע שלנו ינוצל לרעה או למטרות שאיננו מעוניינים בהן.
בשנת 2018 חלה תמורה באיחוד האירופי עם השפעה גלובאלית, והמחוקק האירופאי העלה את הסטנדרט המשפטי והרגולטורי בכל מה שקשור להגנת הפרטיות ואבטחת המידע של אזרחים אירופאיים (GDPR).
מדינת ישראל לא נשארה מאחור, והרגולטור הישראלי התקין אתתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017. תקנות אלו קבעו סטנדרט חדש בכל הנוגע לחובה של ארגוניםלאבטחת מידע. התקנות החדשות נכנסו לתוקף באמצע שנת 2018 והן חלות, בין היתר, על עסקים וחברות שבבעלותם מאגרי מידע ממוחשבים המכילים מידע אודות בני אדם (צרכנים, לקוחות, עובדים, מטופלים וכו').
בשנת 2018, הרשות להגנת הפרטיות (לשעבר הרשות למשפט, טכנולוגיה ומידע או רמו"ט), הקימה זרוע אכיפה חדש בשם "מערך אכיפה - פיקוח רוחב". מטרת זרוע אכיפה זה היא להגביר את המודעות במשק להוראות החוק והתקנות, ולאתר כשלים נפוצים במגזרים שונים של המשק הדורשים הנחיות מיוחדות.
במסגרת הפעילות של מערך האכיפה - פיקוח רוחב, הרשות להגנת הפרטיות בוחרת מגזר מסוים, ופונה באופן יזום לגופים שונים באותו המגזר בדרישה להשיב על שאלון ביקורת. הגופים הנבחרים באותו המגזר נדרשים לספק נתונים שונים, שיבחנו את מידת הציות שלהם להוראות החוק והתקנות.
בדרך כלל, שאלון הביקורת מחולק לכמה פרקים מרכזיים:
1. בקרה ארגונית וממשל תאגידי – מטרת שאלות אלו היא לדעת האם הארגון מקיים את חובותיו ביחס למנגנונים השונים בתוך הארגון האחראים לאבטחת מידעוכן האם הארגון הטמיע נהלי אבטחת מידע בארגון.
2. ניהול מאגרי המידע – מטרת שאלות אלו היא בעיקר לדעת האם הארגון מקיים את חובותיו כלפי האנשים שהמידע שלהם מצוי במאגרים שלו, והאם הארגון משתמש במידע זה באופן חוקי, ובהתאם להסכמות שהתקבלו מאנשים אלו. בין היתר, על בעל מאגר מידע לקבל את הסכמת האנשים שהמידע שלהם מצוי במאגרי המידע של הארגון באשר לשימושים שהארגון עושה במידע זה. בדרך כלל (עם כמה חריגים), על בעל מאגר מידע גם לאפשר לאנשים שהמידע שלהם מצוי במאגרי המידע של הארגון לעיין במידע זה, לתקנו ו/או לעדכנו.
3. אבטחת מידע במאגרים – מטרת שאלות אלו היא לדעת האם הארגון מקיים את חובותיו לאבטחת המידע שבמאגרי המידע שלו בהתאם לסטנדרט שנקבע בתקנות אבטחת המידע. ישנן רמות שונות של אבטחת מידע. רמת אבטחת המידע הנדרשת נקבעת על בסיס מספר פרמטרים, וחובות האבטחה משתנות בהתאם.
4. עיבוד מידע אישי במיקור חוץ – מטרת שאלות אלו היא לדעת האם ארגון המתקשר עם גורם חיצוני לצורך קבלת שרות הכרוך במתן גישה למאגר מידע או הכרוך בהעברת קבצים ממאגר המידע אל הגורם החיצוני, פעל בהתאם להנחית רשם מאגרי מידע מס' 2/2011. בהתאם להנחיה הנ"ל, על ארגון המבקש לקבל שירותים מנותן שירותים לבחון את כדאיות קבלת השירותים מאותו נותן השירותים. בין היתר, על הארגון להתחשב בהיקף וסוג המידע שנותן השירותים יקבל לצורך הספקת השירותים, המוניטין של נותן השירותים והניסיון המקצועי שלו. בהתאם להנחיה כאמור, ככל שהמידע המועבר לנותן השירותים רגיש יותר, יש לנקוט במשנה זהירות בבחירת נותן השירותים. כמו כן, בהתאם להנחיה כאמור ולתקנות, יש להתקשר עם נותן השירותים בהסכם לאבטחת מידע, המסדיר את חובותיו של נותן השירותים לאבטחת המידע של הארגון.
מערך המחשוב שלכם הינו נכס אסטרטגי ראשון במעלה. בניית מערך אבטחת מידע כנדרש על פי החוק והתקנות לא רק שתסייע להגנת הפרטיות של האנשים שהמידע שלהם מצוי במאגרים שלכם, אלא גם בהגנה על הסודות המסחריים שלכם. כמו כן, עמידה בדרישות החוק והתקנות עשויה לייעל את הארגון שלכם ואת הדרך שבה אתם מנהלים מידע ממחושב.
הרשות להגנת הפרטיות עלול לבחור במגזר שלכם כמגזר שבו תיערך הביקורת הבאה, ובארגון שלכם כמושא מחקר פרטני. מומלץ להיערך בהקדם ולוודא כי הארגון שלכם עומד בדרישות של החוק והתקנות.
משרדנו עוסק במתן ייעוץ משפטי בתחום הגנת הפרטיות. נשמח לעמוד לרשותכם על מנת לסייע לכם לעמוד בחובותיכם כבעלים של מאגרי מידע.
למידע נוסף ויצירת קשר - לחץ כאן