איך להתכונן לביקורת של הרשות להגנת הפרטיות


מאת: עורכי הדין משה כאהן ושמואל חדאד

אם הנכם בעלי עסק, סביר להניח שאתם משתמשים באמצעי מחשוב כדי לנהל אותו.

סביר גם להניח שאתם אוגרים באופן דיגיטלי כלשהו, בין אם במחשבים פרטיים, בין אם בשרתים בבעלות עצמית ובין אם בשרתים בסביבת ענן, פרטים אישיים אודות הלקוחות והספקים שלכם, כגון: שמות, כתובות ופרטי קשר. אולי אתם גם אוגרים מידע רגיש יותר, כגון: ת"ז, היסטוריית רכישות, פרטי כרטיס אשראי וכו'.

מעבר לחיוניות של מידע זה לעסק שלכם, ורצונכם לשמור על סודותיה המסחריים של החברה, חלה עליכם חובה לשמור על פרטיותם של האנשים שהמידע שלהם מצוי במאגרים שלכם.

הרשות להגנת הפרטיות היא רשות ממשלתית אשר אחראית, בין היתר, על אכיפת חוקים הנוגעים להגנת פרטיותם של אזרחי ותושבי ישראל.

במסגרת סמכויותיה של הרשות, היא רשאית לפנות לכל אדם ולדרוש ממנו ידיעות ומסמכים הנוגעים למאגרי המידע שברשותו[1], על מנת לוודא כי הוא עומד בחובות שלו בהתאם לחוק[2] והתקנות מכוחו.

מטרת מאמר זה היא לסקור בקצרה את החובות המרכזיות המוטלות על ארגונים המנהלים או מחזיקים במאגרי מידע[3], כך שתוכלו לשפר את רמת הציות שלכם לדרישות החוק והתקנות ולהיערך מראש לפניה מטעם הרשות:

  1. חובת רישום המאגר – בעל מאגר מידע חייב לרשום את מאגרי המידע שהוא מנהל אצל רשם מאגרי המידע.

  1. איסור חריגה ממטרות השימוש במאגר – חל איסור להשתמש במאגר המידע שלא למטרות שלשמן נאסף המידע.

  1. חובהלקבלת הסכמה – אלא אם קיימת סמכות חוקית אחרת שעל בסיסה הארגון שלכם אוסף מידע אודות אנשים, איסוף מידע על ידי בעל מאגר מידע חייב להיות בהסכמתם מדעת של אותם אנשים למטרות השימוש במידע, וכן בהסכמתם לגבי הגורמים אליהם המידע יועבר.

  1. זכות עיון במידע – בעל מאגר מידע חייב לאפשר לאדם עיון במידע שעליו במאגר המידע (אלא אם מסירת מידע אודות מצבו הרפואי או הנפשי של אותו אדם עלולה לגרום לו נזק חמור, ובמקרה זה המידע יימסר לרופא או פסיכולוג מטעמו של אותו אדם)[4].

  1. חובת תיקון מידע – בעל מאגר מידע חייב לתקן או למחוק מידע אודות אדם שמצא כי המידע שעליו אינו שלם, ברור או מעודכן.

  1. אחריות לאבטחת מידע– בעל מאגר מידע אחראי לאבטחת המידע שבמאגר המידע, וחלות עליו חובות נרחבות מכוח התקנות[5]. אם בעל המאגר נעזר בספקים חיצוניים למתן שירותים מסוימים שלשמם הספקים צריכים לקבל גישה למאגרים, אזי מחובת בעל המאגר לוודא כי הספק החיצוני עומד בדרישות החוק, ואת כדאיות קבלת השירותים מאותו נותן שירותים[6].

  1. דיוור ישיר – בעל מאגר מידע הפונה באופן יזום לאנשים הנמצאים במאגר המידע שלו על בסיס מאפיינים מסוימים (למשל: כל הגברים מגיל 30 ומעלה, כל האנשים שרכשו מוצר מסוים או כל האנשים הגרים בתל-אביב), לרוב במטרה לשווק לאנשים אלו שירותים או מוצרים של בעל מאגר המידע, מחויב לספק לאנשים אלו מידע מסוים אודות הפניה אליהם, ובין היתר הסבר לגבי מקור המידע ועל זכותם של אותםאנשים להימחק מרשימת הדיוור[7].

  1. שירותי דיוור ישיר – בעל מאגר מידע אשר מספק לאחרים "שירותי דיוור ישיר" קרי, מספק להם רשימות או נתונים ממאגר המידע שלו, חייב, בין היתר, לקבל את הסכמתם של אותם אנשים לגבי העברת המידע, ולנהל רישומים מתאימים המתעדים, בין היתר, למי הועבר המידע.

  1. הגבלות על העברת מידע אל מאגרי מידע מחוץ לגבולות המדינה – בהתאם לתקנות[8], חלות הגבלות על העברת מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, במטרה להבטיח כי מקבל המידע בחו"ל נוקט באמצעים הנדרשים בכדי להבטיח את פרטיותם של מי שהמידע עליהם. העברת המידע לחו"ל תהיה מותרת בהתאם לתנאים המפורטים בתקנות.

גם אם יש לכם גישה למאגרי מידע של ארגון אחר, חלות עליכם מספר חובות בהתאם לחוק

החובות להגנת הפרטיות חלות על הארגון שלכם, גם אם יש לכם גישה למאגרי מידע של ארגונים אחרים, בתור ספק השירות שלהם (בחוק, ארגון בעל גישה למאגר מידע כאמור נקרא "מחזיק"). לדוגמא: הארגון שלכם עוסק בתחום התמיכה הטכנית או בתחום השיווק והפרסום, ויש לכם גישה למאגרי המידע של הלקוחות שלכם, הבעלים של מאגרי המידע, על מנת לתת להם שירותים.הארגון שלכם אחראי, בין היתר, לאבטחת המידע שבמאגרי המידע, בהתאם לתקנות אבטחת המידע[9].

אם הארגון שלכם"מחזיק" במאגרי מידע של מספר לקוחות, מחובתכם להבטיח כי מאגרי המידע של הלקוחות השונים לא יתערבבו אחד עם השני, ולוודא כי הגישה למאגרים השונים תהיה נתונה רק למי שהורשו לכך על ידי בעלי המאגרים.

כמו כן, אם הארגון שלכם "מחזיק" בחמישה מאגרים ומעלה, מחובתכם למנות לארגון שלכם ממונה אבטחת מידע עם הכשרה מתאימה לכך[10], וכן למסור לרשם מאגרי המידע פעם בשנה פרטים אודות מאגרי המידע שבאחזקתכם.

זה הזמן להיערך לשיפור רמת הציות של הארגון שלכם לדרישות החוק

מומלץ להיערך מראש לשיפור רמת הציות של הארגון שלכם לדרישות החוק, על מנת שלא להיקלע למצב שבו אתם מקבלים פניה מהרשות להגנת הפרטיות בהפתעה[11].

משרדנו עוסק במתן ייעוץ משפטי בתחום הגנת הפרטיות. נשמח לעמוד לרשותכם על מנת לסייע לכם לעמוד בחובותיכם בהתאם לחוק ולתקנות.[2]חוק הגנת הפרטיות, תשמ"א-1981.

[3]לא מדובר ברשימה ממצא, ובשום מקרה אין לראות בסקירה קצרה זו משום ייעוץ משפטי ספציפי. לשם מתן ייעוץ משפטי ספציפי, יש להבין את כל נסיבות המקרה הפרטני.

[4]ראו תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון), תשמ"א-1981.

[5]ראו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

[6]ראו הנחית רשם מאגרי מידע מס' 2/2011– שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.

[7]מבלי לגרוע מהמחויבויות של בעל המאגר מתוקף סעיף 30א לחוק התקשורת (בזק ושידורים), תשמ"ב-1982, "חוק הספאם".

[8]תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.

[9]ראו הערה 5 לעיל.

[10]ישנם ארגונים מסוגים נוספים אשר מחויבים למנות ממונה אבטחת מידע, כדוגמת בנקים, חברות ביטוח וחברות העוסקות בדירוג או הערכה של אשראי.

[11]ראו הערה 1 לעיל.