משרד עו"ד משה כאהן מתל אביב מתמחה בתחומי המשפט העסקי והמסחרי ומציע ללקוחותיו:

משרד עורכי דין משה כאהן

  • שירותים משפטיים איכותיים
  • פתרונות ייחודיים וישימים המותאמים באופן יחודי לצרכי הלקוח
  • ניסיון רב שנים, מסירות ומחויבות
  • שירות אישי, היענות מהירה ונגישות גבוהה
  • ניסיון בינלאומי נרחב

לרשימת תחומי ההתמחות שלנו - לחצו כאן

להמלצות לקוחות - לחצו כאן

למידע נוסף אודות המשרד - לחצו כאן

ליצירת קשר עם המשרד - לחצו כאן

עורכי הדין במשרד עו"ד משה כאהן, עומדים לרשותכם למתן שירותים משפטיים בתחומי המשפט העסקי והמסחרי ובייצוג בהליכים משפטיים ובתביעות מסחריות, בערכאות השונות. 

משרד משה כאהן-עורכי דין, משמש כמשרד הישראלי של Legal Netlink Alliance, רשת בינלאומית של למעלה מ-100 משרדי עורכי דין, הפרושים ברחבי הגלובוס והפועלים בערים מרכזיות בעולם. המשרדים החברים ברשת הינם משרדי עורכי דין מובילים הידועים כבעלי שם ורמה מקצועית גבוהה במדינותיהם והם בעלי נסיון רב בטיפול בצרכים הגוברים והולכים של לקוחות בינלאומיים. עוה"ד במשרדים החברים ברשת Legal Netlink Alliance יעניקו סיוע ושירותים משפטיים אפקטיביים, ברמה מקצועית גבוהה ובעלויות סבירות, בכל עת שיידרשו לכך. החברות ברשת Legal Netlink Alliance מאפשרת לנו להעניק שירותים מגוונים יותר ללקוחות אשר להם עסקים בחו"ל.

מאמרים שאולי יעניינו אותך:


מאת: עורכי הדין משה כאהן ושמואל חדאד

פנייה ראשונית מטעם הרשות להגנת הפרטיות בדרך כלל מגיעה בדוא"ל מהרשות להגנת הפרטיות עצמה או ממשרד רואי חשבון[1],וכוללת דרישה לענות על שאלון.

חשוב לזכור כי קבלת פניה שכזו אינה אומרת בהכרח כי הרשות להגנת הפרטיות חושדת כי עברתם על חוק הגנת הפרטיות[2]או כי התרחש אירוע של אבטחת מידע בארגון שלכם.

ישנן שלוש סיבות מרכזיות שבגללן הרשות עלולה לפנות אליכם:

  1. במסגרת ביקורת יזומה של מערך אכיפה-פיקוח רוחב של הרשות[3].
  2. בעקבות אירוע של אבטחת מידע בארגון, שבו נעשה שימוש לא מורשה במידע, כגון מתקפת סייבר עוינת.
  3. בעקבות תלונות אודות שימוש לא חוקי במידע על ידי הארגון.

אם הארגון שלכם נערך מראש לתרחיש שכזה[4], קרוב לוודאי שתכירו את המונחים שבהם נעשה שימוש בשאלוןוככל הנראהשתצליחו לענות על השאלון בנקל,לאחר השקעה של כמה שעות.

מאמר זה פונה בעיקר לאותם עסקים או חברות, אשר לא הכירו את כל החובות שלהם מכוח חוק הגנת הפרטיות,עד לקבלת אותה הפניה.

ובכן, אם בבעלותכם[5] מאגר ממוחשב המכיל מידע אישי אודות אנשים פרטיים, כגון: פרטי קשר, מידע דמוגרפי, מידע כלכלי, ניסיון מקצועי וכד', הרי שחלות עליכם מספר חובות מתוקף החוק.

לאחר קבלת הפניה הראשונית, מומלץ לפנות בהקדם האפשרי למשרד עורכי דין העוסק בתחום הגנת הפרטיות.עורכי הדיןיוכלו לברר יחד אתכם מה היקף החובות שלכם בהתאם לחוק, מה הפערים בין דרישות החוק לבין איך שהארגון שלכם מתנהל בפועל, ולסייע לכם לענות על השאלון.

דוגמאות לפערים בין דרישות החוק לבין האופן שבו מתנהל הארגון:

  1. הארגון לא רשם את מאגרי המידע שבבעלותו אצל רשם מאגרי המידע, בניגודלחובתו של בעל מאגר מידע לרשום את המאגר אצל הרשות להגנת הפרטיות.
  2. הארגון לא קיבל את הסכמת האנשים שהמידע שלהם נאגר במאגרי המידע שלו, "נושאי המידע" לגבי האופנים בהם הארגון משתמש במידע זה. זאת בניגודלחובתו של בעל מאגר מידע לקבל את הסכמתם של נושאי המידע אודות השימושים שהארגון עושה במידע שלהם, כדוגמת מחקר, מיון והשמת עובדים, ניהול מועדון לקוחות, דיוור של ניוזלטר וכו'.
  3. הארגון לא דאג לאבטחת המידע[6]שלנושאי המידע, מפני שימוש בלתי מורשה במידע זה, או מזליגה בלתי רצונית של המידע לאנשים מחוץ לארגון.

בד בבד עם התהליך של מענה לשאלון, עורכי הדין יסייעו לכם בביצוע פעולות מתקנות בכדי לגשר על הפערים שהוצפו.ייתכן שעורכי הדין שלכם ימליצו לכם לשכור את שירותיו של מומחה אבטחת מידע חיצוני, אשר יוכל לסייע לארגון שלכם לעמוד בסטנדרט הנדרש לאבטחת מידע בהתאם לתקנות.

שיתוף פעולה עם הרשות להגנת הפרטיות היא הדרך הטובה ביותר לטיפול בפניה

חשוב ביותר לשתף פעולה עם הרשות להגנת הפרטיות, שכן בסמכותה לדרוש ידיעות ומסמכים בקשר לאופן שבו ארגונים מנהלים ומחזיקים במאגרי מידע. הרשות יכולה, למעשה, לאסור על הארגון להשתמש במאגרי המידע שלה, למשך תקופה או לצמיתות, או לתפוס חפצים שבאמצעותם מתבצע השימוש במאגרי המידע (מחשבים, מסמכים וכד') – פעולות עם השלכות קשות במיוחד לרוב הארגונים במשק, אשר תלויים במאגרי המידע שלהם לניהול עסקים.

כמו כן, בסמכותה של הרשות להגנת הפרטיות להטיל קנסות מנהליים[7], על גופים אשר אינם עומדים בדרישות החוק, ואף לנקוט נגדם בהליכים פליליים[8].

הניסיון שלנו מלמד, כי כאשר הגוף הנחקר משתף פעולה עם הרשות ואף מוכיח לרשות שהוא מבצע פעולות מתקנות על מנת לעמוד בדרישות החוק, הרשות נמנעת מנקיטה בסמכויות אכיפה קשות.

בהרבה מקרים, פעולה הביקורת של מערך אכיפה-פיקוח רוחב, תסתייםבדרישה מצד הרשות לארגון לביצוע פעולות מתקנות.

ראו בפניה של הרשות להגנת הפרטיות כהזדמנות לשיפור

עמידה בהוראות החוק לא רק שתסייע לכם להגן על הפרטיות של האנשים שהמידע שלהם מצוי במאגרים שלכם, אלא גם בהגנה על הנכסים האסטרטגיים שלכם בפני התקפות סייבר עוינות.

על אף שאין ערובה כי עמידה בהוראות החוק תוכל למנוע לחלוטין את התרחשותם של אירועי אבטחת מידע, ארגון אשר מקפיד על דרישות החוק להגנת הפרטיות ואבטחת מידע, בדרך כלליוכל להתמודד טוב יותר עם אירועי אבטחת מידע, ולמנוע התרחשות נזקים גדולים יותר לארגון ולציבור[9].

כמו כן, במקרה של אירוע  אבטחת מידע הרשות להגנת הפרטיות תתייחס יותר בחומרה כלפי ארגון אשר לא קיים את חובותיו, והסנקציות שהוא מוסמך להשית על אותו הארגון עלולות להיות חמורות יותר[10].

מומלץ לבצע בדיקה עצמית פעם בשנה[11], על מנת לוודא שהארגון שלכם עומד בדרישות החוק והתקנות, וכדי להתכונן לביקורת של הרשות להגנת הפרטיות.

משרדנו עוסק במתן ייעוץ משפטי בתחום הגנת הפרטיות. נשמח לעמוד לרשותכם על מנת לסייע לכם בהתמודדות עם פניה מטעם הרשות להגנת הפרטיות, או בשיפור הציות של הארגון שלכם לדרישות החוק.



[1]מומלץ לבצע כמה בירורים בקשר לזהות אותו משרד רואי החשבון, על מנת לוודא שמדובר בפניה אמיתית מטעם הרשות להגנת הפרטיות.

[2] חוק הגנת הפרטיות, תשמ"א-1981.

[3]סביר להניח כי ארגונים נוספים במגזר שלכם קיבלו פניה דומה. מדובר בשאלון רחב היקף, בקשר לאופן שבו הארגון שלכם בפרט, והמגזר העסקי שאתם שייכים אליו בכלל, ממלא את חובותיו בהתאם לחוק.

[5]ישנם חובות בהתאם לחוק ולתקנות, החלות על ארגונים שיש להם גישה למאגרי מידע של ארגונים אחרים בתור "מחזיקים", מתוקף השירותים שהם נותנים לאותם ארגונים.

[6] ראו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

[7] בהתאם לתקנות העבירות המינהליות (קנס מינהלי – הגנת הפרטיות), תשס"ד-2004. מדובר בקנסות עד 5,000 ₪ ליחיד ו- 25,000 ₪ לתאגיד, לעבירה.

[8] בדרך כלל, הליכים פליליים ננקטים במקרים של פגיעה זדונית בפרטיות או כתוצאה משימוש של אדם במאגר מידע שהיה לו גישה אליו מתוקף בתפקידו, שלא לצורך עבודתו. העונש במקרים אלו הוא עד 5 שנות מאסר או קנס כספי עד 226,000 ₪, או שילוב של מאסר וקנס.

על עבירות קלות יותר בהתאם לחוק, העונש הוא עד שנת מאסר או קנס כספי עד 29,200 ₪ או שילוב של מאסר וקנס. במקרים אלו, לרוב העבירה תטופל בדרך של קנס מנהלי.

[9] מעבר לסנקציות המנהליות והפליליות אשר ארגון ומנהליו חשופים אליהם, ארגון ומנהליו אשר אינם מקיימיםאת הוראות חוק הגנת הפרטיות,חשופיםלתביעות נזיקיות מצד נושאי המידע שפרטיהם אגורים במאגרי המידע של הארגון. כמו כן, בית המשפט מוסמך לפסוק סכום של עד 50,000 ₪ לאדם שנפגעה פרטיותו, אף ללא הוכחת נזק.

[10] בין היתר, הרשות להגנת הפרטיות יכולה להטיל קנסות מנהליים על הארגון ולפרסם את שמו של הארגון ביחס לאירוע אבטחת המידע, דבר אשר במגזרים מסוימים עלול לפגוע קשות במוניטין של החברה ובאמון הציבור באיכות השירותים שהארגון מספק.

[11] בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, בעל מאגר מידע שחלה עליו רמת האבטחה הגבוהה, מחויב לערוך, אחת ל-18 חודשים לפחות, סקר לאיתור סיכוני אבטחת מידע, וכן מבדקי חדירות למערכות המאגר. על בעל המאגר לבצע פעולות מתקנות בהתאם לממצאים שהתגלו.

בעל מאגר מידע ברמת אבטחה גבוהה מחויב לערוך דיון אחת לרבעון לפחות אודות אירועי אבטחת מידע בארגון, ולבחון את הצורך בעדכונו של נוהל אבטחת המידע של הארגון. בעל מאגר מידע ברמת האבטחה הבינונית מחויב בכך אחת לשנה לפחות.

כמו כן, במאגר מידע שחלה עליו רמת הבטחה הבינונית או הגבוהה, על בעל המאגר לערוך, אחת לשנתיים לפחות, ביקורת על ידי אדם בעל הכשרה מתאימה, כדי לוודא את עמידת הארגון בהוראות התקנות. על בעל המאגר לבצע פעולות מתקנות בהתאם לממצאים שהתגלו.

במאגרי מידע בכל רמות האבטחה (למעט במאגר המוגדר לפי התקנות כמאגר המנוהל בידי יחיד), על בעל המאגר לבחון פעם בשנה את הצורך בעדכון נוהל אבטחת המידע שלו.


 


מאת: עורכי הדין משה כאהן ושמואל חדאד

אם הנכם בעלי עסק, סביר להניח שאתם משתמשים באמצעי מחשוב כדי לנהל אותו.

סביר גם להניח שאתם אוגרים באופן דיגיטלי כלשהו, בין אם במחשבים פרטיים, בין אם בשרתים בבעלות עצמית ובין אם בשרתים בסביבת ענן, פרטים אישיים אודות הלקוחות והספקים שלכם, כגון: שמות, כתובות ופרטי קשר. אולי אתם גם אוגרים מידע רגיש יותר, כגון: ת"ז, היסטוריית רכישות, פרטי כרטיס אשראי וכו'.

מעבר לחיוניות של מידע זה לעסק שלכם, ורצונכם לשמור על סודותיה המסחריים של החברה, חלה עליכם חובה לשמור על פרטיותם של האנשים שהמידע שלהם מצוי במאגרים שלכם.

הרשות להגנת הפרטיות היא רשות ממשלתית אשר אחראית, בין היתר, על אכיפת חוקים הנוגעים להגנת פרטיותם של אזרחי ותושבי ישראל.

במסגרת סמכויותיה של הרשות, היא רשאית לפנות לכל אדם ולדרוש ממנו ידיעות ומסמכים הנוגעים למאגרי המידע שברשותו[1], על מנת לוודא כי הוא עומד בחובות שלו בהתאם לחוק[2] והתקנות מכוחו.

מטרת מאמר זה היא לסקור בקצרה את החובות המרכזיות המוטלות על ארגונים המנהלים או מחזיקים במאגרי מידע[3], כך שתוכלו לשפר את רמת הציות שלכם לדרישות החוק והתקנות ולהיערך מראש לפניה מטעם הרשות:

  1. חובת רישום המאגר – בעל מאגר מידע חייב לרשום את מאגרי המידע שהוא מנהל אצל רשם מאגרי המידע.

  1. איסור חריגה ממטרות השימוש במאגר – חל איסור להשתמש במאגר המידע שלא למטרות שלשמן נאסף המידע.

  1. חובהלקבלת הסכמה – אלא אם קיימת סמכות חוקית אחרת שעל בסיסה הארגון שלכם אוסף מידע אודות אנשים, איסוף מידע על ידי בעל מאגר מידע חייב להיות בהסכמתם מדעת של אותם אנשים למטרות השימוש במידע, וכן בהסכמתם לגבי הגורמים אליהם המידע יועבר.

  1. זכות עיון במידע – בעל מאגר מידע חייב לאפשר לאדם עיון במידע שעליו במאגר המידע (אלא אם מסירת מידע אודות מצבו הרפואי או הנפשי של אותו אדם עלולה לגרום לו נזק חמור, ובמקרה זה המידע יימסר לרופא או פסיכולוג מטעמו של אותו אדם)[4].

  1. חובת תיקון מידע – בעל מאגר מידע חייב לתקן או למחוק מידע אודות אדם שמצא כי המידע שעליו אינו שלם, ברור או מעודכן.

  1. אחריות לאבטחת מידע– בעל מאגר מידע אחראי לאבטחת המידע שבמאגר המידע, וחלות עליו חובות נרחבות מכוח התקנות[5]. אם בעל המאגר נעזר בספקים חיצוניים למתן שירותים מסוימים שלשמם הספקים צריכים לקבל גישה למאגרים, אזי מחובת בעל המאגר לוודא כי הספק החיצוני עומד בדרישות החוק, ואת כדאיות קבלת השירותים מאותו נותן שירותים[6].

  1. דיוור ישיר – בעל מאגר מידע הפונה באופן יזום לאנשים הנמצאים במאגר המידע שלו על בסיס מאפיינים מסוימים (למשל: כל הגברים מגיל 30 ומעלה, כל האנשים שרכשו מוצר מסוים או כל האנשים הגרים בתל-אביב), לרוב במטרה לשווק לאנשים אלו שירותים או מוצרים של בעל מאגר המידע, מחויב לספק לאנשים אלו מידע מסוים אודות הפניה אליהם, ובין היתר הסבר לגבי מקור המידע ועל זכותם של אותםאנשים להימחק מרשימת הדיוור[7].

  1. שירותי דיוור ישיר – בעל מאגר מידע אשר מספק לאחרים "שירותי דיוור ישיר" קרי, מספק להם רשימות או נתונים ממאגר המידע שלו, חייב, בין היתר, לקבל את הסכמתם של אותם אנשים לגבי העברת המידע, ולנהל רישומים מתאימים המתעדים, בין היתר, למי הועבר המידע.

  1. הגבלות על העברת מידע אל מאגרי מידע מחוץ לגבולות המדינה – בהתאם לתקנות[8], חלות הגבלות על העברת מידע ממאגר מידע בישראל אל מחוץ לגבולותיה, במטרה להבטיח כי מקבל המידע בחו"ל נוקט באמצעים הנדרשים בכדי להבטיח את פרטיותם של מי שהמידע עליהם. העברת המידע לחו"ל תהיה מותרת בהתאם לתנאים המפורטים בתקנות.

גם אם יש לכם גישה למאגרי מידע של ארגון אחר, חלות עליכם מספר חובות בהתאם לחוק

החובות להגנת הפרטיות חלות על הארגון שלכם, גם אם יש לכם גישה למאגרי מידע של ארגונים אחרים, בתור ספק השירות שלהם (בחוק, ארגון בעל גישה למאגר מידע כאמור נקרא "מחזיק"). לדוגמא: הארגון שלכם עוסק בתחום התמיכה הטכנית או בתחום השיווק והפרסום, ויש לכם גישה למאגרי המידע של הלקוחות שלכם, הבעלים של מאגרי המידע, על מנת לתת להם שירותים.הארגון שלכם אחראי, בין היתר, לאבטחת המידע שבמאגרי המידע, בהתאם לתקנות אבטחת המידע[9].

אם הארגון שלכם"מחזיק" במאגרי מידע של מספר לקוחות, מחובתכם להבטיח כי מאגרי המידע של הלקוחות השונים לא יתערבבו אחד עם השני, ולוודא כי הגישה למאגרים השונים תהיה נתונה רק למי שהורשו לכך על ידי בעלי המאגרים.

כמו כן, אם הארגון שלכם "מחזיק" בחמישה מאגרים ומעלה, מחובתכם למנות לארגון שלכם ממונה אבטחת מידע עם הכשרה מתאימה לכך[10], וכן למסור לרשם מאגרי המידע פעם בשנה פרטים אודות מאגרי המידע שבאחזקתכם.

זה הזמן להיערך לשיפור רמת הציות של הארגון שלכם לדרישות החוק

מומלץ להיערך מראש לשיפור רמת הציות של הארגון שלכם לדרישות החוק, על מנת שלא להיקלע למצב שבו אתם מקבלים פניה מהרשות להגנת הפרטיות בהפתעה[11].

משרדנו עוסק במתן ייעוץ משפטי בתחום הגנת הפרטיות. נשמח לעמוד לרשותכם על מנת לסייע לכם לעמוד בחובותיכם בהתאם לחוק ולתקנות.



[2]חוק הגנת הפרטיות, תשמ"א-1981.

[3]לא מדובר ברשימה ממצא, ובשום מקרה אין לראות בסקירה קצרה זו משום ייעוץ משפטי ספציפי. לשם מתן ייעוץ משפטי ספציפי, יש להבין את כל נסיבות המקרה הפרטני.

[4]ראו תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון), תשמ"א-1981.

[5]ראו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

[6]ראו הנחית רשם מאגרי מידע מס' 2/2011– שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.

[7]מבלי לגרוע מהמחויבויות של בעל המאגר מתוקף סעיף 30א לחוק התקשורת (בזק ושידורים), תשמ"ב-1982, "חוק הספאם".

[8]תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.

[9]ראו הערה 5 לעיל.

[10]ישנם ארגונים מסוגים נוספים אשר מחויבים למנות ממונה אבטחת מידע, כדוגמת בנקים, חברות ביטוח וחברות העוסקות בדירוג או הערכה של אשראי.

[11]ראו הערה 1 לעיל.

קרא עוד...

קרא עוד...

קרא עוד...