חוק הגנת הפרטיות נחקק עוד בשנת 1981, אבל יש מצב שעד לא מזמן לא יצא לכם אפילו לשמוע על קיומו בהקשרים של עולם הדיגיטל, ובטח שלא לחשוש מפני קנסות מנהליים, תביעות אזרחיות או אפילו ענישה פלילית. כל זה השתנה בחודש מאי 2018, כאשר נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, או בקיצור, תקנות אבטחה מידע. נכון, התקנות הותקנו בשנת 2017, אבל בדומה לאח הגדול שלהן בנֵיכָר, ה- GDPR האירופי, גם המחוקק הישראלי השכיל לקבוע תקופת חסד עד לכניסת התקנות לתוקף, בחודש מאי 2018 (שוב, בדומה ל-GDPR).
בפוסט הזה נסקור בקצרה מהן דרישות תקנות אבטחת מידע מבעלי האתרים וכיצד יש להתמודד עימן (אחרי מיצוי של תהליך הכחשה-כעס-השלמה כמובן).
אז מה השתנה?
כפי שסקרנו גם בפוסט קודם, העולם הוירטואלי והאינטרנט של הדברים גורמים לנו להשאיר אחרינו שובל דיגיטלי בכל מקום כמעט: באתרי אינטרנט, באפליקציות מהנייד, סרטי וידאו שאנחנו משתפים, מוני חשמל ומים חכמים, מצלמות במקומות העבודה, מעבירים כרטיס בכניסה לעבודה או טביעת אצבע בנתב”ג. לאחר שנים של היעדר אכיפה ופיקוח, הרגולטור הישראלי החליט לטפל בעניין באופן משמעותי יותר. חקיקת ה-GDPR הייתה קטליזטור חשוב בהליך החקיקה הישראלי ומטבע הדברים הכתיבה גם את כללי המשחק החדשים, וחשים זאת גם ברוח התקנות הישראליות.
לאחרונה שמענו על הליך אכיפה מנהלי שקיימה הרשות לענייני הגנת הפרטיות לבירור פירצת אבטחה באתר האינטרנט של חברת איתוראן, תוך שהחברה נמצאה מפרה את חובותיה לאבטחת המידע שנמצא במאגר המידע שלה. הפרה כזאת יכולה לגרור קנסות מנהליים על התאגיד וגם על בעלי תפקידים, ענישה פלילית וגם תביעות אזרחיות מנפגעי ההפרה. כך שמעתה ואילך, אפשר לצפות לנקיטת פעולות פרו-אקטיביות מצד הרשות לענייני הגנת הפרטיות, שרק ילכו ויתעצמו משנה לשנה.
מאגר המידע במרכז
בעוד שה-GDPR שם במרכז את המידע האישי ומתיימר להקיף את כל השימושים בו, הרי שהתקנות הישראליות צנועות יותר ושמות במרכז את מאגר המידע ובפרט, את אבטחת המידע האישי המוחזק בו.
מאגר המידע הוא אותו אוסף של נתונים המוחזקים באופן מגנטי או אופטי ומיועדים לעיבוד ממוחשב. אין מדובר בערימת דפים שאנחנו שומרים במגירה, אלא אך ורק קבצים דיגיטליים מכל מין וסוג.
המידע הרלבנטי לאותו מאגר מידע הוא כמובן מידע אישי, דהיינו: כל נתון בדבר אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונותיו.
חשוב לדעת שהחוק החריג במפורש עיבוד של נתונים לשימוש אישי שאינו למטרות עסק (לשם המחשה, התמונות שיש לי באפליקציית הגלריה), או אם מדובר רק ברשימת שמות עם דרכי התקשרות (לשם ההמחשה, רשימת אנשי הקשר שלי). בשני המקרים הללו, אוספי הנתונים לא ייחשבו ל”מאגרי מידע” לפי החוק. כך שאם אין לכם מאגר מידע, אתם יכולים לעצור כאן ולעבור למאמר מעניין אחר. ויש לנו הרבה כאלה באתר (:
אילו חובות חלים על בעל אתר עם מאגר מידע?
תקנות אבטחת מידע מפרטות ברזולוציה גבוהה יחסית את הסטנדרטים הנדרשים לאבטחתו של מאגר מידע (ראו בהמשך), וכן, מרחיבות את מעגל האחריות על בעל מאגר המידע, אבל גם על מי שמנהל אותו ועל מי שמחזיק בו. התקנות מפרטות, בין היתר, מהי רמת האבטחה הנדרשת מכל אחד מסוגי המאגרים לפי היקף ורגישות המידע האגור ומגבירות את הפיקוח על המקצוענים בשוק המידע בהתאם לרמת האבטחה הנדרשת.
האחריות הכוללת לעמידה בהוראות היא של הבאים:
- בעל מאגר המידע שהוא התאגיד או העסק שלמטרותיו ולצרכיו המידע נאסף ומעובד.
- מנהל המאגר, כלומר מנהל התאגיד או העסק או בכיר אחר שהוסמך לכך.
- המחזיק במאגר המידע, כלומר מי שהמאגר ברשותו והוא רשאי לעשות בו שימוש.
איזו רמת אבטחה נדרשת?
תלוי במדרג, באופי השימוש במאגר המידע, היקף המידע האגור בו וסוג השימוש במידע:
מאגר מידע המנוהל על ידי יחיד
זהו מאגר מידע שמנוהל על ידי יחיד (או תאגיד בבעלות יחיד) אשר פרט לו ישנם לכל היותר שני אנשים נוספים המורשים ויכולים לעשות בו שימוש. מאגר זה אינו יכול להיות: מאגר מידע המכיל מידע על יותר מ10,000- בני אדם, מאגר מידע הכולל מידע המוגן בסודיות לפי דין או אתיקה מקצועית, או מאגר מידע שמטרתו דיוור ישיר.
מאגר שחלה עליו רמת אבטחה בסיסית
זהו מאגר שאינו מאגר המנוהל על-ידי יחיד ואינו עונה על ההגדרה של מאגר ברמת אבטחה בינונית או גבוהה. על מאגר זה חלות הרבה פחות דרישות מאשר על מאגרים ברמת אבטחה בינונית או גבוהה ולכן קיימת הקלה שמאפשרת לעסקים קטנים ליהנות ממנה (ראו למטה בהמשך).
מאגר שחלה עליו רמת אבטחה בינונית
- כל מאגר מידע שמטרתו איסוף מידע לאחר כדרך עיסוק לרבות שירותי דיוור ישיר.
- מידע על צנעת חייו האישיים לרבות התנהגותו ברשות היחיד, מידע רפואי או על מצבו הנפשי של אדם, מידע גנטי, מידע אודות דעות פוליטיות או אמונות דתיות של אדם, מידע אודות עברו הפלילי של אדם, נתוני תקשורת בנוגע למיקומו של אדם, מידע ביומטרי, מידע כלכלי לרבות יכולתו הכלכלית, מצבו הכלכלי ונכסיו, הרגלי צריכה של אדם מסוגים שונים.
- מאגרי מידע של גופים ציבוריים (רשויות מקומיות, משרדי ממשלה, בתי חולים וכו’).
מאגר שחלה עליו רמת אבטחה גבוהה
מאגר מידע שיש בו מידע אודות 100,000 בני אדם, או יותר, או שמספר מורשי הגישה אליו עולה על 100.
מה צריך לעשות כל בעל מאגר מידע (בכל רמה)?
התקנות דורשות מכל בעל מאגר מידע לנקוט בשורה של אמצעי אבטחה סטנדרטיים כדי להבטיח הגנה ראויה על המידע האישי ולצמצם ככל שניתן את האפשרות לפגיעה בפרטיות של מושאי המידע, הכוללים בין היתר:
- כתיבתו של “מסמך הגדרות המאגר” – הכולל תיאור מפורט של פעולות איסוף המידע, מטרות השימוש, הערכת סיכונים ועוד.
- שמירה פיסית של תשתיות ומערכות חומרה המשמשות את המאגר.
- אימות זהותו של המורשה לפני כניסתו למאגר באופן מקובל.
- תיעוד אירועי אבטחה.
- הגבלת השימוש בהתקנים ניידים.
- ניהול מאובטח של מערכות המאגר באמצעות מערכות מעודכנות ותקינות.
- אבטחת תקשורת לרשת באמצעות שיטות הצפנה מקובלות.
- מינוי מנהל מאגר – בעל תפקיד שהוסמך לכך על-ידי החברה.
- רישומו אצל רשם המאגרים (ראו למטה פירוט באילו מקרים נדרש לרשום).
בעל המאגר מחויב להגדיר את מטרות המאגר ולאסוף מידע רק במידה הנדרשת כדי לעמוד במטרות הללו. עקרון זה, הקרוי “צמידות המטרה”, קובע כי ניתן לעשות שימוש במידע רק למטרה לה הוא נמסר. שימוש במידע שלא למטרה שלשמה נמסר מהווה פגיעה בפרטיות ועשוי להטיל על המפר קנס של עד 25,000 ₪, פיצוי ללא הוכחת נזק של עד 50,000 ₪ ואפילו עשוי להיחשב כעבירה פלילית (עד 5 שנות מאסר).
מה לעשות כשיש מאגר מידע ברמה בסיסית ומעלה?
מאגרים ברמת אבטחה בסיסית ומעלה נדרשים ליישום משמעותי יותר של דרישות הדין, וחשופים כמובן לרמת אכיפה נוקשה יותר. בנוסף, התקנות מפרטות הוראות נוספות הנדרשות ממאגרים שכאלה, הכוללות בין היתר:
- כתיבת נוהל אבטחה/ מדיניות אבטחה לפי הקריטריונים המפורטים בתקנות.
- מיפוי מערכות וביצוע סקר סיכונים – תיעוד מבנה המאגר ופירוט כל המערכות והממשקים.
- הסדרת מיקור חוץ.
- שמירת נתוני אבטחה.
בנוסף, יש צורך בביקורות תקופתיות והקפדה על תיעודן, גיבוי ושחזור של נתוני אבטחה ועוד.
יש הקלות, משהו?
בהחלט. המחוקק דאג לארגונים קטנים ולכאלה שאין להם מורכבות יתרה מבחינת המידע האגור במאגר המידע שלהם וקבע כי בכל אחד מהמקרים הבאים לא תחול רמת האבטחה הבינונית, אלא הבסיסית:
- מאגר מידע שהמידע בו הוא אודות המועסקים או הספקים של בעל מאגר המידע ובלבד שהמידע משמש למטרות ניהול העסק בלבד (במקרים שהמידע הוא מהסוגים הבאים: מידע רפואי או על מצבו הנפשי של אדם, מידע אודות עברו הפלילי של אדם, נתוני תקשורת בנוגע למיקומו של אדם ומידע ביומטרי אם מדובר בתמונת פנים בלבד, או מידע כלכלי לרבות יכולתו הכלכלית, מצבו הכלכלי ונכסיו).
אם קיים במאגר גם מידע אודות צנעת חייו של אדם, מידע גנטי, מידע על דעות פוליטיות, מידע ביומטרי שאינו רק תמונת פנים או הרגלי צריכה של אדם – אז ההקלה הזו לא תחול. - מספר בעלי ההרשאה אצל בעל מאגר המידע אינו עולה על 10.
מה זה אומר “לרשום את מאגר המידע” ומתי צריך לעשות את זה?
הרישום נועד לתת לרשות כלי אפקטיבי לצורך אכיפת הזכויות והחובות שבחוק על בעלי מאגרים, על-ידי גילוי נרחב אודות המאגר לעיני הרשות. בנוסף, עם רישום המאגר, עצם קיומו הופך לפומבי וגלוי לעין כל, אך מבלי לחשוף את תוכן המידע עצמו, אלא רק לתת מידע אודות סוג המידע המוחזק (ברמת הכותרות).
המשמעות הפרקטית של רישום מאגר מידע היא הגשת סט של טפסים פורמליים לרשם מאגרי המידע ברשות לענייני הגנת הפרטיות. לצורך מילויים התקין של הטפסים הללו נדרש לבצע מספר פעולות בחברה, כמו למשל החלטה פורמלית בדבר הסמכת מנהל מאגר, מילוי הצהרות וכו’. מילוי הטפסים כרוך בסקירה ומיפוי של המאגר הקיים בכדי לתת את התיאור הנכון בעניינו לרשות.
החוק דורש את רישומם של כל אחד ממאגרי המידע הבאים:
- המאגר משמש לשירותי דיוור ישיר.
- המאגר שייך לגוף ציבורי.
- המאגר כולל מידע על יותר מ-10,000 אנשים.
- המאגר כולל “מידע רגיש” (שהם נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו).
- המאגר כולל מידע על אנשים שלא נתנו את הסכמתם להיכלל במאגר.
התנאים בנוגע לרישום מאגר אינם חופפים לקריטריונים של רמת האבטחה בהכרח.
ניהול, החזקה או שימוש במאגר מידע שחייב ברישום ולא נרשם מהווה עבירה פלילית שדינה מאסר שנה. בנוסף, הוא חושף לקנסות מנהליים של בין 10,000 ₪ ל-25,000 ₪.
וכמה עצות פרקטיות על הגנת הפרטיות לסיום
- בצעו מיפוי של מערכות המידע שלכם לצורך זיהוי ואיתור של מידע אישי החייב בהגנה לפי הדין.
- אם הסתבר לכם שיש לכם מאגר מידע (כהגדרתו בדין) אז בחנו מה תפקידכם ביחס אליו (מחזיקים, מנהלים, בעלים).
- בצעו סקר (עדיף להיוועץ באיש מקצוע) האם אתם עומדים בדרישות הדין לעניין ההסדרה הפורמלית של המאגר, רישום המאגר ואבטחת המידע, וכן, לאיזו רמת אבטחה אתם נדרשים.
- התחילו ביישום הוראות הדין בנוגע למאגרי המידע שלכם בהקדם האפשרי, ולכל הפחות צרו לעצמכם תוכנית פעולה שתביא אתכם לציות מלא להוראות בתוך פרק זמן סביר. חבל להיתפס לא מוכנים אם לפתע תוטל עליכם ביקורת של הרשות או חמור מכך, המאגר שלכם ייחשף לפריצה או נסיון לפריצה והמידע האגור בו ייגנב או ידלוף לגורמים בלתי רצויים.
וזהו להיום.
אבל תמשיכו לעקוב! בפוסט הבא נדבר על הכללים שחלים על שירותי דיוור ישיר, איך לקבל הסכמה מהמשתמש ועוד דברים באיזור (:
משהו לא ברור? שאלות? הערות? כתבו לי בתגובות!
—
** הטיפים פה יוכלו לעזור לכם אבל אין בהם כדי להוות ייעוץ משפטי – במידה ויש ספקות מומלץ להיוועץ באיש מקצוע שמבין בתחום**