בעבר, על מנת לקבל פרטיות, היה מספיק לסגור את החלון או להסיט את הוילון. עם ההתפתחות הטכנולוגיה, שהובילה לכך שהחלונות הפכו להיות טכנולוגיים, סגירת החלון הופכת להיות קשה ומורכבת יותר עבור כולנו. ההתפתחות הטכנולוגית הופכת את הפרטיות להיות מורכבת ובמובנים מסוימים מבחינת המידע החשוף עלינו עברנו להתגורר בבית שקוף מזכוכית. בעבור עסקים רישום מאגר מידע וניהולו הפך אתגר מורכב.
רוצים לרשום מאגר מידע ? דברו איתנו: 09-9699960 או שלחו מייל
דוגמאות לויתור שלנו על הפרטיות מקיפות אותנו ב-360 מעלות: אנו רוצים להיות זמינים בטלפון – הרשת הסלולרית יודעת בכל רגע נתון מה המיקום שלנו. אנו רוכשים ברשת שיווק – כרטיס המועדון מאפשר לבנות פרופיל רכישות והטבות אישי. אנו מזמינים מוצר באינטרנט – החברה שומרת את הרכישה והמוצרים המעניינים אותנו.
אולם הויתור על הפרטיות הוא לא רק אצל גופי ענק, אלא כמעט בכל ממשק בחיינו: אצל עורך הדין, אצל הרופא, אצל סוכן הביטוח. כולם מקבלים מידע אישי, מאחסנים אותו באמצעים טכנולוגיים ועושים בו שימוש על מנת לספק לנו שירותים.
רישום מאגר מידע וניהולו כפוף לחוק הגנת הפרטיות ולתקנות הגנת הפרטיות (אבטחת מידע), אשר עד לפני מספר שנים חייב בעיקר רישום של מאגר מידע הכולל מספר רב של רשומות. בשנים האחרונות רגולציית הגנת הפרטיות עברה מהפכה. משרד המשפטים קידם שורת שינויים בתקנות אבטחת המידע החלות על חברות וארגונים והסיט את הדגש מחובת הרישום הפורמלית של המאגר לחובה לשמור בצורה מקיפה על המידע המאוחסן במאגר ולבקר את השימוש במידע תוך הבטחת פרטיותו של מי שמסר את המידע. התייעצות עם עורך דין הגנת הפרטיות וסייבר תסייע לכם להבין את מצבכם המשפטי.
לצורך כך משרד המשפטים הקים את הרשות להגנת הפרטיות, כשומרת הסף של זכויות האזרח בתחום הגנת המידע האישי. הרשות רואה כמשימתה העיקרית קידום של ציות לדיני הגנת המידע בכל ארגון, עסק וגוף ציבורי בישראל, כך שיפעלו לביצוע רישום מאגר מידע וניהולו באופן תקין, בהתאם לחוק הגנת הפרטיות ולתקנות.
מאחורי אמירות אלה מסתתרת חובה על ידי כל מי שמחזיק מידע לשמור עליו מפני גניבה, דליפה, פריצה או שימוש לרעה. החובה היא לשמור על שלמות המידע והגנה עליו מפני חשיפה, שימוש או העתקה, על ידי גורמים שאינם מורשים. לצד החובה גם קיימים קנסות כבדים לארגונים שיפרו את ההוראות.
אז מה זה בעצם מידע ?
ההגדרה של מידע עליו חלות תקנות הגנת הפרטיות רחבה מאוד וכוללת לדוגמא נתונים על מעמדו האישי של אדם (כגון סטטוס משפחתי, אילן יוחסין, קשרים משפחתיים), מצבו הכלכלי, הכשרתו המקצועי, מספר תעודת זהות ועוד. מדובר על הגדרה רחבה של מידע, כך שחייבת להיעשות בדיקה בהתאם לפעילות הארגון.
קביעת סוג המאגר מחייבת ביצוע תהליך אבחון שיכלול בחינה של המידע, אבטחתו והתשתיות עליהן הוא מאוחסן. האבחנה אינה פשוטה ומומלץ להיעזר במומחים שיקבעו את סווג המאגר בצורה נכונה ויגבשו את כלל הצעדים הנדרשים בחוק לשמירתו.
המחוקק מבדיל בין מאגר מידע המנוהל על ידי יחיד, אשר הנו מאגר מידע שמנהל יחיד בעצמו או תאגיד בבעלות יחיד, ואשר הגישה למידע שבו מותרת רק לאותו יחיד ולכל היותר לעוד שני בעלי הרשאה נוספים. מאגר המנוהל על ידי יחיד זוכה לתנאים מקלים מבחינת דרישות אבטחת המידע ושמירתו.
מכאן, כל מאגר שאינו מנוהל על ידי יחיד, על ידי חברת יחיד או מאגר שיש אליו גישה לשלושה משתמשים ומעלה לא ייחשב מאגר המנוהל בידי יחיד ורמת האבטחה הנדרשת ממנו שונה מהנדרש ממאגר יחיד.
בנוסף, שלושה סוגי מאגרים שמנוהלים על ידי יחיד, לא ייחשבו כ"מאגר המנוהל בידי יחיד": מאגר שבעליו כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית, כמו רופאים, עורכי דין, פסיכולוגים וכו', מאגר המשמש לאיסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר או מאגר שיש בו מידע לגבי 10,000 אנשים ומעלה. על מאגרים אלה חלים כללים אחרים, אפילו שהם מנוהלים בידי יחיד.
אני מאגר יחיד – מה עושים עכשיו ?
במידה והגעתם למסקנה כי המאגר שלכם הוא "מאגר המנוהל בידי יחיד", להלן עיקר הדרישות. מדובר בסקירה כללית, שאינה כוללת את כלל דרישות התקנות, גם לגבי מאגר יחיד.
צעד ראשון הוא הכנת "מסמך הגדרות המאגר". המסמך יתייחס, בין היתר, לנושאים הבאים:
- מה אני עושה במידע ? תיאור כללי של פעולות השימוש במידע.
- בשביל מה ? מטרות השימוש במידע.
- איזה מידע יש לי בכלל ? סוגי המידע השונים הכלולים במאגר המידע.
- האם אני מעביר את המידע לאחרים בחו"ל? פרטים על העברת מאגר המידע או שימוש בו מחוץ לגבולות ישראל.
- האם נעשות פעולות עיבוד מידע באמצעות אחר (הכוונה לקבלן חיצוני שאינו בעל המאגר, אולם מחזיק בו או רשאי לעשות בו שימוש עבור בעל המאגר).
- האם יש סיכונים? מהם הסיכונים העיקריים של פגיעה באבטחת המידע.
- איך אני מתכוון להתמודד עם הסיכונים האלה אם חס וחלילה יתרחשו?
- שמו של מנהל מאגר המידע ושל מחזיק המאגר.
את מסמך ההגדרות יש לעדכן אם נעשה שינוי משמעותי, טכנולוגי או ארגוני וכן אם ארע אירוע אבטחה. בנוסף, אחת בשנה יש לבדוק אם לא מוחזק במאגר מידע רב מדי מזה הדרוש למטרותיו. דרישות נוספות הן אבטחה פיזית, זיהוי ואימות כי מי שניגש למידע במאגר הוא עובד מורשה, רישום אירוע אבטחה, ניהול מאובטח ומעודכן של מערכות המאגר ואבטחת תקשורת.
על מנת לעמוד בדרישות השונות מומלץ לעשות שימוש בעורכך דין הגנת הפרטיות לצד חברת אבטחת מידע שתוכל לספק את המעטפת הטכנולוגית הנדרשת.
לאחר ביצוע מיפוי של מאגרי המידע והשלמת רישום מאגר המידע מומלץ לנקוט בצעדים נוספים כמו גיבוש מדיניות פרטיות בארגון, גיבוש מדיניות ציות בנושא פרטיות ואבטחת מידע ועמידה בהוראות לעניין ניהול מאגרי מידע כמו סקר סיכונים, תיעוד אירועי אבטחה, מדיניות התקנים ניידים ובחינת מדיניות אבטחה פיזית וטכנולוגית.
כל האמור לעיל אינו מהווה ייעוץ משפטי או תחליף לייעוץ משפטי וכל המידע המצוי באתר משמש כמידע כללי בלבד. אין בדברים האמורים בכדי להחליף מידע הניתן על ידי עו”ד, ועל הקורא לפנות ולהתייעץ עם עו”ד העוסק בתחום בטרם נקיטת כל פעולה משפטית כזו או אחרת. כל המסתמך על האמור לעיל בכל דרך שהיא, עושה זאת על אחריותו בלבד והאחריות לכל תוצאה ישירה או עקיפה, בשל הסתמכות על האמור, תחול על המשתמש בלבד.
המאמר פורסם לראשונה בשבועון עדיף לקראת כנס אלמנטר 2020