פברואר 24, 2020

מה ניתן ללמוד מממצאי הליכי הפיקוח של רשות הגנת הפרטיות?

אורית גונן, שותפה
אורית גונן

שותפה

גילת ברקת ושות׳
אלכסנדרה כהן, עורכת דין
אלכסנדרה כהן

עורכת דין

גילת ברקת ושות׳

מאז כניסת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 לתוקפן בחודש מאי 2018, שוקד מערך פיקוח הרוחב ברשות להגנת הפרטיות על עריכת פיקוחי רוחב מגזריים לבחינת יישום והטמעת הוראות התקנות וחוק הגנת הפרטיות, התשמ"א-1981. כך למשל, במהלך השנים 2018-2019 ביצעה הרשות להגנת הפרטיות 233 הליכי פיקוח רוחב בקרב מגזרים שונים, וביניהם מכונים ומעבדות רפואיות, ספקי פלטפורמות אינטרנטיות לימודיות האוספות מידע על קטינים וכן חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של למעלה ממאה אלף איש.

ביום 7 לינואר 2020 פרסמה הרשות להגנת הפרטיות את ממצאי הדו"ח אודות ביקורת שביצעה בקרב מגזר מועדוני לקוחות, אשר מהווה יעד פיקוח משמעותי, זאת בשל סוגי המידע הרגישים המוחזקים בדרך כלל במאגרים של מועדוני לקוחות בנוסף לפרטי הקשר של נושאי המידע, כגון הרגלי צריכה או התנהגות, מצב כלכלי או השתייכות דמוגרפית. הרשות בדקה את עמידת מועדוני הלקוחות בהוראות החוק והתקנות באמצעות ארבעה קריטריונים מרכזיים: (1) בקרה ארגונית וממשל תאגידי; (2) ניהול מאגרי מידע; (3) אבטחת מידע ו-(4) שימוש בשירותי מיקור חוץ. מתוך 44 גופים המנהלים מועדוני לקוחות ובעלי מאגר מידע שנבדקו במסגרת הליך הפיקוח, נדרשו 43 (!) גופים לתקן ליקויים שאותרו על ידי הרשות להגנת הפרטיות ולספק תכנית מפורטת לתיקונים בליווי הצהרת נושא משרה לביצוע התיקונים כאמור והשלמתם. הדו"ח בעניין מועדוני לקוחות הוא הדו"ח הראשון בשורת הדו"חות שעתידה הרשות להגנת הפרטיות לפרסם בהמשך.

על רקע הפעילות המוגברת של הרשות להגנת הפרטיות לאיתור הפרות הוראות החוק והתקנות ולהגברת האכיפה בנושא, מובאת להלן רשימה של דגשים שהופקו בעקבות הליקויים העיקריים שנמצאו במסגרת הליך הפיקוח של מועדוני הלקוחות, מהם כל בעל מאגר יכול ללמוד כיצד להטמיע וליישם נכון את הוראות החוק והתקנות:

  1. בקרה ארגונית וממשל תאגידי (55% מהגופים נמצאו ברמת עמידה בינונית עד נמוכה)
    • מסמכים בארגון – יש לוודא כי קיימים בארגון מסמך הגדרות מאגר ונוהל אבטחה כנדרש על פי התקנות (סעיפים 2 ו-4). כמו כן, יש לבחון את הצורך בעדכונם פעם בשנה (ראו בהמשך).
    • מינויים בארגון – יש לוודא כי מונה מנהל מאגר באמצעות כתב מינוי מתאים וכי המינוי כאמור נרשם אצל רשם הגנת הפרטיות (כשהמאגר חייב ברישום). כמו כן, יש לבחון האם חלה חובה על בעל המאגר למנות ממונה אבטחת מידע. נזכיר כי לפי סעיף 17ב. לחוק החובה למנות ממונה על אבטחה חלה על בנקים, חברות ביטוח, חברות העוסקות בדירוג או בהערכה של אשראי, גופים ציבוריים וגופים המחזיקים בחמישי מאגרי מידע החייבים ברישום. ככל שקיימת חובת מינוי כאמור, על הממונה להכין תכנית מפורטת לבקרה שוטפת בנושא אבטחת מידע והגנת פרטיות.
    • הדרכות לבעלי הרשאות – יש לבצע הדרכות לעובדים בנושא הגנת הפרטיות ואבטחת מידע לפני מתן גישה למאגר המידע ולתעד בהתאם. כמו כן, במאגר מידע בעלי רמת אבטחה בינונית או גבוהה, על בעל המאגר לבצע הדרכות תקופתיות

  2. ניהול מאגרי מידע (43% מהגופים נמצאו ברמת עמידה בינונית עד נמוכה)
    • שימוש במידע בניגוד למטרה – ניתן לעשות שימוש במידע שבמאגר רק למטרה שלשמה הוקם המאגר. לכן יש להגדיר בצורה נהירה במסמך הגדרות המאגר את מטרות המאגר, ולעדכן את פרטי המאגר בפנקס מאגרי המידע בהתאם.
    • התקשרות עם נושא המידע – בעת פנייה לנושא המידע לשם איסוף המידע אודותיו, יש לציין באופן מפורש האם חלה עליו חובה חוקית למסור את המידע, המטרה שלשמה מבוקש המידע וכן למי יימסר המידע ומטרות המסירה (סעיף 11 לחוק). כמו כן, כל פנייה בדיוור ישיר צריכה לכלול את הפרטים הנדרשים בחוק, לרבות הציון כי מדובר בדיוור ישיר, יידוע נושא המידע כי זכותו להימחק מן המאגר, וכן זהותו ומענו של בעל המאגר (סעיף 17ו. לחוק). בנוסף, יש להבהיר לנושאי המידע אודות זכותם לעיין במאגר המידע, ניתן לעשות זאת למשל במסגרת תקנון או תנאי שימוש באתר.

  3. אבטחת מידע (52% מהגופים נמצאו ברמת עמידה בינונית עד נמוכה)
    • ניהול הרשאות – יש לקבוע תהליך לביטול הרשאות לבעל הרשאה שסיים את תפקידו בארגון, וכן להטמיע מנגנון הרשאות המבוסס על הצורך לדעת.
    • הגבלת גישה למערכת – יש להטמיע מדיניות סיסמאות וכן להגדיר ניתוק אוטומטי במערכות לאחר פרק זמן סביר של אי פעילות במערכת. כמו כן, יש להגביל אפשרות לחיבור התקנים ניידים וכן להשתמש בשיטות הצפנה מקובלות כנקיטת אמצעים סבירים להגנה על מידע שהועתק להתקן נייד.
    • אירועי אבטחה – יש לתעד כל אירוע המעלה חשש לאירוע אבטחה וכן הפעולות שננקטו בעקבותיו.

  4. שימוש בשירותי מיקור חוץ (82% מהגופים נמצאו ברמת עמידה בינונית עד נמוכה)
    • עריכת הסכם עם גורם חיצוני המעניק שירותי מיקור חוץ בהתאם לסעיף 15 לתקנות – על בעל המאגר לוודא כי ההסכם מול גורם חיצוני המעבד ו/או מאחסן את המידע כולל התייחסות מפורשת לכל הנקודות הנזכרות בסעיף 15 לתקנות, לרבות אופן יישום החובות בתחום אבטחת המידע, וחובתו של הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לשמור על סודיות המידע, להשתמש במידע רק לפי האמור בהסכם, וליישם את אמצעי האבטחה הקבועים בהסכם.
    • נקיטת אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות החוק והתקנות – בעל המאגר צריך לקבוע רשימה של פעולות אשר יוכל באמצעותן לוודא שהגורם החיצוני נוקט באמצעים הנדרשים לשם הגנת המידע. למשל, ניתן לקבוע כי לבעל המאגר תהיה זכות לביצוע ביקורת שנתית. ממילא, חובה על הגורם החיצוני לדווח לבעל מאגר המידע, אחת לשנה לפחות, על אודות אופן ביצוע חובותיו לפי התקנות וההסכם וכן להודיע לבעל המאגר במקרה של אירוע אבטחה.

הרשימה שהובאה לעיל הינה רשימה חלקית ואינה מכסה את כל החובות החלות על בעל מאגר, וכדאי לוודא עמידה במלוא הוראות החוק והתקנות.

כמו כן, אנו מזכירים כי כל מי שטרם ביצע את הבדיקה השנתית של המאגר, מתבקש ליישם בהקדם את הוראות התקנות הבאות:

  • סעיף 2(ב)+2(ג) לתקנות – לבחון את הצורך בעדכון מסמך הגדרות המאגר, זאת בין היתר בשל שינויים טכנולוגיים ארגוניים או אירועי אבטחה, לרבות בדיקה אם המידע הנשמר במאגר אינו רב מן הנדרש למטרות המאגר.
  • סעיף 4(ה) לתקנות – לבחון את הצורך בעדכון נוהל האבטחה של הארגון.

אין באמור במאמר כדי להוות עצה, הדרכה, ייעוץ או חוות-דעת בנושא, והוא מוגש כשירות ללקוח להעשרה כללית בלבד ולא לכל מטרה אחרת. בכל נושא ספציפי יש לפנות לעורכי הדין או עורכי הפטנטים הרלוונטיים במשרדנו.

הירשמו לניוזלטר שלנו