הגנת הפרטיות
זכותו של כל אדם פרטיותו.
השימוש במאגרי מידע, מגביר את הסיכון כי מידע אישי ייחשף ויפגע בפרטיותם של אזרחים תמימים.
שימוש זה חושף ארגונים לסיכונים במרחב הסייבר העלולים להתממש כתוצאה מניצול של חולשות במערכות, תהליכים ו/או הגורם האנושי, עד כדי למנוע ולשבש את הפעילות השוטפת, ולחשוף את הארגון לתביעות משפטיות ועיצומים רגולטוריים וכיו”ב.
לצורך שמירה על הוראות החוק והגנה על הפרטיות, יש לנקוט באמצעים לאבטחת המידע ולהגן מפני פגיעה אפשרית.
תקנות הגנת הפרטיות אשר נכנסו לתוקף בחודש מאי 2018 , מכוח חוק הגנת הפרטיות. מגדירות חובות מפורטות לבעלי מאגר מידע, ליישום בקרות תהליכיות וטכנולוגיות לצורך אבטחת מאגרי מידע בהם מנוהל מידע אישי.
התקנות חלות על כל גוף או עסק בכל גודל שהוא, קטן כגדול אשר מנהל “מאגר מידע” המיועד לעיבוד (לדוג’ קובץ אקסל המכיל פרטי מידע אישי נחשב מאגר מידע)
הרשות להגנת הפרטיות של משרד המשפטים מפקחת ואוכפת את הוראות חוק הגנת הפרטיות.
הפרת התקנות עלולה להביא להטלת קנסות כבדים וסנקציות מצד הרשות, לרבות ביטול אישור ניהול המאגר ופרסום ההפרה לציבור. כמו כן, עלולה ההפרה להיות בסיס לתביעות אזרחיות, ייצוגיות ואחרות.
מי שמנהל או מחזיק מידע על אנשים, עשוי למצוא עצמו חייב לעמוד בדרישות תקנות הגנת הפרטיות
התקנות מבחינות בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם:
מאגר מידע המנוהל על ידי יחיד
זהו מאגר מידע שמנהל יחיד בעצמו או תאגיד בבעלות יחיד (“חברת אני”), ואשר הגישה למידע שבו מותרת רק לאותו יחיד ולכל היותר לעוד שני בעלי הרשאה נוספים.
קיימים שלושה סוגי מאגרים שלמרות שהם מנוהלים על ידי יחיד, לא ייחשבו כ”מאגר המנוהל בידי יחיד”:
o כאשר בעל המאגר כפוף לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית. לדוגמה – עורך דין או פסיכיאטר.
o מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר.
o מאגר מידע שיש בו מידע לגבי 10,000 אנשים ומעלה.
מאגרים שחלה עליהם רמת האבטחה הבסיסית
- מאגר הכולל מידע רפואי או מידע על מצבו הנפשי של אדם; מידע על אודות עברו הפלילי של אדם; נתוני תקשורת, מידע ביומטרי לעניין תמונות פנים בלבד, מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם על אודות המועסקים או הספקים של בעל מאגר המידע, ובלבד שהמידע משמש למטרות ניהול העסק בלבד, ואינו כולל מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד; מידע גנטי כהגדרתו בחוק מידע גנטי; מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם; מידע ביומטרי שאינו תמונות פנים; הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו.
- מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה.
מאגרים שחלה עליהם רמת האבטחה הבינונית
(1) מאגר מידע שמטרתו איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות שירותי דיוור ישיר;
(2) מאגר מידע שבעליו הוא גוף ציבורי (משרדי ממשלה, מוסדות מדינה, רשות מקומית, גוף אחר הממלא תפקידים ציבוריים, גוף ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, ובלבד שבצו ייקבעו סוגי המידע והידיעות שהגוף יהיה רשאי למסור ולקבל)
(3) מאגר מידע הכולל מידע שהוא אחד מאלה:
(א) מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;
(ב) מידע רפואי או מידע על מצבו הנפשי של אדם;
(ג) מידע גנטי כהגדרתו בחוק מידע גנטי, התשס”א-2000;
(ד) מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;
(ה) מידע על אודות עברו הפלילי של אדם;
(ו) נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס”ח-2007;
(ז) מידע ביומטרי;
(ח) מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם;
(ט) הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו.
מאגרים שחלה עליהם רמת האבטחה הגבוהה.
- (1) מאגר מידע כאמור בסעיפים (1) או (3) לעיל, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף 23(1) לחוק המקיים את האמור בפרטים (1) או (3), שיש בו מידע על אודות 100,000 אנשים ומעלה;
- (2) מאגר מידע כאמור בסעיפים (1) או (3) לעיל, לרבות מאגר של גוף ציבורי כמשמעותו בסעיף 23(1) לחוק המקיים את האמור בפרטים (1) או (3), שמספר בעלי ההרשאה בו עולה על 100.
מחוייבות לפי החוק:
על מנת לעמוד בתנאי האכיפה של החוק והתקנות, כל עסק או ארגון נדרשים כיום לבצע בדיקה למטרת אבחון, יישום ממצאי הבדיקה, ובקרה תקופתית של מאגרי המידע שברשות הארגון, ובכללותם רישום, ניהול ושמירת המידע הקיים ובהתאם לדרישות החוק,
עו”ד מודי דויטש, מומחה בעל ניסיון רב שנים בעולם ההיי-טק ומערכות המידע, ביישום תקנות הגנת הפרטיות של רשות הגנת הפרטיות בישראל, וביישום תקנות GDPR האירופאיות, ומבצע את תהליכי הבדיקה, יישום ובקרה המחוייבים עפ”י החוק הישראלי והבינלאומי.
להלן סל השירותים המוצעים:
זיהוי וסיווג מאגרי מידע ורמת האבטחה במטרה ליישם ולהתאים בהתאם לדרישת תקנות החוק.
ניתוח ממצאים, ומציאת פערים בין האבטחה הקיימת לבין המחויב עפ"י החוק GAP ANALYSIS
הערכת סיכוני סייבר
ניסוח מדיניות ונהלים.
הדרכת עובדים והגברת מודעות
ביצוע סקירות תקופתיות בהתאם לדרישות החוק
מתן מענה ליישום תקנות רגולציה אירופאיות GDPR
ייעוץ וליווי תהליך, יישום והטמעה
טיפול באירועי אבטחה חריגים מול הרשויות.
ביצוע רישום מאגרי מידע.
פיקוח ובקרה על פעילות צד שלישי (מיקור חוץ)
ועוד...
מאמרים אחרונים בתחום
הגנת הפרטיות בשגרת קורונה – הכיצד?
חזרה לשגרה – האמנם והכיצד. בימים אלו, בהם המדינה מתנה פתיחת עסקים במעקב אחר המבקרים בהם – חל בלבול רב באשר לתקנות הגנות הפרטיות. בדיקות
חוק פרטיות הצרכן בקליפורניה (CCPA)
חוק פרטיות הצרכן בקליפורניה (CCPA) נכנס לתוקפו ב-1.1.20. על פי החוק, לצרכן יש את הזכות לקבל מידע אודות אופן הטיפול במידע השייך לו, כלומר כיצד המידע האישי נאסף, אופן השימוש בו והאם ואיך המידע משותף או נמכר.