5/12/2022
מחזיק במאגר מידע? עליך להכיר את החובות החלות עליך!
דיני הגנת הפרטיות בישראל מטילים חובות החלות על כל עסק שאוסף מידע על אנשים בישראל, בעל מאגר מידע או מחזיק במאגר מידע.
יצוין ויודגש, כי חובות בקשר עם איסוף מידע ומאגר מידע חלות על כל המשק הישראלי ועל כל מאגר מידע, לרבות מאגרי מידע בסיסיים שנמצאים בידי כל עסק לצורך ניהול ותפעולו כגון מאגר מידע של העובדים, ספקים, לקוחות וכו'.
למרות האמור, ניכר כי מרביתם הגדול של העסקים בישראל, להוציא את התאגידים הגדולים שלרשותם עומדים ציי יועצים ועורכי דין, כלל אינם מודעים לחובות החלות עליהם כאשר הם אוספים מידע או בקשר למאגר המידע שהם מנהלים או מחזיקים.
בין היתר על עסק שאוסף מידע על אנשים חובה לקבל מנשואי המידע הסכמה לאיסוף המידע וליידע אותם האם קיימת חובה חוקית למסירת המידע וכן לציין את המטרה לשמה נאסף המידע. מטעם זה ישנה חשיבות לניסוח ופרסום מדיניות פרטיות של החברה.
כן, מאגר מידע בעל מאפיינים מסוימים מחויב ברישום בפנקס מאגרי המידע המנוהל על ידי הרשות להגנת הפרטיות במשרד המשפטים.
יתר על כן, בחודש מאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז- 2017 (להלן: "התקנות"), אשר הטילו חובה על ביצוע פעולות פרטניות לא מעטות, מורכבות יותר ומורכבות פחות.
הפעולות הנדרשות לביצוע לפי התקנות והיקפן נגזרות מרמת הסיווג של המאגר. על כן, ראשית, יש לקבוע מהי רמת הסיווג של המאגר בהתאם לקריטריונים מוגדרים בתקנות, למשל סוג המידע ורגישותו (למשל מידע אישי, רפואי...), כמות בעלי ההרשאה למאגר, כמות האנשים שיש מידע אודותיהם, ועוד.
להלן פעולות לדוגמא הנדרשות בתקנות, כאמור לפי הצורך ובהתאם לרמת הסיווג של המאגר :
-
על בעל / מחזיק במאגר לנסח "מסמך הגדרות מאגר" ובו, בין היתר, פירוט מאפייני המידע, השימוש הנעשה במידע, פעולות עיבוד שנעשות בו ופרטים נוספים.
-
יש לנסח נוהל אבטחת מידע, ובו לכלול הוראות בעניינים שונים המוגדרים בתקנות. מטרת מסמך זה לייצר מדיניות אבטחה ארגונית להתמודדות עם סיכוני האבטחה להם חשוף המידע.
-
גופים מסוימים נדרשים למנות ממונה על אבטחת מידע.
-
יש להכין מסמך/תרשים הממפה את מערכות המאגר.
-
יש להקפיד על שמירה פיזית של תשתיות ומערכות החומרה המשמשות את המאגר במקום מוגן המונע כניסה אליו ללא הרשאה וברמות סיווג מסוימות לבצע תיעוד של כניסות ויציאות ממערכות המאגר.
-
על בעלי/מחזיק מאגר מידע לנקוט באמצעים סבירים בהליכי מיון עובדים, בהתאם לרגישות המידע במאגר. למשל ביצוע מבחני התאמה של עובדים במכונים מקצועיים או המלצות ממעבידים קודמים.
-
יש לבצע הדרכות לבעלי הרשאות גישה למידע במאגר, בנושא החובות לפי חוק הגנת הפרטיות והתקנות.
-
יש לנקוט באמצעי אבטחה טכנולוגיים, כגון אימות זהות והרשאה של מי שניגש למידע במאגר, למשל באמצעות סיסמה.
-
יש לתעד אירועי אבטחה בכלים מקובלים, על מנת לייצר "זכרון ארגוני" ביחס לאירועי אבטחה.
-
רבים מהמחזיקים במאגר מידע, נעזרים בחברה חיצונית לצורך עיבוד המידע, לרבות בשירותי שרת וענן. יש לכלול בהסכם מול כל גורם המבצע פעולות עיבוד במאגר הוראות שונות בקשר עם הפעולות שהגורם המעבד רשאי לבצע במאגר המידע, שמירה על המידע במאגר ועניינים נוספים הקבועים בתקנות.
אנו סבורים כי על כל בעל עסק שהנו בעל מאגר מידע או מחזיק במאגר מידע, להחזיק אצלו "תיק אבטחת מידע" ולרכז בו את כלל המסמכים הנדרשים.
נדגיש שוב, החובות לפי דיני הגנת הפרטיות חלות על כל מי שמחזיק מאגר מידע, ובימינו, לא יהיה מופרז לומר, שמדובר כמעט בכל בעל עסק או ארגון, זאת מאחר שכמעט ואין מי שאינו מחזיק לפחות מאגר מידע של עובדים, ספקים או לקוחות.
יובהר ויודגש, כי אי מילוי החובות הקבועות בתקנות אבטחת המידע עלולות להביא להטלת סנקציות מנהליות, ולהוות עוולה אזרחית ואף עבירה פלילית. בנוסף, הוגשו אף תובענות ייצוגיות בסכומי עתק כנגד חברות בשל הפרת דיני הפרטיות.
יצוין, כי הרשות הרגולטורית האמונה על נושא הגנת הפרטיות מבצעת פעולות אכיפה במגזרים עסקיים שונים.
עוד נבקש לציין, כי החובות הקבועות בתקנות חלות גם על מנהל המאגר באופן אישי.
בשל מורכבות ניתוח המאגר והיקף הפעולות שעל בעל המאגר או מחזיק במאגר לבצע, אנו סבורים כי ישנה חשיבות מיוחדת לקבל ייעוץ וליווי משפטי על מנת ליישר קו וליישם את דיני הגנת הפרטיות באופן מיטבי.
חיפוש 
סגור 
