מפסיקים לשחק במידע, זה עלול לעלות ביוקר
עוה"ד רם תורן ויאיר בנימיני ממשרד גדעון פישר ושות'
בין אם ידעתם זאת ובין אם לא, נכון להיום, חברות וארגונים רבים בישראל פועלים, הלכה למעשה, בניגוד לחוק, ובכך מעמידים את החברה או הארגון, ואף את נושאי המשרה בהם בחשיפה לקנסות מנהליים, תביעות אזרחיות ואף ענישה פלילית. כידוע, "אי ידיעת החוק אינה פוטרת מעונש", על כן, מצאנו לנכון להאיר את עיניכם, מנהלי פרויקטים, אודות ההשלכות של כניסתן לתוקף של תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017 ("תקנות הגנת הפרטיות" או "התקנות" או "התקנות החדשות") על ארגונים, חברות ויחידים המחזיקים ו/או מנהלים מאגרי מידע שונים.
תקנות הגנת הפרטיות נכנסו לתוקפן החל מחודש מאי 2018 (לאחר תקופת אכשרה של שנה ממועד חקיקתן). התקנות, שחקיקתן נשענת במובנים רבים על ההתקדמות הרבה שנעשתה בנושא בעולם בכלל ובאירופה בפרט, עם התקנת תקנות ה-GDPR האירופאיות המפורסמות אשר בגינן קיבלנו כולנו הודעות דוא"ל מגורמים שונים (פייסבוק, גוגל וכו'), המסבירות לנו אודות עדכוני מדיניות הפרטיות והאבטחה של אותם ארגונים בינלאומיים החלים על מאגרי המידע שבבעלותם.
תקנות הגנת המידע הישראליות מהוות מעין "אח קטן" ומעט מתון יותר אל מול התקנות האירופיות. אף על פי כן, הן מכילות מספר חובות משמעותיות החלות על הגורמים המחזיקים ו/או מנהלים מאגרי מידע בישראל, חובות שכדאי לכל מי שעוסק בפרויקטים בתחום הטכנולוגיה, ניהול כוח אדם, שיווק וכו' להכיר.
מהו השינוי שיצרו תקנות הגנת הפרטיות החדשות?
החקיקה בתחומי הפרטיות בישראל אינה חדשה. חוק הגנת הפרטיות תשמ"א-1981 ("חוק הגנת הפרטיות" או "החוק") נחקק לפני כמעט 40 שנים, ולאורך השנים, עבר עדכונים והרחבות. עם זאת, עד לשנת 2017, לא קבע החוק הגדרות ספציפיות לפעולות האקטיביות המפורטות הנדרשות מהבעלים ו/או מהמחזיק במאגר מידע.
תקנות הגנת הפרטיות החדשות מהוות מעין "מדריך הפעלה", הקובע הנחיות מפורטות כיצד לפעול על מנת לעמוד בהוראות המחוקק, ואף קובעות סנקציות משמעותיות במידה ולא יעשה כן. בנוסף, התקנות החדשות, הרחיבו את הכללים בכל הנוגע להרשאות שימוש במאגר, אבטחה, דיווח ותפעול מאגר המידע והגדילו את סמכותו של רשם מאגרי המידע. כיום הוא רשאי אף לפטור מאגרים מסוימים מחובת אבטחת המידע לפי התקנות (לאחר בחינה של קריטריונים שונים).
מהו מאגר מידע?
על מנת להעניק לכם את הכלים הנכונים להתמודד עם הנושא המורכב, נתחיל עם מספר הגדרות שיעזרו לכם, מנהלי הפרויקטים, להבין האם המידע הנשמר אצלכם בארגון, מהווה מאגר מידע. ההגדרות הבסיסיות לענייננו נקבעו בסעיף 7 לחוק הגנת הפרטיות הקובע:
"אבטחת מידע" – הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין;
מיום 11.4.1996
תיקון מס' 4
ס"ח תשנ"ו מס' 1589 מיום 11.4.1996 עמ' 290 (ה"ח 2234)
הוספת הגדרת "אבטחת מידע"
"מאגר מידע" – אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט –
(1) אוסף לשימוש אישי שאינו למטרות עסק; או
(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;
מיום 11.4.1996
תיקון מס' 4
ס"ח תשנ"ו מס' 1589 מיום 11.4.1996 עמ' 290 (ה"ח 2234)
"מאגר מידע" – אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט –
(1) אוסף לשימוש אישי שאינו למטרות עסק; או
(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;
"מידע" – נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;
"מנהל מאגר" – מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לענין זה;
כפי שעולה מהגדרות החוק, כל גורם המחזיק ו/או המנהל מידע (כהגדרתו לעיל) באופן אלקטרוני (מגנטי או אופטי) נכנס תחת הגדרות החוק. מכך ניתן ללמוד כי כל רשות שלטונית (עירייה, מועצה וכו') המחזיקה מידע על תושביה, כל חברה המחזיקה פרטים אישיים על לקוחותיה (לרבות תעודות זהות, פרטי אשראי וכו') וכל ארגון שעושה שימוש במידע זה למטרות עיסוקו בעצם מנהלים מאגר מידע והוראות החוק והתקנות חלים עליהם.
חובת רישום מאגרי מידע
לאחר שהבנתם כי המידע הקיים אצלכם מהווה מאגר מידע, עליכם להכיר את החובות החלות עליכם כתוצאה מכך.
סעיף 8 לחוק הגנת הפרטיות קובע:
"8(ג) בעל מאגר מידע חייב ברישום בפנקס ועל בעל המאגר לרשמו אם נתקיים בו אחד מאלה:
(1) מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000;
(2) יש במאגר מידע רגיש ("מידע רגיש – "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו, אמונותיו ועוד);
(3) המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה;
(4) המאגר הוא של גוף ציבורי כהגדרתו בסעיף 23;
(5) המאגר משמש לשירותי דיוור ישיר כאמור בסעיף 17ג.
לפיכך, היה והמידע הנשמר בארגונכם מהווה מאגר מידע (כהגדרתו לעיל) והיה ומתקיימים לגבי אותו מאגר אחד מהתנאים המפורטים בסעיף 8 לחוק, אזי חובה על הארגון לרשום את המאגר (בפנקס מאגרי המידע המנוהל על ידי הרשות להגנת הפרטיות) ולפעול בהתאם להוראות התקנות אותן נפרט במאמרנו זה.
הגברת השליטה והאבטחה על המידע
התקנות שנכנסו לתוקף בחודש מאי 2018 קובעות מספר כללים ואמצעי אבטחה אשר לפיהם נדרש בעליפ ו/או מחזיק במאגר מידע לפעול על מנת למזער את החשיפה של המידע האישי ולמנוע זליגה של המידע למי שאינו מורשה לראותו.
עם הדרישות המופיעות בתקנות נמנים, בין היתר, הנושאים הבאים:
- הגדרת המאגר – הכנתו של "מסמך הגדרות המאגר";
- מינוי ממונה על אבטחת מידע;
- בניית נוהל אבטחה למאגר;
- מיפוי מערכות המאגר ועריכת סקר סיכונים;
- התקנת מערכות אבטחה פיזיות וסביבתיות, לרבות תיעוד של השימוש במאגר המידע;
- ניהול כוח האדם בעל הגישה למאגר בהתאם לרמת האבטחה הנדרשת;
- ניהול הרשאות הגישה למאגר (רק מי שהשימוש נדרש לצורך מילוי תפקידו);
- תיעוד ודיווח על אירועי אבטחה;
- הגבלת שימוש בהתקנים ניידים בארגון;
- עריכת ביקורות תקופתיות על רמת האבטחה של המאגר.
רמות האבטחה הנדרשות לסוגי מאגרי מידע שונים
תקנות הגנת הפרטיות החדשות חלות על כל גורם במשק הישראלי שמנהל מאגר מידע, והן מגדירות ארבעה סוגי מאגרי מידע שונים (על פי אופי השימוש במידע, המחזיק במידע, היקף המידע ואופי המידע עצמו), אשר לכל אחד מהם נדרשת רמת אבטחה שונה. סוגי המאגרים הינם:
- מאגרים המנוהלים בידי יחיד – מאגרים המנוהלים על ידי אדם יחיד (או על ידי תאגיד בבעלות של אדם יחיד) ואשר פרט לאותו אדם, השימוש במאגר חשוף לעד שני אנשים נוספים לכל היותר, זאת בכפוף לכך שהמאגר אינו נמנה על אחד מהבאים: (1) אינו מכיל מידע על יותר מ-10,000 בני אדם; (2) המאגר אינו מכיל מידע המוגן בסודיות (לפי דין או לפי אתיקה מקצועית); (3) מטרת המאגר אינה דיוור ישיר.
- מאגרים שחלה עליהם רמת אבטחה בסיסית – מאגרים שאינם מנוהלים על ידי יחיד, אך עם זאת, אינם עונים על ההגדרות של מאגר שחלה עליו רמת אבטחה בינונית או מאגר שחלה עליו רמת אבטחה גבוהה.
- מאגרים שחלה עליהם רמת אבטחה בינונית – מאגרים שמטרתם איסוף מידע לצורך דיוור ישיר, מאגרים המכילים מידע על צנעת חייו האישיים של אדם (מידע רפואי, נפשי, גנטי, דעות פוליטיות, אמונות דתיות, עבר פלילי, יכולת כלכלית, הרגלי צריכה ועוד);
- מאגרים שחלה עליהם רמת אבטחה גבוהה – מאגרים המכילים מידע על למעלה מ-100,000 בני אדם או שמספר מורשי הגישה אליהם עולה על 100 אנשים.
ככל שרמת האבטחה הנדרשת על המאגר עולה, כך מוכלות על בעלי המאגר חובות נוספות לפיהן עליו לפעול על מנת לעמוד בהוראות החוק והתקנות.
הסנקציות על הפרת הוראות החוק והתקנות
אי קיום ההוראות החוק ו/או התקנות מהווים עבירה פלילית (עונש מאסר של עד שנה), עוולה לפי פקודת הנזיקין (חושפים את בעל המאגר לתביעה בגין נזקים שנגרמו למי שהמידע המאוחסן מתייחס אליו) ואף עלולים לגרור קנסות מנהליים מטעם הרשות להגנת הפרטיות.
מהי "השורה התחתונה" שעליכם לדעת?
ככל שמאגר המידע הינו מאגר שחלה עליו רמת אבטחה גבוהה יותר, כך הולכת וגדלה דרישת המחוקק מבעל המאגר. התקנות מחילות את החובות החלות על בעל מאגרי המידע, על מנהל המאגר ומחזיק המאגר בשינויים המחויבים. כלומר, התקנות מחילות אחריות רחבה על הדמויות הראשיות ביותר בקשר למאגרי המידע.
לאור כניסתן לתוקף של התקנות החדשות, מומלץ לכל ארגון בישראל לבצע בדיקה ומיפוי של המידע אותו הוא מחזיק, על מנת להבין האם מדובר במידע אישי המחויב ברישום ובהגנה על פי החוק והתקנות. היה וזיהיתם כי אכן מדובר במאגר מידע עליו חלות התקנות, פנו לקבלת ייעוץ משפטי כדי לבדוק את ההשלכות החוקיות החלות עליכם ובהתאם לתכנן תוכנית פעולה להטמעה נכונה ומהירה של השימוש והאבטחה על מאגרי המידע שלכם.
בסיפא דברינו ראוי להדגיש, כי החובות הקבועות בתקנות לגבי מפעיל ו/או בעלים של מאגר מידע, חלות באותה המידה גם במקרה בו מאגר המידע לא נרשם.
הכותבים הינם עורכי דין במחלקה המסחרית של משרד עוה"ד גדעון פישר ושות'
אין לראות במידע המפורט במאמר זה כתחליף לייעוץ משפטי ואין להסתמך עליו ככזה. האמור לעיל מהווה מידע כללי בלבד והשימוש בו הינו על אחריות המשתמש בלבד.