כיצד מתבצעים רישום וניהול מאגרי מידע?

הנהלים החלים על מאגרי מידע הם רבים וסבוכים; רובם נוגעים באופן ישיר לעבודת סוכן הביטוח; כך תרשמו מאגר מידע ותנהלו אותו בהתאם להוראות

אחת מזכויות האדם החשובות ביותר הינה הזכות לפרטיות. זכות זו מעוגנת בחוק יסוד: כבוד האדם וחירותו. חוק הגנת הפרטיות, תשמ"א – 1981, מגדיר רשימה מפורשת של איסורים לפגיעה בפרטיות.

כיצד סוכני הביטוח קשורים לעניין?

על סוכני ביטוח, אשר מעצם עיסוקם מנהלים מידע רגיש עבור לקוחותיהם (מידע אישי, פיננסי-כלכלי או בריאותי), חלה חובה לנהל מאגר מידע בהתאם להוראות. למעשה, עצם העובדה כי יש לסוכן מידע רגיש על לקוח אחד דורש רישום מאגר מידע.

חשוב להבין: חובת רישום מאגר המידע הינה חובה טכנית, הכוללת מילוי טפסים ותשלום אגרה, ואינה דורשת העברת רשימת לקוחות לרשות או לכל צד ג' אחר.

לצד פעולת הרישום, על בעל המאגר חלות חובות נוספות: ניהול, לרבות אחריות על אבטחת המידע, שמירת סודיות וכן הימנעות משימוש במידע שלא למטרה לשמה נמסר.

לסוכן נגישות למידע רגיש על לקוחותיו | צילום: shutterstock

כשעוסקים במאגרי מידע, יש לתת את הדעת גם לנושא הדיוור הישיר, המתייחס למעשה לכל פניה אישית לאדם על בסיס שיוכו לקבוצת אפיון מוגדרת כדוגמת גיל, מצב משפחתי, אזור מגורים וכיוצ"ב, באמצעות כל סוגי התקשורת, לרבות בכתב, בשיחת טלפון, דוא"ל וכו'. באופן זה, פניה של סוכן ביטוח לכלל לקוחותיו, לא תיחשב דיוור ישיר, אולם פנייה לחברי קבוצת גיל מסוימת או בעלי נכס מסוים כמו רכב לדוגמה, בהחלט יכולה להיחשב לדיוור ישיר. כאן יש לשים לב כי מדובר במאגרי מידע ולא ב"חוק הספאם" המדבר על העברת דברי פרסומת.

לאחרונה, הוסיפו כלל היצרנים לטופסי ההצטרפות השונים שלהם הצהרות שונות לחתימת הלקוח וביניהן ההצהרה כי ידוע לו כי ירשם במאגר המידע של החברה, כן נדרשת הסכמתו של הלקוח לקבל פניות שיווקיות בעתיד. כל האמור חל על היצרנים בנפרד מהסוכנים וללא כל קשר אליהם.

מדוע צץ הנושא דווקא עכשיו? בחודש מאי נכנסו לתוקפן תקנות אבטחת מידע שפורסמו כבר לפני כשנה, באפריל 2017 ומטרתן התווית רף רגולטורי אחיד לכל בעלי ומחזיקי מאגרי המידע בהתחשב ברמות אבטחה שונות.

התקנות קובעות שלוש רמות אבטחה: בסיסית/בינונית/גבוהה, כאשר סוכני הביטוח נדרשים לרוב לעמוד ברמת אבטחה נמוכה או בינונית.

לרמה בינונית נדרש מי שמאגר המידע שלו כולל מידע רפואי או נפשי של אדם או מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהם; למעט, אם מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה, שכן אז תידרש רמת אבטחה נמוכה.

לפני שנסקור בקצרה את החובות העיקריות שמטילות התקנות על בעלי מאגרי מידע, ראוי לציין כי הוראות הגנת הפרטיות אינן קשורות לפיקוח על הביטוח ברשות שוק ההון, והפרתן הינה בבחינת עוולה אזרחית ופלילית נפרדת, במסגרתה חשוף המפר בפן האזרחי לדרישת פיצוי של עד 50,000 ₪ ללא הוכחת נזק, בפן הפלילי לעבירה שדינה שנת מאסר ובפן המנהלי לסנקציה מנהלתית וקנס עד 200,000 ₪. מאידך, הממונה קבעה בחוזר שירות סוכנים ויועצים ללקוחות, כי סוכן ביטוח יתייחס ללקוחותיו בהגינות ויכבד את פרטיותם.

להלן תמצית ההוראות החלות על בעל מאגר המידע לצורך אבטחת המידע:

הכנת מסמך הגדרות מאגר – להכין ולעדכן באופן שוטף, ולפחות אחת לשנה, מסמך הגדרות של מאגר המידע אשר יכלול רשימה מוגדרת של נושאים.

קביעת נהלים – לקבוע ולעדכן באופן שוטף נוהל אבטחת מידע שיחייב כל בעל הרשאה למאגר ויכלול, בין היתר, הוראות בעניין האבטחה הפיזית והסביבתית של אתרי המאגר, הרשאות גישה, תיאור האמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם, הוראות למורשי הגישה לצורך הגנה על המידע, הסיכונים להם חשוף המידע שבמאגר במסגרת הפעילות השוטפת של בעל המאגר ואופן הטיפול בהם ועוד.

מיפוי המאגר והכנת מסמך של מבנה המאגר – למפות את מאגר המידע באופן המציג את תשתיות ומערכות החומרה; סוגי רכיבי תקשורת ואבטחת מידע; מערכות התוכנה המשמשות להפעלת מאגר המידע; תוכנות וממשקים המשמשים לתקשורת אל מערכות המאגר ומהן; תרשים הרשת שפועל בה המאגר; תאריך העדכון האחרון של המסמך ושל רשימת המצאי.

אבטחה פיזית – לשמור את המערכות הקשורות למאגר המידע במקום מוגן המונע כניסה ללא הרשאה.

ניהול הרשאות גישה, זיהוי ואימות – כל מורשה גישה למאגר יקבל הרשאות המתאימות למילוי תפקידו בלבד, לדוגמה: חתמת רכב יכולה לקבל הרשאה מוגבלת לנושא הגביה ולא תקבל גישה לשינויי נתונים במחלקת חיים.

ביקורת תקופתית – מאגר מידע באבטחה ברמה בינונית, נדרש לביקורת, פנימית או חיצונית, אחת לשנתיים לפחות, על ידי גורם בעל הכשרה מתאימה, אשר יכלול בדוח הביקורת בדיקת התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות וכן ליקויים ואמצעים לתיקון.

אז מה עושים?

ראשית, חייבים למהר ולרשום את מאגרי מידע הרלוונטיים כנדרש על פי החוק.

במקביל, מומלץ לקבל ייעוץ וליווי מקצועי לעניין אופן ניהולו השוטף של המאגר והשימוש במידע, לרבות בדיקת ההסכמה מדעת של הלקוח תוך עדכונו על כך  שהוא רשום במאגר מידע,  עמידה בהוראות האבטחה ויתר החובות החלות על בעל המאגר.

הכותב הינו עו"ד במשרד קן-דרור&הראל ושות'