החובה לאבטחת מידע והגנת הפרטיות מעוגנת מזה כ-40 שנה במסגרת חוק הגנת הפרטיות, התשמ"א-1981. מאז, מאגרי מידע מעטים נרשמו, לא בכל ארגון מונה ממונה אבטחת מידע ובסך הכל תחום זה עבד על "טייס אוטומטי".
אך מהעת בה הרשתות החברתיות באינטרנט ובאפליקציות הפכו לאח גדול של ממש, שיודע היכן אנו, מתי, עם מי, מה אוכלים היכן מבלים ומה קונים, העולם לא נשאר אדיש. בשנת 2017 הותקנו תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 שנכנסו לתוקפן ב-2018.
התקנות באו לעולם שנה לאחר התקנת התקנות באירופה GDPR (General Data Protection Regulation)
מה הן בעצם החובות החלות על סוכני הביטוח?
על פי החוק והתקנות, קיימות ארבע רמות אבטחה למאגר מידע: מאגר המנוהל בידי יחיד, מאגר בסיסי, מאגר ברמת אבטחה בינונית ומאגר ברמת אבטחה גבוהה.
ניקח לדוגמה סוכן ביטוח העוסק, בין היתר, בשיווק פנסיוני, עד שני עובדים נוספים להם יש הרשאת גישה למאגר המידע של הסוכנות. על משרד שכזה חלות החובות המוטלות על מאגר בסיסי ולא על מאגר יחיד (שהוא עד שלושה מורשים) מדוע? כי אחד מהחריגים למאגר יחיד היא קיומה של חובת סודיות או אתיקה מקצועית החלה על בעל המאגר – הסוכן.
בעל המאגר (סוכן הביטוח) חייב לרשום כל מאגר מידע שברשותו, ככל שהמאגר כולל מידע או מידע רגיש. לשון החוק מגדירה מידע רגיש כנתונים על אישיותו של אדם, צנעת אישיותו, למשל הרגליו המיניים, מצב בריאות, מצב כלכלי, דעות ואמונות.
קיימת חובה חקוקה על פי תקנה 2 גם לתאר את המאגר במסמך, מהיכן המידע נאסף, כיצד הוא נשמר והאם יש הלימה בין מטרת מסירת הנתונים לשימוש בהם.
עוד חייב בעל מאגר יחיד, על פי תקנה 6(א) לאבטח את המאגר פיזית וסביבתית, ליצור נוהל זיהוי ואימות משתמשים במערכות המאגר ונוהל התנהגות והתנהלות בשעת אירוע אבטחה ופריצה למאגר, כמו גם נוהל שימוש בהתקנים ניידים ועוד נהלים מנהלים שונים.
האם מבוצעת אכיפה ליישום הוראות דיני אבטחת מידע והגנת הפרטיות?
התשובה לכך היא בהחלט כן. הרשות להגנת פרטיות במשרד המשפטים מבצעת אכיפה כאמור, גם לסוכני וסוכנויות הביטוח כמו גם לגופים נוספים המחזיקים במידע רגיש אודות לקוחות, ספקים עובדים וכו'.
מה הן סמכויות הרשות? על פי סעיף 10 לחוק הגנת הפרטיות יש לרשם מאגרי המידע סמכויות נרחבות הן להגשת קנסות מנהליים, להתלות ו/או לבער מאגר מידע. הרשם רשאי להעביר חומרי חקירה לפרקליטות המדינה ולהמליץ על חקירה פלילית. בימים אלו נבדקת יוזמה להעניק לרשם סמכויות פליליות עצמאיות.
אז איך בעצם מתכוננים לביקורת שכזו? מה צריך לעשות על מנת לעמוד בדרישות החוק והתקנות?
- מילוי שאלון וניתוח מאגר ללא עלות
- רישום מאגרי מידע במשרד המשפטים
- פגישת אפיון
- כתיבת תיק נהלי אבטחת מידע והגנת פרטיות (על פי סעיפי החוק והתקנות)
- הטמעת הנהלים בקרב עובדי המשרד/חברה/ארגון/רשות
- ליווי בייצוג מול משרד המשפטים
- ביקורות ובדיקות חדירות חוסן ועמידות (PT)
הכותב הינו עו"ד העוסק באבטחת מידע והגנת פרטיות, יו"ר ועדת הסייבר והגנת הפרטיות בלשכת ארגוני העצמאים בישראל. [email protected]
