רקע
הגנת הפרטיות ואבטחת מידע לעמותות – מדריך משפטי מעשי.
עמותות מחזיקות מידע רגיש ביותר. החוק קובע כי על עמותות לנקוט בפעולות להגנת הפרטיות ואבטחת מידע.
בין אם מדובר במידע על קהלי-היעד הנהנים מהפעילות, עובדים, מתנדבים או ספקים, על העמותה לפעול להגנת המידע שברשותה. על ידי מספר צעדים, כפי שיפורט במאמר זה, העמותה תוכל לצמצם משמעותית את הסיכונים המשפטיים והכלכליים שהיא חשופה אליהם.
עמותות אחראיות לאספקת שירותים בתחומים הרגישים ביותר בחיינו:
- שירותים רפואיים
- שירותי דת
- שירותי רווחה
- שירותי חינוך
- שירותי קהילה ותרבות
- שירותי ספורט
- ועוד…
במסגרת פעילותן, עמותות, מחזיקות בידיהן ומנהלות מידע אישי, רגיש ורב.
כך למשל:
- עמותה שמסייעת לנוער בסיכון, מחזיקה ומנהלת מידע סוציו-אקונומי אודות הנערים והנערות.
- עמותה שמספקת שירותים רפואיים, מחזיקה מידע אודות מצבם הרפואי של קהל הנעזרים בשירותיה.
- עמותה שמלווה להט"בים, מחזיקה מאגרי מידע עם פרטים מזהים, בעלי רגישות גבוהה.
אפילו עמותות שמעניקות שירותים 'ניטראליים', כמו שירותי חינוך או חוגים, מחזיקות מידע אישי רב של הנהנים מהשירותים השונים. עמותה שמחלקת מלגות תאסוף בדרך כלל מידע סוציו-אקונומי, רקע משפחתי, נתוני שכר, ועוד פרטי מידע אישיים ורגישים.
בנוסף, פעמים רבות מדובר במידע אישי אודות קטינים וקטינות.
אבטחת המידע ואירועי סייבר – גם בעמותות
אירועי הסייבר ואבטחת המידע מתרחשים מדי יום ומדי שעה. לפי דיווח של מערך הסייבר הישראלי, בשנת 2022 דווחו כ-9,000 אירועי אבטחת מידע. יש לזכור שאירועים רבים כלל אינם מדווחים.
בשנת 2023, פרסם משרד הכלכלה דוח לפיו כ-33,000 עסקים קטנים ובינוניים חוו אירועי סייבר, כאשר 7,000 מתוכן ספגו נזקים כלכליים משמעותיים.
השאלה אם אירוע אבטחת מידע יתרחש בארגון, היא כבר לא שאלה של "אם", אלא שאלה של מתי.
לכן, כל עמותה צריכה לשאול את עצמה האם היא ערוכה לאירוע כזה?
- האם קיימים נהלי אבטחת מידע בעמותה?
- האם מוטמעים אמצעים טכנולוגיים ונהלי התאוששות שיאפשרו המשכיות ורצף?
- האם המידע מגובה?
- האם העמותה יישמה את הרגולציה שחלה עליה בתחום אבטחת המידע?
קישור למפת אירועי הסייבר של צ'ק פוינט
חשוב לציין בהקשר זה, כי תקיפות סייבר לא מכוונות רק כלפי ארגונים גדולים, בנקים או גופים בטחוניים.
אפילו להפך. מפת יעדי התקיפה מראה כי ניסיונות תקיפה רבים נעשים כנגד ארגונים אזרחיים ואף כנגד מוסדות חינוך. גם עסקים קטנים ובינוניים על הכוונת.
מעבר לכך, אירועי אבטחת מידע מתרחשים לא רק כתוצאה מתקיפות של האקרים אלא מסיבות אחרות:
- התרשלות של עובדים (למשל בהגנה על סיסמאות)
- אירועי אבטחה כתוצאה מאבדן או גניבה של ציוד.
- עובדים שמבקשים לנקום או לגרום נזק לארגון.
- אירועי פישינג (דיוג)
- חשיפה דרך ספקים ו/או נותני שירותים.
המודעות לנושא פרטיות ואבטחת המידע עודנה נמוכה. בעוד שבמקומות רבים בעולם, המחוקקים הציבו רף דרישה גבוה מעסקים וארגונים, בישראל אמנם קיימת חקיקה, אך הסנקציות שבצידה אינן גבוהות. (מצב זה צפוי להשתנות בקרוב, לאחר שהכנסת תאשר את תיקון חוק 14 לחוק הגנת הפרטיות, שמקנה סמכויות פיקוח ואכיפה נרחבות על הרשות להגנת הפרטיות).
יחד עם זאת, הסיכונים שהעמותות חשופים אליהם משמעותיים, ועשויים בהחלט לפגוע בהתנהלות הסדירה של העמותה.
סיכוני פרטיות ואבטחת מידע לעמותות
מהם הסיכונים אשר עומדים בפניה של עמותה, בעקבות אירוע אבטחת מידע?
- תובענות ייצוגיות ותביעות נזיקיות – בגין התרשלות בהגנה על הפרטיות
כאמור, החוק והתקנות בישראל מחייבות עמותות לעמוד בדרישות הרגולטיביות, וביניהן –
- רישום מאגרי המידע בעמותה
- עריכת נהלי אבטחת מידע
- עריכת הגדרות מאגר
- הטמעת מערכות טכנולוגיות לאבטחת מידע
ככל שהעמותה אינה עומדת בהוראות הדין היא חשופה לתביעות אזרחיות ולנזקים כספיים.
- פגיעה במוניטין של העמותה
לצד הסיכונים הכלכליים, מונח על הכף שמה הטוב של העמותה.
בתור גופים חברתיים, שנסמכים בין היתר על תמיכות ופילנתרופיה. אירועי אבטחת מידע עלולים לגרום לפגיעה אנושה במוניטין של העמותה.
- פגיעה בהמשך פעילות חברתית ועסקית
אירוע אבטחת מידע עשוי להשבית פעילות של עמותה למשך זמן רב.
אבדן מידע, מחיקה של מידע ממחשבי העמותה, פגיעה בשרתי אחסון, נעילה של חשבונות – כל אלו ועוד משבשים את הפעילות השוטפת ויכולים לגרום נזק רב.
- חשיפה לאכיפה מצד רשות הגנת הפרטיות
רשות הגנת הפרטיות היא הגוף הרגולטורי אשר אחראי על אכיפת הוראות החוק והתקנות. בנוסף, לרשות יש סמכות לבצע פיקוחי רוחב, וכן להטיל סנקציות על עמותות שלא מנהלות את המידע שברשותן כדין.
- חשיפה לתביעות פליליות – אי-עמידה בהוראות החוק מהווה במקרים מסוימים עבירה פלילית.
- חשיפה אישית של נושאי משרה בתאגיד – במקרים מסוימים, בהם העמותה מעבדת מידע אישי, וקיימת סבירות כי פעילות העמותה תיצור סיכון לפגיעה בפרטיות, נושאי משרד (וועד מנהל) עשויים לשאת באחריות אישית.
בהקשר זה חשוב לציין:
יישום הוראות החוק וכן מינוי אחראי פרטיות ואבטחת מידע ארגוני – מובילים למודעות גבוהה יותר, להטמעת כלים טכנולוגיים וכתוצאה מכך- לרמת אבטחה גבוהה יותר של המידע בארגון.
לכן – עמותות שיעשו זאת, ישפרו בפועל את אבטחת המידע בארגון ויצמצמו סיכונים!
פרטיות ואבטחת המידע – הדין בישראל
חוק הגנת הפרטיות והתקנות מכוחו, קובעים כללים והוראות בכל הנוגע לשמירה על פרטיות ואבטחת מידע. הוראות אלו חלות על כלל המשק, כולל המגזר השלישי.
מה קובע החוק?
על עמותות חלה חובה:
- לערוך נהלים ומסמכי אבטחת מידע
- לרשום מאגרי מידע ברשם המאגרים
- להטמיע תהליכים ארגוניים שמטרתם הגנה על פרטיות
- להקפיד על חוזים עם ספקים וצדדי ג'
- להטמיע אמצעים טכנולוגיים לצורך אבטחת מידע
מידע שיש להגן עליו לפי החוק כולל – שמות, פרטי יצירת קשר, מספרי ת"ז, רקע כלכלי, רקע רפואי, מידע אודות אמונות ודעות של אדם, מידע ביומטרי תמונות פנים ועוד.
כמובן, ככל שהעמותה מחזיקה מידע רגיש יותר, כך החשיפה שלה גדלה ומוטב שתקפיד על אבטחת מידע נאותה.
תפקיד ה-DPO בעמותה
ה-DPO הוא הגורם שאחראי על תחום הפרטיות בעמותה.
כדי לוודא שהעמותה פועלת לפי הדין, ומצמצת את סיכוני הפגיעה בפרטיות, ה-DPO פועל בכמה מישורים:
- אפיון פעילות העמותה – איזה מידע נאסף? לאילו מטרות, מהו סיווג העמותה לפי החוק?
- עריכת נהלים ומסמכים נדרשים– DPO יערוך עבורכם נהלי אבטחת מידע, מסמך הגדרות מאגר מידע, מסמך אפיון ומיפוי טכנולוגי, יערוך עבורכם מדיניות פרטיות.
- רישום מאגרי מידע– ככל שחלה חובה כזו על העמותה. ה-DPO ירשום לעמותה את מאגרי המידע.
- הטמעת שגרות עבודה – ניהול הרשאות, סיסמאות, ניהול, מחיקת וצמצום מידע עודף, ועוד.
- הדרכת כוח אדם – הדרכות תקופתיות בנושא הגנת הפרטיות.
- קביעת תכנית עבודה שנתית ביחס לפרטיות ואבטחת מידע
- ביצוע עדכונים ובחינות תקופתיות – תפקיד ה-DPO אינו חד-פעמי, אלא תפקיד מתמשך. ה-DPO יוודא שהנהלים מיושמים, יערוך הדרכות תקופתיות ויטמיע שגרות עבודה שמטרתן הגנת הפרטיות ואבטחת מידע בעמותה.
שמירה על פרטיות והגנה על מידע אינה פעולה חד פעמית, אלא שיטת עבודה.
עצות מעשיות להגנה על פרטיות ואבטחת המידע בעמותות
בכמה צעדים פשוטים, העמותה שלכם יכולה לצמצם באופן משמעותי סיכוני אבטחת מידע:
- צמצמו את המידע שאתם אוספים, למינימום הנדרש.
עודף מידע = סיכון מיותר. אספו את המידע הדרוש באופן הכרחי לפעילות שלכם. אינכם זקוקים לרקע כלכלי? אל תאספו את פרטי המידע האלו. תאריך הלידה אינו מהותי ? וותרו על הנתון הזה.
כך, במקרה של אירוע אבטחת מידע המידע שיזלוג יהיה מצומצם יותר.
2. מחקו מעת לעת מידע לא הכרחי
לכמה זמן אתם צריכים את המידע ברשותכם? האם ניתן למחוק אותו לאחר שנה? או לאחר שסיימתם פעילות מסוימת?
הכניסו לתכנית העבודה השנתית בחינה של נחיצות המידע שברשותכם. אם כבר לא נחוץ – מחקו אותו וכך תפחיתו סיכונים.
3. ניהול מושכל של המידע
- האם קיים בעמותה נוהל הרשאות גישה?
- האם מרעננים סיסמאות אחת לתקופה?
- האם יש נהלים בשלבי קליטת או גריעת עובדים?
ידוע שמנהלים עוסקים לרוב ב"דחוף ובחשוב". אבטחת המידע לא תמיד ממוקמת גבוה בסדר העדיפויות של הארגון. לא מתוך כוונה פלילית חלילה, אלא מכיוון שהפעילות השוטפת סוחפת ודוחקת תחומים אחרים לפינה.
לכן מוצע ומומלץ למנות ממונה הגנת פרטיות בארגון. הממונה- DPO יכול להיות עובד פנימי כמו גם יועץ חיצוני שידע להטמיע תהליכי עבודה נכונים.
4. אמצעי אבטחת מידע
- התקנת אנטי וירוס מעודכן
- הגנה על הרשת בעמותה
- נהלים בגישה מרחוק לתקשורת של העמותה
- הקפדה על סיסמאות (חזקות!) והזדהות דו-שלבית
- הגנה על שרתים
- הדרכות בנוגע לפישינג, ניסיונות תקיפה וכד'.
- הקפדה על שימוש בהתקנים ניידים (למשל דיסק או קי)
5. קבלת הסכמה – הבסיס החוקי לאיסוף המידע הוא הסכמה מדעת של אדם. לכן, בכל פעם שהעמותה אוספת מידע, עליה לוודא כי היא מקבלת הסכמה מפורשת או מכללא (כלומר הסכמה בהתנהגות).
אלו רק דוגמאות, לא ממצות, אבל חשובות. אם תהיו מעוניינים, הח"מ הוסמך כממונה פרטיות מטעם לשכת עורכי הדין, ואוכל לייעץ לכם בנושא.
לסיכום,
ניתן להביא את העמותה למצב של ציות לדיני הפרטיות, באמצעות תהליך מובנה וסדור.
משרדי מציע תהליך מותאם וייעודי לעמותות, אשר כולל הטמעת אמצעי אבטחת מידע מתאימים.
באמצעות תהליך עבודה נכון, אשר כולל סדרת פעולות משפטיות וטכנולוגיות כאחד, ניתן להביא את העמותה שבניהולכם.ן למצב של ציות להוראות החוק והתקנות, ובמקביל להגנה טובה הרבה יותר מפני אירועי אבטחת מידע.
בסיום התהליך, המידע שמוחזק בעמותה יהיה מוגן ומאובטח יותר הן על ידי אמצעים טכנולוגיים והן על ידי כך שהעובדים יהיו מודעים יותר ובעמותה יהיו נהלים מסודרים.
עורך דין מומחה לתחום דיני הגנת הפרטיות ואבטחת המידע, שהוא גם DPO בהכשרתו, יוכל ללוות את העמותה בתהליך העבודה.
עו"ד מוטי כהן מלווה ארגונים ועמותות בתחום הגנת הפרטיות ואבטחת מידע. זאת בנוסף לניסיון ניהולי רב שנים בתחום ותוך היכרות מעמיקה של צרכי המוסדות.
מוזמנים ליצור קשר באתר או בטלפון 054-5445429 לקבלת ייעוץ ראשוני ולתיאום פגישה.
לקריאה נוספת – כנסו לכתבה באתר "דה-מרקר" – "מי שומר על המידע הרגיש בעמותות"