רבים לא מודעים לחובות המשפטיות שחלות עליהם בהקשר של שמירה על פרטיות ואבטחת מידע. חלק טועים לחשוב שהחובות נוגעות רק לחברות גדולות, בנקים או חברות ביטוח. בפועל, החוק קובע כללים על כלל המשק, ולעיתים גם על עסק קטן או חברה בתחילת דרכה.
מאמר זה, הנכתב על ידי משרד עורך הדין מוטי כהן, נועד לספק מפת דרכים מקיפה ומעשית להבנת חוק הגנת הפרטיות והשלכותיו על הפעילות העסקית שלכם. נצלול לעומק המושגים, נפרט את החובות המרכזיות, נסביר את משמעותן של תקנות אבטחת מידע ונספק כלים פרקטיים להיערכות נכונה.
הקדמה
תוכן עניינים
בעידן בו מידע הוא המטבע היקר ביותר והטכנולוגיה שוזרת את עצמה בכל היבט של חיינו האישיים והעסקיים, סוגיית הפרטיות הפכה לאתגר המרכזי של המאה ה-21. עסקים, יזמים וחברות, החל מסטארט-אפים קטנים ועד תאגידי ענק, אוספים, מעבדים ומאחסנים כמויות אדירות של מידע אישי על לקוחות, משתמשים ועובדים. המידע הזה הוא נכס אסטרטגי המאפשר התאמה אישית של שירותים, שיפור מוצרים וקבלת החלטות מושכלת. עם זאת, הכוח הגלום במידע מטיל על המחזיקים בו אחריות משפטית ואתית כבדה.
אירועי הסייבר ואבטחת המידע שאירעו לאחרונה ערערו את תחושת הביטחון של בעלי עסקים רבים ובצדק. התקיפות והנזקים שנגרמו בין היתר לשיר-ביט, בית החולים הלל יפה ואתר ההיכרויות "אטרף" הם רק קצה הקרחון של מערך תקיפות סדרתי ומתוכנן מצד האקרים ברחבי העולם. מדי יום מתרחשות ברחבי העולם מיליוני תקיפות סייבר ונסיונות פריצה, בניסיון לדלות מידע רגיש ולהפיק ממנו תועלות שונות. כיום, השאלה אם יתקיים אירוע תקיפה דיגיטלי כלפי עסק או ארגון היא שאלה של "מתי" ולא "האם", ולצערנו אם לא נוקטים אמצעים נכונים התקיפות עשויות לחזור ולהישנות.
בניגוד לסברה רווחת, התקיפות אינן מכוונות אך ורק כלפי חברות וארגונים גדולים ומבוססים. ניסיונות פריצה מתרחשים בכל עת מול אנשים פרטיים, בעלי עסקים קטנים ובינוניים כמו גם עמותות, חברות ומוסדות ציבור וממשל.
למה חשוב לשמור על הפרטיות ולאבטח מידע?
יש כמה סיבות שחשוב שתכירו:
- פגיעה במוניטין ובשם הטוב של החברה – אירוע אבטחה (למשל פריצה של האקרים, זליגת מידע וכד') עשוי לפגוע אנושות במוניטין של עסק או ארגון. וודאי כאשר הארגון מבוסס על אמון מצד הלקוחות – למשל בנקים, חברות ביטוח, משרדי רואה-חשבון או עורכי דין.
- נזק ארגוני ועסקי – אירוע אבטחה עלול לפגוע בתפקוד התקין של העסק או החברה. כפי שראינו במקרה הלל יפה, מערכות המחשוב של בית החולים הושבתו. דמיינו מצב שבו אין לכם גישה למחשב העסקי לכם ולמידע שבתוכו.
- חשיפה לתביעות משפטיות – אם הארגון לא עומד בדרישות החוק, במקרה של אירוע אבטחה הוא עלול להיות חשוף לתביעות ואף לתביעות ייצוגיות מצד לקוחות שפרטיותם נפגעה.
- חשיפה לביקורות וקנסות – הרשות להגנת הפרטיות מקיימת ביקורות רוחב בארגונים שונים. בנוסף, הצעת תיקון לחוק הגנת הפרטיות קובעת עיצומים כספיים על הפרות של החוק, שעשויים להגיע לסכומים גבוהים.
המסגרת המשפטית המרכזית המסדירה תחום זה בישראל היא חוק הגנת הפרטיות, התשמ"א-1981. זהו חוק היסוד הקובע את זכותו של כל אדם לפרטיות. אף שנחקק בעידן פרה-אינטרנטי, עקרונותיו הבסיסיים עודם רלוונטיים, והם קיבלו חיזוק ופירוט משמעותי בשנים האחרונות. לצד החוק, חוקקו תקנות הגנת הפרטיות, שהחשובות והמשפיעות שבהן הן תקנות הגנת הפרטיות (אבטחת מידע). יחד, החוק והתקנות יוצרים מערכת חובות מורכבת שכל ארגון, ללא קשר לגודלו או לתחומו, חייב להכיר ולפעול ליישומה המלא.
חוק הגנת הפרטיות ואבטחת מידע - רזי החוק
חלק א': יסודות החוק – מהי "פרטיות" ומהו "מאגר מידע"?
לפני שצוללים לחובות המעשיות, חיוני להבין את מושגי היסוד של חוק הגנת הפרטיות.
הזכות לפרטיות – זכות חוקתית הזכות לפרטיות אינה רק זכות חוקית, אלא זכות חוקתית המעוגנת בסעיף 7 לחוק-יסוד: כבוד האדם וחירותו. סעיף זה קובע כי "כל אדם זכאי לפרטיות ולצנעת חייו" וכי "אין נכנסים לרשות היחיד של אדם שלא בהסכמתו". חוק הגנת הפרטיות הוא החקיקה המרכזית המפרטת את היקפה של זכות זו ואת המנגנונים להגנה עליה, בפרט בהקשר של איסוף ושימוש במידע.
הגדרת "מידע" ו"מידע רגיש" החוק אינו מגן על כל פיסת נתונים, אלא על "מידע" שהינו "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". זוהי רשימה פתוחה, ובתי המשפט נוטים לפרש אותה באופן רחב. למעשה, כל נתון שניתן לשייכו לאדם מזוהה או ניתן לזיהוי ייחשב כ"מידע" המוגן על פי החוק.
המידע הוא על אדם מזוהה, או אדם שניתן לזהותו באמצעים סבירים וכן אינפורמציה שממנה אדם סביר יכול להסיק אחד מסוגי הנתונים. כלומר שאם ישנו מידע, אבל הוא אנונימי לחלוטין ואי אפשר לזהות ממנו אף אחד, כפי הנראה אין צורך לנקוט בהגנה עליו.
דוגמאות לסוגי "מידע" אשר חוק הגנת הפרטיות חל עליהם:
- תעודת זהות: מכיוון שבאמצעות מספר הזהות ניתן להגיע לנתונים אחרים, חשיפתו עשויה להיות פגיעה בפרטיות.
- אפיון ביומטרי: כגון טביעת אצבע או זיהוי פיזי אחר.
- מידע אנונימי לכאורה: בתי המשפט קבעו שבמקרים מסוימים אפילו צילום של בית יכול לגרום לפגיעה בפרטיות, מכיוון שבאמצעים קלים ניתן לזהות מהתמונה פרטים אישיים ולזהות את האדם.
- מצלמות אבטחה בשטחים ציבוריים: למרות שהצילומים לא מזהים אדם בשמו, ניתן בקלות יחסית להצליב מידע ממאגרים אחרים ולזהות אנשים. (כך לפי הנחיית רשם מאגרי המידע 4/2012)
החוק מבחין בין "מידע" רגיל לבין "מידע רגיש", הכולל:
- נתונים על צנעת אישותו של אדם.
- נתונים על מצבו הרפואי או הנפשי.
- נתונים גנטיים.
- מידע על דעותיו הפוליטיות או אמונותיו הדתיות של אדם.
- מידע על עברו הפלילי.
- נתונים ביומטריים (בנסיבות מסוימות).
ההבחנה קריטית, מכיוון שהחוק, ובמיוחד תקנות הגנת הפרטיות, מטילים חובות מחמירות יותר על איסוף, עיבוד ואבטחה של "מידע רגיש".
מהו "מאגר מידע" לפי חוק הגנת הפרטיות?
אחד המושגים המרכזיים והייחודיים בחוק הישראלי הוא "מאגר מידע". ההגדרה רחבה מאוד: "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב". בשפה פשוטה – מדובר על מידע שהוא דיגיטלי ולא מסמכים מודפסים או קלסרים. הגדרה זו כוללת כמעט כל מאגר דיגיטלי מודרני, החל מרשימת דיוור פשוטה בקובץ אקסל, דרך מערכת CRM לניהול לקוחות, וכלה במאגרי מידע מורכבים של אפליקציות.
האם יש מידע שהחוק לא חל עליו? כן, החוק מחריג:
- מידע שנאסף למטרות אישיות ולא עסקיות.
- אוסף מידע שכולל רק שם, מען ודרכי התקשרות, ובלבד שלבעל האוסף אין אוסף נוסף והאוסף אינו יוצר אפיון הפוגע בפרטיות.
אבל… עמדת רשות הגנת הפרטיות היא כי אוסף שכולל שמות וכתובות דואר אלקטרוני כן ייחשב מאגר מידע. זאת מאחר שמכתובת הדואר האלקטרוני ניתן פעמים רבות להסיק מהו עיסוקו של אדם, מעמדו ואפילו דעותיו, והיא משמשת "מפתח" לשירותים רבים.
חובת הרישום: חובת הרישום צומצמה בתיקון 13 לחוק הגנת הפרטיות.
ניהול מאגר מידע החייב ברישום ללא רישום כדין מהווה עבירה פלילית. לכן, הצעד הראשון עבור כל ארגון הוא למפות את מאגרי המידע שברשותו ולבחון מי מהם חייב ברישום.
לסיכום חלק זה, אם אנחנו מחזיקים במידע, שבאמצעותו אפשר לזהות אדם ספציפי תוך מאמץ קל וסביר, הרי שיש להתייחס למידע הזה כמו למידע שמזהה אדם באופן ישיר.
חלק ב': עקרונות הליבה בניהול מידע אישי על פי החוק
מעבר לחובת הרישום, חוק הגנת הפרטיות מתווה מספר עקרונות יסוד שכל בעל מאגר מידע ומנהל מאגר מידע חייבים לעמוד בהם.
עקרון ההסכמה מדעת (Informed Consent) ככלל, אין לאסוף מידע אישי על אדם או להשתמש בו ללא הסכמתו. אך לא די בכל הסכמה. החוק דורש "הסכמה מדעת": ההסכמה חייבת להינתן לאחר שנושא המידע קיבל פירוט ברור ומפורש לגבי זהות הגורם המבקש, מטרת האיסוף, היקף המידע שיימסר לצדדים שלישיים, וזכותו של האדם לסרב למסור את המידע. דרישה זו מתורגמת באופן מעשי למדיניות פרטיות (Privacy Policy) ברורה ושקופה.
עקרון הגבלת המטרה והמידתיות זהו אחד העקרונות החשובים והמאתגרים ביותר ליישום.
- הגבלת המטרה (Purpose Limitation): ניתן להשתמש במידע שנאסף אך ורק למטרה שלשמה נאסף ושהוגדרה בעת קבלת ההסכמה. כל שימוש נוסף, גם אם הוא מועיל לעסק, מהווה "פגיעה בפרטיות" ודורש קבלת הסכמה נפרדת.
- מידתיות וצמצום המידע (Data Minimization): על הארגון לאסוף רק את המידע המינימלי ההכרחי להשגת המטרה הלגיטימית. איסוף מידע עודף, "ליתר ביטחון", מהווה הפרה של עקרון המידתיות.
זכות העיון ותיקון המידע סעיפים 13 ו-14 לחוק מעניקים לכל אדם זכות יסודית לעיין במידע שעליו המוחזק במאגר מידע, וכן לדרוש את תיקונו. על בעל המאגר להשיב לבקשה תוך זמן קצוב. ארגונים חייבים להקים מנגנון פנימי יעיל ונגיש לטיפול בבקשות עיון ותיקון.
חובת שמירת סודיות ואבטחת מידע החוק מטיל חובה כללית על בעל מאגר, מחזיק ומנהל לנקוט באמצעים הנדרשים כדי להבטיח את שלמות המידע והגנתו. חובה כללית זו קיבלה פירוט קונקרטי ומחייב במסגרת תקנות הגנת הפרטיות, ובפרט תקנות אבטחת מידע, שהן אבן דרך בחקיקת הפרטיות הישראלית.
חלק ג': תקנות הגנת הפרטיות (אבטחת מידע) – המהפכה המעשית
אם חוק הגנת הפרטיות קובע את העקרונות הכלליים (ה"מה"), הרי שתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 קובעות את המנגנונים המעשיים ליישומם (ה"איך"). תקנות אלו, המוכרות גם בשמן המקוצר "תקנות אבטחת מידע", שינו לחלוטין את כללי המשחק עבור כל ארגון בישראל המחזיק או מנהל מאגר מידע ממוחשב. הן קובעות סטנדרטים טכניים וארגוניים מחייבים לאבטחת מאגרי מידע, ומחלקות את החובות לפי רמת הסיכון של המאגר.
התקנות מגדירות ארבע רמות אבטחה:
- מאגר המנוהל על ידי יחיד: חלות עליו חובות מצומצמות.
- רמת אבטחה בסיסית: חלה על רוב המאגרים הקטנים והבינוניים במשק.
- רמת אבטחה בינונית: חלה על מאגרים בעלי רגישות גבוהה יותר (למשל, מאגרי גופים ציבוריים).
- רמת אבטחה גבוהה: חלה על מאגרים המכילים מידע רגיש על 100,000 איש או יותר, ועוד.
דרישות מרכזיות תחת תקנות אבטחת מידע הציות לתקנות אבטחת מידע דורש מהארגון לנקוט בשורה של צעדים קונקרטיים, שהיקפם תלוי ברמת האבטחה החלה עליו. בין הדרישות המרכזיות:
- מסמך הגדרות המאגר ונוהל אבטחת מידע: כל ארגון (למעט מאגר של יחיד) חייב לנסח ולאכוף נוהל פנימי מפורט המסדיר את כל היבטי אבטחת המידע בארגון.
- מיפוי מערכות המידע: זיהוי ותיעוד של כל המערכות המכילות או מעבדות מידע אישי.
- ניהול הרשאות גישה: קביעת מנגנון למתן, שינוי וביטול הרשאות גישה למידע, על בסיס עקרון "הצורך לדעת" (Need to Know).
- אבטחה פיזית וסביבתית: הגנה על רכיבים פיזיים של מערכות המידע.
- אבטחת תקשורת: שימוש בהצפנה להגנה על מידע המועבר ברשתות.
- תיעוד אירועי אבטחה: ניהול יומן (לוג) המתעד גישה למערכות ופעולות שבוצעו.
- מינוי ממונה על אבטחת מידע: במאגרים ברמת אבטחה בינונית וגבוהה, חובה למנות עובד שיהיה אחראי על יישום התקנות.
- ביקורות תקופתיות וסקר סיכונים: ביצוע סקרי סיכונים תקופתיים.
- מבחני חדירה (Penetration Testing): חובה במאגרים ברמת אבטחה גבוהה.
- התקשרות עם ספקי מיקור חוץ: תקנות הגנת הפרטיות קובעות דרישות מחמירות לגבי חוזים עם ספקים חיצוניים (כגון שירותי ענן, חברות שיווק) המעבדים מידע עבור הארגון. על החוזה לכלול סעיפים ספציפיים בנוגע לאבטחת מידע וסודיות.
פירוט החובות לעסקים קטנים (מאגר המנוהל על ידי יחיד) הכללים שחלים על "מחזיק מאגר מידע המנוהל על ידי יחיד" (פעמים רבות, אך לא תמיד, עסק עצמאי קטן) יחולו בתנאים הבאים:
- את מאגר המידע מנהל יחיד, או תאגיד שבבעלות יחיד.
- הגישה למידע מותרת רק לאותו יחיד ומקסימום לעוד שני בעלי הרשאה.
מהם החריגים? אם התנאים הבאים מתקיימים, יחולו רמות אבטחה אחרות (ולא רמת "מאגר יחיד"):
- אם בעל מאגר המידע כפוף לחובות סודיות או אתיקה – למשל פסיכולוג או עורך דין.
- אם מטרת מאגר המידע היא איסוף מידע לצורך העברתו לאחר כדרך עיסוק.
- אם מאגר המידע כולל מידע על למעלה מ-10,000 איש.
מהן החובות של בעל מאגר מידע המנוהל על ידי יחיד?
- הכנת מסמך הגדרות מידע – מסמך שמתייחס בין היתר לנקודות הבאות: מה השימוש במידע? לשם מה נאסף? מה סוג המידע? האם המידע מועבר לחו"ל? האם נעשות פעולות במידע על ידי קבלן חיצוני? מהם סיכוני אבטחת המידע וכיצד מתמודדים איתם? יש לעדכן את המסמך מעת לעת.
- ווידוא שהמידע שנשמר הוא בהיקף הנחוץ (ולא יותר מכך). זכרו שככל שהמידע מצומצם כך הסיכון פוחת.
- חובות אבטחה פיזית – הפרדה בין חומרות מחשוב. מניעת גישה ללא הרשאות.
- קביעת אמצעי זיהוי – כגון סיסמאות שמוודאות שרק בעלי הרשאה מורשים לגשת למידע.
- תיעוד אירועי אבטחה – יש לקיים רישום פנימי על מנת לשמר ידע לגבי אירועי אבטחה.
- קביעת נהלים (ויישומם) בנוגע להתקנים ניידים, בהתאם לרגישות המידע.
- ניהול ותפעול תקין של מערכות ממוחשבות – הפרדה בין מערכות, חלוקת רשתות, עדכון תוכנות במועד.
- אבטחת תקשורת – התקנת אנטי וירוסים, תוכנות הגנה, חומת אש, והצפנת מידע כאשר הוא מועבר.
יישום תקנות אבטחת מידע אינו פרויקט חד-פעמי, אלא תהליך מתמשך הדורש מחויבות ארגונית, הקצאת משאבים וליווי משפטי וטכנולוגי מקצועי.
חלק ד': ההקשר הגלובלי – ה-GDPR והשפעתו על ארגונים ישראלים
אי אפשר לדבר על דיני פרטיות כיום מבלי להזכיר את ה-GDPR (General Data Protection Regulation), תקנת הגנת המידע האירופית. ל-GDPR יש תחולה חוץ-טריטוריאלית, והיא חלה על כל ארגון ישראלי המציע סחורות או שירותים לאנשים באיחוד האירופי. ה-GDPR החמיר משמעותית את דרישות הפרטיות והציג מושגים חדשים כמו "הזכות להישכח" וחובה למינוי קצין הגנת נתונים (DPO) בארגונים מסוימים. למרות שישראל מוכרת על ידי האיחוד האירופי כמדינה המספקת רמת הגנה "הולמת", הכרה זו מותנית בהמשך קיומה של רגולציה מקומית חזקה. הרשות להגנת הפרטיות בישראל שואבת השראה רבה מה-GDPR, והמגמה היא התקרבות לסטנדרטים האירופיים. עבור חברות ישראליות הפועלות בשוק הגלובלי, היערכות ל-GDPR אינה אופציה אלא חובה.
חלק ה': אכיפה, סנקציות וניהול סיכונים
הפרת הוראות חוק הגנת הפרטיות והתקנות הכפופות לו חושפת את הארגון ואת נושאי המשרה בו למספר מישורי סיכון:
- אכיפה מנהלית: הרשות להגנת הפרטיות מוסמכת לנהל הליכי פיקוח וחקירה ולהטיל קנסות מנהליים בסכומים שיכולים להגיע עד כ-3.2 מיליון ש"ח לתאגיד.
- אחריות פלילית: הפרות מסוימות של החוק מהוות עבירות פליליות שהעונש בגינן יכול להגיע עד חמש שנות מאסר.
- אחריות אזרחית:
- תביעות פרטניות: החוק מאפשר לפסוק פיצוי ללא הוכחת נזק בסכום של עד 50,000 ₪ (ו-100,000 ₪ אם ההפרה נעשתה בכוונה לפגוע).
- תובענות ייצוגיות: זהו הסיכון הכלכלי הגדול ביותר, עם תביעות בסכומים המצטברים לעשרות ומאות מיליוני שקלים.
סיכום ומפת דרכים מעשית לארגון
הגנת הפרטיות אינה עוד סוגיה משפטית אזוטרית או נטל רגולטורי. היא הפכה למרכיב ליבה בניהול סיכונים, באתיקה עסקית ובבניית אמון. ארגון שלא ישכיל לנהל את נכסי המידע שלו תחת עקרונות חוק הגנת הפרטיות ובאמצעות יישום תקנות אבטחת מידע, מסכן לא רק את עתידו המשפטי והכלכלי, אלא גם את המוניטין שלו.
אם הגעתם לכאן, סימן שאתם מבינים את החשיבות והמשמעות החוקית של שמירה על פרטיות ואבטחת מידע. אתם וודאי רואים שהנושא מורכב ונדרש אפיון פרטני לכל עסק כדי לקבוע מהי רמת אבטחת המידע הנדרשת ממנו ומהן החובות מכוח חוק שחלות עליו.
צעדים ראשונים לציות והיערכות:
- מיפוי נתונים (Data Mapping): הבינו איזה מידע אתם אוספים, היכן הוא מאוחסן, מדוע אתם אוספים אותו, מי ניגש אליו וכמה זמן אתם שומרים אותו.
- בחינת חובת רישום: בדקו האם מאגרי המידע שלכם חייבים ברישום על פי חוק הגנת הפרטיות.
- סקירת מסמכים משפטיים: ודאו שמדיניות הפרטיות, תנאי השימוש וההסכמות שאתם מקבלים מהמשתמשים עומדים בדרישות החוק ל"הסכמה מדעת".
- יישום תקנות הגנת הפרטיות (אבטחת מידע): בצעו הערכה של רמת האבטחה הנדרשת מכם ופעלו ליישום מלא של הדרישות הטכניות והארגוניות.
- הסדרת התקשרויות עם ספקים: ודאו שכל חוזה עם ספק חיצוני המעבד מידע עבורכם כולל נספח עיבוד מידע (DPA) העומד בדרישות הדין.
- הכשרת עובדים: צרו מודעות ארגונית לחשיבות הפרטיות והכשירו את העובדים הרלוונטיים.
- מינוי בעלי תפקידים: במידת הצורך, מנו ממונה על אבטחת מידע או קצין הגנת נתונים (DPO).
הנוף המשפטי של דיני הפרטיות הוא דינמי ומורכב. ניווט מוצלח בו דורש לא רק הבנה של החוק, אלא גם היכרות מעמיקה עם הטכנולוגיה, הפסיקה המתפתחת והפרקטיקה הנהוגה. אני ממליץ לכל בעל עסק, מנהל בארגון וחברה לפנות לקבלת ייעוץ משפטי בנושא.
משרד עורך הדין מוטי כהן מציע ליווי משפטי שוטף ומקיף ליזמים, חברות, אמנים ויוצרים בכל הנוגע לדיני אינטרנט, פרטיות ואבטחת מידע. אנו מזמינים אתכם לפנות אלינו לקביעת פגישת ייעוץ, כדי להבטיח שהנכס היקר ביותר שלכם – המידע – מנוהל ומוגן כראוי.
ליעוץ ראשוני וללא עלות, מוזמנים ליצור קשר במייל moti cohen.adv@gmail.com או בטלפון 054-5445429
Online illustration by Storyset
