מדריך לאבטחת מידע ושמירה על פרטיות מידע

רבים לא מודעים לחובות המשפטיות שחלות עליהם בהקשר של שמירה על פרטיות ואבטחת מידע. חלק טועים לחשוב שהחובות נוגעות רק לחברות גדולות, בנקים או חברות ביטוח. בפועל, החוק קובע כללים על כלל המשק, ולעיתים גם על עסק קטן או חברה בתחילת דרכה.

במאמר אציג, אסביר ואתן עצות משפטיות בנושא שמירה על פרטיות ואבטחת מידע לעסקים מכל הסוגים.

תוכן עניינים

הקדמה

אירועי הסייבר ואבטחת המידע שאירעו לאחרונה ערערו את תחושת הביטחון של בעלי עסקים רבים ובצדק.

התקיפות והנזקים שנגרמו בין היתר לשיר-ביט, בית החולים הלל יפה ואתר ההיכרויות "אטרף" הם רק קצה הקרחון של מערך תקיפות סדרתי ומתוכנן מצד האקרים ברחבי העולם. מדי יום מתרחשות ברחבי העולם מיליוני תקיפות סייבר ונסיונות פריצה, בניסיון לדלות מידע רגיש ולהפיק ממנו תועלות שונות. באותם מקרים שציינתי האקרים הצליחו להחזיר את הארגון עשרות שנים אחורה (הלל-יפה), חשפו מידע אינטימי רגיש של משתמשים (אטרף) ואיימו לחשוף מידע כלכלי פרטי (שיר-ביט). זאת ועוד, תשתיות המידע של הארגונים נפגעו בצורה משמעותית ביותר. כיום, השאלה אם יתקיים אירוע תקיפה דיגיטלי כלפי עסק או ארגון היא שאלה של "מתי" ולא "האם" ולצערנו אם לא נוקטים אמצעים נכונים התקיפות עשויות לחזור ולהישנות.

בניגוד לסברה רווחת, התקיפות אינן מכוונות אך ורק כלפי חברות וארגונים גדולים ומבוססים. ניסיונות פריצה מתרחשים בכל עת מול אנשים פרטיים, בעלי עסקים קטנים ובינוניים כמו גם עמותות, חברות ומוסדות ציבור וממשל. אולי תופתעו לדעת שהאקרים משקיעים מאמצים רבים לתקוף דווקא מוסדות חינוך והשכלה גבוהה, בין היתר מפני שיש ברשותם מידע רב ובעל ערך אודות מספר רב של אנשים, כמו גם מידע שנוגע לקטינים במקרים מסוימים. זאת ועוד, באירועים האחרונים ראינו שאירוע אבטחת מידע בשרת אחסון משפיע על כלל האתרים שמאוחסנים אצלו וללא קשר למטרותיהם ותחום עיסוקם.

למה חשוב לשמור על הפרטיות ולאבטח מידע?

יש כמה סיבות שחשוב שתכירו:

  1. פגיעה במוניטין ובשם הטוב של החברה – אירוע אבטחה (למשל פריצה של האקרים, זליגת מידע וכד') עשוי לפגוע אנושות במוניטין של עסק או ארגון. וודאי כאשר הארגון מבוסס על אמון מצד הלקוחות – למשל בנקים, חברות ביטוח, משרדי רואה-חשבון או עורכי דין.
  2. נזק ארגוני ועסקי – אירוע אבטחה עלול לפגוע בתפקוד התקין של העסק או החברה. כפי שראינו במקרה הלל יפה, מערכות המחשוב של בית החולים הושבתו. דמיינו מצב שבו אין לכם גישה למחשב העסקי לכם ולמידע שבתוכו. כמובן שלאירוע כזה יש משמעויות ארגוניות ועסקיות דרמטיות.
  3. חשיפה לתביעות משפטיות – אם הארגון לא עומד בדרישות חוק הגנת הפרטיות ותקנות אבטחת המידע, במקרה של אירוע אבטחה הוא עלול להיות חשוף לתביעות ואף לתביעות ייצוגיות מצד המשתמשים/לקוחות שפרטיותם נפגעה. במקרה כזה, כאשר ישנם נפגעים רבים, שיעור הנזק עשוי להיות גבוה ביותר.
  4. חשיפה לביקורות וקנסות – הרשות להגנת הפרטיות מקיימת ביקורות רוחב בארגונים שונים. בנוסף לאחרונה עברה (אך טרם אושרה ונכנסה לתוקף) הצעת תיקון חוק הגנת הפרטיות שקובעת עיצומים כספיים על הפרות של החוק, גובה העיצומים מתחיל ב-1,000 ש"ח ועשוי להגיע עד 320,000 ש"ח להפרות החמורות ביותר במאגרים שחלות עליהם רמות האבטחה הגבוהות ביותר!  


חשוב לציין בהקשר הזה שעמידה בדרישות החוק והתקנות מצמצמת את החשיפה לפריצות ואירועי אבטחה, מאחר ועסק שיקפיד על הטמעת הנהלים בהכרח יגן על המידע שברשותו טוב יותר.

יש לי עסק קטן, האם חלות עלי חובות שמירה על פרטיות ואבטחת מידע?

בקצרה, כן! החוק והתקנות חלות על כלל המשק. לעיתים עוסקים קטנים ועצמאיים מחזיקים במידע רגיש ביותר –

  • יועצי משכנתאות למשל מחזיקים במידע כלכלי רגיש, נתונים על כושר השתכרות ושווי נכסים של לקוחות. 
  • מטפלים מחזיקים במידע רפואי רגיש אודות המטופלים שלהם.
  • יועצים עסקיים וארגוניים עשויים להחזיק במידע רגיש.

כלומר עצם העובדה שאתם עוסקים 'קטנים' לא פוטרת אתכם מעמידה בדרישות החוק.

הרשות להגנת הפרטיות פרסמה מדריך לעסקים קטנים, אותו תוכלו לקרוא בקישור הזה

לאיפיון ויעוץ ראשוני, ללא עלות, של העסק שלכם, מוזמנים ליצור קשר במייל moticohen.adv@gmail.con  או בטלפון 054-5445429 

אבטחת מידע ושמירה על הפרטיות – הדין בישראל

חוק הגנת הפרטיות התשמ"א 1981 ותקנות הגנת הפרטיות (אבטחת מידע) תשע"ז 2017, קובעים כללים והוראות בנוגע לשמירה על פרטיות ואבטחת מידע והן חלות על כל המשק הישראלי, כאשר נקבעות רמות אבטחה שונות לפי העניין – רגישות המידע, היקפו, מספר האנשים שיש עליהם מידע ועוד. הכוונה באבטחת מידע היא הגנה על שלמות מידע, הגנה מפני חשיפה, שימוש או העתקה על ידי כל מי שאינו רשאי לכך.

מהו מידע לפי חוק הגנת הפרטיות בישראל?

מידע מוגדר בחוק כ- "נתונים על:

  • אישיותו של אדם – למשל מידע שבמקורו הוא ממבחני התאמה לתפקיד מסוים, מידע אודות רישום ועבר פלילי, מידע אודות מוצאו של אדם
  • מעמדו האישי – האם אדם נשוי, רווק, גרוש וכיוב'
  • צנעת אישותו – נטייה מינית, העדפות מיניות וכיוב'
  • מצב בריאותו – לרבות מידע גנטי
  • מצבו הכלכלי – האם ברשות אדם נכסי מקרקעין? חובות והתחייבויות, בעלות על נכסים שונים, מידע על שכר והשקעות וכיוב'
  • הכשרתו המקצועית
  • דעותיו ואמונתו– דעות פוליטיות, אמונות דתיות וכיוב'"


*
הפירוט והדוגמאות שאינן מודגשות אינן מופיעות בחוק ומצורפות לצורך המחשה בלבד

המידע הוא על אדם מזוהה, או אדם שניתן לזהותו באמצעים סבירים וכן אינפורמציה שממנה אדם סביר יכול להסיק אחד מסוגי הנתונים. (כך נקבע בגילוי דעת של הרשות להגנת הפרטיות בנושא). כלומר שאם ישנו מידע, אבל הוא אנונימי לחלוטין ואי אפשר לזהות ממנו אף אחד, כפי הנראה אין צורך לנקוט בהגנה עליו.

דוגמאות לסוגי "מידע" אשר חוק הגנת הפרטיות ותקנות אבטחת מידע חלים עליהם:

  1. תעודת זהות -בגלל שבאמצעות מספר הזהות ניתן להגיע לנתונים אחרים אודות אדם, נקבע כי חשיפתו עשויה להיות פגיעה בפרטיות.
  2. אפיון ביומטרי – כגון טביעת אצבע או זיהוי פיזי אחר – כנ"ל.
  3. מידע אנונימי – בתי המשפט קבעו שבמקרים מסוימים אפילו מידע אנונימי (במקרה הזה צילום של בית) יכול לגרום לפגיעה בפרטיות של אדם- וזאת מכיוון שבאמצעים יחסית קלים ונפוצים ניתן לזהות מתוך התמונה פרטים אישיים אחרים על האדם ולזהותו . (פסק דין גוטסמן.) ע"א 1697/11 א.גוטסמן אדריכלות בע"מ נ' ורדי
  4. מצלמות אבטחה בשטחים ציבוריים- למרות שצילומי הפנים שנאספים לא מזהים אדם בשמו, ניתן בקלות יחסית להצליב מידע ממאגרים אחרים ועל ידי כך לזהות אנשים. לכן החובות בחוק חלות גם על צילומים שנאספים ממצלמות אלו. (כך לפי הנחיית רשם מאגרי המידע 4/2012)


לסיכום חלק זה, נדגיש כי אם אנחנו מחזיקים במידע, שבאמצעותו אפשר לזהות אדם ספציפי תוך מאמץ קל וסביר, הרי שיש להתייחס למידע הזה כמו למידע שמזהה אדם באופן ישיר.

מהו מאגר מידע לפי חוק הגנת הפרטיות?

"מאגר מידע" מוגדר לפי החוק כ- "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב" . בשפה פשוטה – מדובר על מידע שהוא דיגיטלי ולא מסמכים מודפסים, קלסרים, ספרי חשבונות וכד'. אם יש ברשות אדם מאגר ממוחשב של מידע כפי שמוגדר בחוק, אז החובות לפי החוק והתקנות חלות עליו.

האם יש מידע שהחוק לא חל עליו?

כן, החוק מחריג את המידע הבא:

  1. מידע שנאסף למטרות אישיות ולא עסקיות.
  2.  אוסף מידע שכולל רק שם, מען ודרכי התקשרות ובלבד כשלבעל האוסף אין אוסף נוסף. כל עוד האוסף לא יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם שכלולים בו.

אבל……

עמדת רשות הגנת הפרטיות היא כי אוסף שכולל שמות וכתובות דואר אלקטרוני כן יחשב מאגר מידע. זאת מאחר שמכתובת הדואר האלקטרוני ניתן פעמים רבות להסיק מהו עיסוקו של אדם (לפי הסיומת של המייל), מה מעמדו האישי ואפילו אמונתו או דעותיו. בנוסף, כתובת הדואר האלקטרוני עשויה לשמש "מפתח" לכניסה והזדהות באתרים ושירותים דיגיטליים רבים.

לסיכום חלק זה – 

כפי שאתן ואתם רואים, החוק די מסורבל ומסועף. לכן מומלץ לפנות לעורך דין להגנת פרטיות ואבטחת מידע, על מנת שיבצע איפיון מדויק של העסק ויפיק עבורכם דוח מסודר שיקבע – 

  1. האם החוק חל על העסק?
  2. מהן החובות שלכם לפי החוק?


ליעוץ ראשוני וללא עלות, מוזמנים ליצור קשר במייל moticohen.adv@gmail.con  או בטלפון 054-5445429 

 

אבטחת מידע ושמירה על הפרטיות – מידע חשוב לעצמאים ועסקים קטנים

החוק והתקנות קובעים חובות על בעלי מאגרי מידע בהיקפים קטנים. לפי מה שראינו לעיל, החובות לפי החוק והתקנות חלות על מחזיקי מידע (דיגיטלי), כאשר ההגדרה של מידע היא מאד רחבה וכוללת סוגי נתונים רבים אודות אנשים, או סוגי נתונים שעשויים לעזור לזהות אנשים תוך מאמץ סביר.

הכללים שחלים על "מחזיק מאגר מידע המנוהל על ידי יחיד" (פעמים רבות,אך לא תמיד, עסק עצמאי קטן) יחולו בתנאים הבאים:

  1. את מאגר המידע מנהל יחיד, או תאגיד שבבעלות יחיד.
  2. הגישה למידע מותרת רק לאותו יחיד ומקסימום לעוד שני בעלי הרשאה.


מהם החריגים?

  1. אם בעל מאגר המידע כפוף לחובות סודיות או אתיקה – למשל פסיכולוג או עורך דין.
  2. אם מטרת מאגר המידע היא איסוף מידע לצורך העברתו לאחר כדרך עיסוק.
  3. אם מאגר המידע כולל מידע על למעלה מ-10,000 איש.


במקרים האלה, למרות שיש מחזיק יחיד, יחולו רמות אבטחה אחרות.

מהן החובות של בעל מאגר מידע המנוהל על ידי יחיד?

  1. הכנת מסמך הגדרות מידע – מסמך שמתייחס בין היתר לנקודות הבאות:
    • מה השימוש במידע?
    • לשם מה נאסף?
    • מה סוג המידע?
    • האם המידע מועבר לחו"ל?
    • האם נעשות פעולות במידע על ידי קבלן חיצוני?
    • האם יש סיכונים לשימוש במידע? מהם סיכוני אבטחת המידע?
    • איך מתכוונים להתמודד עם סיכוני אבטחת המידע?
    • פרטים מזהים של בעל מאגר המידע

את המאגר יש לעדכן מעת לעת, אם נעשים שינויים טכנולוגיים, ארגוניים או אחרים שמשפיעים על המידע, או אם אירע אירוע אבטחה.

  1. ווידוא שהמידע שנשמר הוא בהיקף הנחוץ (ולא יותר מכך). זכרו שככל שהמידע מצומצם כך הסיכון פוחת.
  2. חובות אבטחה פיזית – הפרדה בין חומרות מחשוב. מניעת גישה ללא הרשאות.
  3. קביעת אמצעי זיהוי – כגון סיסמאות שמוודאות שרק בעלי הרשאה מורשים לגשת למידע.
  4. תיעוד אירועי אבטחה – יש לקיים רישום פנימי על מנת לשמר יידע לגבי אירועי אבטחה. מומלץ להתבסס על תוכנה שעוקבת ומתעדת פעולות במידע.
  5. קביעת נהלים (ויישומם) בנוגע להתקנים ניידים, בהתאם לרגישות המידע.
  6. ניהול ותפעול תקין של מערכות ממוחשבות – הפרדה בין מערכות ממוחשבות, חלוקת רשתות, עדכון תוכנות במועד.
  7. אבטחת תקשורת – התקנת אנטי וירוסים, תוכנות הגנה, תוכנות חומת אש, התקני חומת אש. הצפנת מידע כאשר הוא מועבר, במקרים של חיבור מרחוק יש להשתמש באמצעים שמזהים את המתקשר.

 
לסיכום

אם הגעתם לכאן, סימן שאתם מבינים את החשיבות והמשמעות החוקית של שמירה על פרטיות ואבטחת מידע. אתם וודאי רואים שהנושא מורכב ונדרש אפיון פרטני לכל עסק כדי לקבוע מהי רמת אבטחת המידע הנדרשת ממנו ומהן החובות מכוח חוק שחלות עליו. אני ממליץ לכל בעל עסק, מנהל בארגון חברה לפנות לקבלת יעוץ משפטי בנושא.

משרדי עוסק ביישום חובות לפי חוק הגנת הפרטיות והתקנות שמכוחו. אשמח לסייע לכם בנושא.

הדברים האמורים לעיל נועדו להעלאת מודעות והרחבת הדעת. הם אינם מהווים יעוץ משפטי פרטני ונקודתי.

Online illustration by Storyset

דילוג לתוכן