כמנהלי ארגוני תרבות ואמנות אתם אולי תוהים, מה הקשר בין פרטיות ואבטחת מידע לבין המוסד אותו אני מנהל? בקצרה, התשובה היא שקיים קשר חזק ביותר, ואבטחת מידע ופרטיות במוסדות תרבות ואמנות היא נושא חשוב שיש להתייחס אליו ברצינות. במאמר זה אציג בהרחבה את המצב החוקי ואת הדרישות שמופנות לארגונים.
אירועי הסייבר ואבטחת המידע מתרחשים יום ביומו, ומערערים בצדק את תחושת הביטחון של ארגונים, חברות ובעלי עסקים. מדי יום מתרחשות ברחבי העולם מיליוני תקיפות סייבר וניסיונות פריצה, בניסיון לדלות מידע רגיש ולהפיק ממנו תועלות שונות. כדי לקבל רושם היכנסו למפת תקיפות הסייבר שמוצגות באתר צ'ק פוינט ומראות סטטוס עדכני ומתעדכן של תקיפות סייבר ברחבי העולם.
בניגוד לסברה רווחת, התקיפות לא נעשות רק כלפי תאגידים גדולים, כגון בנקים או מוסדות ממשלתיים וביטחוניים, אפילו להפך. ניסיונות תקיפה רבים נעשים כנגד ארגונים אזרחיים, חברות קטנות ובינוניות ואף מוסדות חינוך למיניהם.
המאמר הנוכחי, מתמקד בשמירה על פרטיות ואבטחת מידע בארגוני תרבות ואמנות. כפי שנראה, ארגונים אלו מחזיקים לא אחת במידע רגיש אודות עובדים, אנשי צוות, קהל מבקרים, מנויים ועוד. לצערנו, המודעות לנושא עדיין נמוכה, כאשר הסיכונים שהארגונים חשופים אליהם משמעותיים, ועשויים בהחלט לפגוע בהתנהלות הסדירה של המוסד.
על שולחנה של הכנסת מונחת הצעת חוק לתיקון חוק הפרטיות אשר עברה בקריאה ראשונה. שר המשפטים ורשות הגנת הפרטיות שמו להם כמטרה להעביר את התיקון, אשר אם יעבור יקבע רף אכיפה חדש ודרמטי, לפיו יוכלו להטיל עיצומים בגובה מאות אלפי שקלים אל עסקים או ארגונים שהפרו את החוק.
לכן, מוטב שכבר כיום ארגונים יחלו בהיערכות לקראת השינוי הקרב ובא (שיעמיד את אכיפת הפרטיות בישראל בקו אחד עם אירופה ומדינות נוספות בעולם).
פרטיות ואבטחת מידע – הקדמה – הדין בישראל
חוק הגנת הפרטיות והתקנות מכוחו, קובעים כללים והוראות בכל הנוגע לשמירה על פרטיות ואבטחת מידע. הוראות אלו חלות על כלל המשק – מוסדות ממשלתיים, מגזר עסקי וכן על המגזר השלישי, שמוסדות אמנות ותרבות רבים נמנים על שורותיו.
החוק והתקנות מחילים חובות, שנועדו להגן על פרטיותם של אנשים, בין היתר על ידי קביעת נהלי אבטחה, הדרכות עובדים, שימוש באמצעי אבטחה טכנולוגיים, חוזים ועוד.
נדגיש כי "מידע" במאמר זה מתייחס לכל מידע דיגיטלי שמזהה או עשוי לזהות אנשים – שמות, כתובות, מספרי ת"ז, תחומי עניין, אמונות ודעות וכיוב'. חשוב לדעת שעמדת הרשות להגנת הפרטיות, היא שגם אם מידע מרמז או עשוי לגלות זהות של אדם באמצעות חיבור של עוד נתונים, יש להגן עליו.
ייחודם של מוסדות תרבות ואמנות בהיבט דיני הפרטיות
בישראל פועלים ארגוני תרבות ואמנות רבים ומשלל סוגים. ביניהם ניתן למנות את בתי הספר לאמנות, מוזיאונים, גלריות, עמותות, תיאטראות ועוד.
כל אחד אלו מחזיק במסגרת פעילותו השוטפת מאגרי מידע רבים, לדוגמא:
- בתי ספר לאמנות – מחזיקים מידע אישי ורגיש על תלמידים-סטודנטים כגון רקע סוציו-אקונומי, רקע בריאותי/נפשי וזאת בנוסף על מידע אישי מזהה כגון כתובות, טלפונים, כתובת דואר אלקטרוני ועוד. כמו כן במוסד שמור מידע אישי אודות מרצים, צוות מנהלה ונותני שירות חיצוניים.
- מוזיאונים וגלריות – מחזיקים מידע אישי אודות מבקרים – כגון רשימות שכוללות פרטי זיהוי. חלק מהמוסדות מפעילים תכניות חינוכיות שונות כגון פעילויות לבתי ספר, סדנאות לקהל הרחב, קייטנות ועוד, ובמקרים אלו אוספים מידע אישי על המשתתפים בתוכניות השונות. בנוסף, כפי הנראה הם אוספים מידע אודות עובדים, נותני שירות, תורמים וידידים ועוד.
- פסטיבלים – עמותות וארגונים מסוימים הוקמו למטרת הפקת פסטיבל או סדרת אירועים. במקרים אלו, הארגון אשר מאוגד לרוב כעמותה, אוסף ושומר מידע אודות אמנים אשר משתתפים באירועים, מידע אודות עובדים ונותני שירותים וכמובן אודות קהל אשר משתתף כקהל.
- תיאטראות – בדומה לאמור לעיל, תיאטראות אוספים מידע אודות צוות שחקנים, רשימות מנויים, עובדי המוסד וכן הלאה.
- מוסדות אחרים – עמותות רבות ומגוונות פועלות בשדה האמנות התרבות והקהילה. בהתאם לעקרונות שהוצגו לעיל, כמעט כל ארגון יחזיק במאגרי מידע שאבטחתם נדרשת לפי החוק.
דגש חשוב – זה המקום להדגיש שנסיבות מסוימות ידרשו הקפדה יתרה על אבטחת המידע וזאת כאשר נאסף מידע רגיש כגון מידע סוציואקונומי, מידע רפואי, מידע אודות אמונות ודעות פוליטיות ו/או מידע אודות קטינים.
מהם תהליכי העבודה בתחומי אבטחת המידע והגנה על הפרטיות?
על מנת ליישם את הוראות החוק והתקנות ולהטמיע נהלי עבודה מסודרים, נדרש לבצע יחד עם הארגון מספר פעולות, העיקריות שבהן:
- אפיון המוסד בהיבט הפרטיות – סיווגו לפי רמת אבטחה נדרשת, איתור מאגרי המידע שנאספים, רישום מאגרי מידע במשרד המשפטים.
- בדיקת מדיניות הארגון בתחום הפרטיות והמידע:
- האם הארגון פועל כדין בעת איסוף המידע?
- מהן מטרות איסוף המידע והאם הארגון פועל לפיהן?
- ניסוח מסמכי הסכמה מנשואי המידע
- מינוי ממונה אבטחת מידע בארגון – לפי הצורך
- מינוי ממונה הגנת פרטיות בארגון- לפי הצורך
- קביעת תכנית עבודה שנתית
- קביעת נהלי אבטחה, ניסוח הנחיות בהיבט פרטיות, הכשרת והדרכת עובדים וביצוע ימי עיון.
- ביצוע רישום ודיווח כדין בנוגע לאירועי אבטחת מידע .
יודגש בזאת, כי מעבר לפעולות אלו, הארגון נדרש ליישם באופן שוטף, ותוך בחינה ועדכון מעת לעת, דרכי פעולה שנועדו להגן על פרטיות ומידע.
שמירה על פרטיות והגנה על מידע הן שיטות עבודה ואופן פעולה ארגוני, ולא פעולות חד פעמיות.
בפני אילו סיכונים עומד ארגון שלא מקפיד על הוראות חוק הגנת הפרטיות?
- סיכון בפני תביעות אזרחיות ופליליות – אי-עמידה בהוראות החוק מהווה עוולה אזרחית ובמקרים מסוימים אף עבירה פלילית.
- אכיפה מנהלית וקנסות – הרשות להגנת הפרטיות מוסמכת לבצע אכיפה מנהלית של הפרות לפי חוק הפרטיות.
- זליגת מידע ופגיעה בפרטיות – ציות להוראות החוק מובילה לרמת אבטחה גבוהה יותר של המידע בארגון. לכן מוסד שיטמיע את מלוא ההנחיות יגביר בפועל את אבטחת המידע בארגון.
- פגיעה בשם הטוב של הארגון – אירועי אבטחת מידע פוגעים בתדמית של ארגונים, וודאי כאשר מתברר בדיעבד שהארגון לא פעל כנדרש לפי הדין.
- פגיעה ארגונית – כאמור, מוסד שאינו עומד בדרישות החוק מגביר סיכון שמידע ינזק וכתוצאה מכך התפקוד השוטף של המוסד עלול להיפגע.
כמה טיפים ועצות להגנה על פרטיות ואבטחת המידע – שניתן ליישם במהירות ובקלות
כל ארגון יכול לנקוט מספר פעולות שיצמצמו את הסיכונים שהוצגו במאמר זה:
- צמצום איסוף המידע באופן שבו יאסף מינימום המידע הנחוץ לפעילות הארגונית הרגילה. למשל, צריכים לדעת שם וכתובת, מדוע לאסוף ולשמור מספר תעודת זהות? אתם רק מוסיפים על עצמכם מידע רגיש שעלול לזלוג ולגרום לנזק לנשואי המידע.
- נהלו את המידע בארגון – ערכו סדר והבינו איזה מידע נאסף, לאילו צרכים? מיהם מורשי הגישה? האם ניתן לצמצם או לנהל נכון יותר את המידע? לכמה זמן המידע נאסף? היכן הוא מאוחסן, האם יש אבטחה נאותה?
תופעה ידועה היא שמנהלים מעדיפים להעלים עין, בכל הקשור למידע אשר שמור בארגון. לא מתוך כוונה פלילית חלילה, אלא מכיוון שפעמים רבות קיים או סדר ואי בהירות שמקשה על ניהול נכון בהיבט הפרטיות והמידע. לצורך כך ניתן למנות ממונה פרטיות בארגון, אשר יכול להיות עובד פנימי כמו גם יועץ חיצוני שידע להטמיע תהליגי עבודה נכונים בתחום הפרטיות.
- הקפידו על אבטחת מידע – וודאו שלכל העובדים יש סיסמאות במערכות המחשוב ושהן מוחלפות מעת לעת . (ולא, 1111, או שם העובד +'*' לא נחשב סיסמא חזקה!). רעננו נהלים ארגוניים בכל הקשור להתקנים ניידים כמו דיסק און קי. הקפידו שהרשאות ניתנות רק למי שזקוק לכך ושמידע לא חשוף לאנשים שאינם זקוקים לו במסגרת עבודתם. עובד סיים עבודתו? וודאו שכל אמצעי הגישה שלו ייחסמו (וודאי אם סיום העבודה היה בנסיבות פחות טובות..)
אלו רק דוגמאות, לא ממצות, אבל חשובות. אם תהיו מעוניינים, הח"מ מוסמך כממונה פרטיות מטעם לשכת עורכי הדין, ואוכל לייעץ לכם בנושא.
לסיכום,
באמצעות תהליך עבודה לא ממושך, אשר כולל סדרת פעולות משפטיות וטכנולוגיות כאחד, ניתן להביא את הארגון שבניהולכם.ן למצב של ציות להוראות החוק והתקנות. כך הארגון יעמוד בתנאי הסף הנדרשים להגנה על פרטיות ואבטחת מידע בארגוני תרבות ואמנות.
בסיום תהליך זה, המידע ששמרתם בארגון יהיה מוגן ומאובטח יותר בעזרת אמצעים טכנולוגיים ונהלי מוסדרים.
עורך דין מומחה לתחום דיני הגנת הפרטיות ואבטחת המידע יוכל לסייע לכם בתהליך העבודה ולהקטין את הסיכונים כתוצאה מאירועי אבטחת מידע.
עו"ד מוטי כהן מלווה מוסדות וארגוני תרבות בתחום הגנת הפרטיות ואבטחת מידע. זאת בנוסף לניסיון ניהולי רב שנים בתחום ותוך היכרות מעמיקה של צרכי המוסדות.
עו"ד מוטי כהן מייעץ למיזם DATAWATCH
מעוניינים להרחיב? מוזמנים לקרוא מאמר נוסף בנושא הגנה על הפרטיות
המאמר מהווה סקירה בלבד ואין להסתמך עליו במקום יעוץ משפטי. כמו כן עלולים לחול עדכונים ושינויים כך שהמתואר במאמר לא יהיה עדכני.