משרד המשפטים מפרסם היום (יום שני, ט”ו חשוון ה’תשפ”א, 2 בנובמבר 2020) את ‘דין וחשבון ממצאי פיקוח הרוחב’ שערכה ‘הרשות להגנת הפרטיות’ בקרב גופים וחברות המספקים שירותים של ‘אחסון ועיבוד מאגרי מידע אישי’ זאת במסגרת סדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע ל-הגנה על מידע אישי ואבטחתו.
■ רוצים עוד עדכונים? הצטרפו אל ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ ב’פייסבוק’ או ב’טוויטר’.
יצוין, כי מגזר החברות אשר מספקות שירותי אחסון ועיבוד מידע, נחשב לבעל סיכון מוגבר ל’פגיעה בפרטיות‘ שכן מדובר בחברות אשר לרוב מחזיקות במאגרי מידע רבים שמכילים מידע רב, לרבות מידע רגיש אודות הציבור.
לאור הממצאים, הרשות פרסמה הבהרות והנחיות לכלל הגופים הפועלים במגזר זה באשר לצעדים שעליהם לנקוט בכדי לוודא עמידתם המיטבית בהוראות החוק והתקנות.
לפי חוק הגנת הפרטיות, “מחזיק” לעניין מאגר מידע, הוא “מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש”. החברות שנבדקו במסגרת הליך הפיקוח מחזיקות עבור “בעלי מאגרי המידע” שמבקשים להשתמש בשירותיהן כבעלות היכולות הטכנולוגיות לכך.
ניהול מידע של מספר רב של לקוחות, על בסיס אותה הפלטפורמה, היקפי המידע ומספרם הרב של האנשים עליהם מוחזק המידע דורשים הקפדה מיוחדת על עמידה בהוראות החוק והתקנות.
▼ מתוך עיקרי הממצאים בתחומים השונים שנבדקו, על ידי הרשות להגנת הפרטיות, עולה, כי;
●במרבית הגופים שנבדקו, נמצאה רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, אך נמצאו ליקויים בקיום הוראות תקנות הגנת הפרטיות (אבטחת מידע) בחלקם אף חריגות משמעותיות.
הליקויים הבולטים שנמצאו, כללו ליקויים בביצוע סקר סיכונים ומבחני חדירה בקרב חברות שהן בגדר בעלות מאגר מידע ברמת אבטחה גבוהה.
וכן ליקויים בכל הנוגע לחובות החלות על החברות כמי שמספקות שירותי מיקור חוץ, כפי שקבוע בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ובהנחיית רשם מאגרי המידע מס’ 2/2011 בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.
● ליקוי מרכזי במגזר זה מתייחס לעיבוד מידע אישי במיקור חוץ, ומהדו”ח עולה כי 71% מהגופים עמדו באופן חלקי/לא עמדו כלל בהוראות החוק, ב-53% מהם רמת העמידה הייתה בינונית וב- 18% מהגופים נמצאה רמת עמידה נמוכה.
● במרבית הגופים (69%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. עם זאת, אצל כשליש מהגופים (31%), נמצאה רמת עמידה בינונית ומטה באופן ניהול הבקרה הארגונית והממשל התאגידי.
● כך למשל, נמצאו גופים, אשר מינו בעלי תפקידים ללא כתב מינוי ועדכון בפנקס מאגרי המידע כנדרש בחוק.
■ במסגרת הליך פיקוח הרוחב, נמצאו בעלי מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אשר נדרשו לבצע ביקורות אבטחת מידע או מבדקי חדירות אשר לא בוצעו כנדרש או לא בוצעו כלל.
■ נמצאו גופים אשר לא ניהלו תיעוד עבור הדרכות ריענון לעובדים בעלי גישה למאגרי המידע ו/או למערכותיהם.
נבהיר, כי, כחלק מפעילות הליך פיקוח הרוחב, פנתה הרשות בדרישה למילוי שאלוני ביקורת ל-36 גופים המספקים שירותים של אחסון ועיבוד מאגרי מידע. הליך פיקוח הרוחב, כלל בחינה של חברות המספקות שירותי תוכנה או פלטפורמה, פיתוח אפליקציות וממשקים לניהול מידע אישי עבור בעלי מאגרי מידע לרבות אירוח אתרי אינטרנט.
█ הרשות להגנת הפרטיות; הגישה למאגרי המידע, תהיה נתוּנה רק למי שהורשו לכך בהסכם בכתב בינם לבין בעל המאגר.
חלק מהחברות שנבדקו במסגרת ההליך מספקות שירותי תשתית ואחסון מידע. שאלוני הביקורת שנשלחו לחברות, בחנו ארבעה קריטריונים עיקריים בתחום הגנת הפרטיות ובהם;
- בקרה ארגונית וממשל תאגידי,
- ניהול מאגרי מידע,
- אבטחת מידע,
- שימוש בשירותי מיקור חוץ.
הציונים, ניתנו בהתאם לרמת עמידתם של הגופים בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
במסגרת הבהרות וההנחיות שניתנו לכלל הגופים, הבהירה הרשות להגנת הפרטיות, כי בכל הנוגע לאבטחת המידע, על הגופים לוודא קיומם של נהלי אבטחת מידע וכן עריכת בחינה של התוקף שלהם מעת לעת.
כמו כן, יש להקפיד, כי אפשרות הגישה למאגרי המידע, תהיה נתוּנה רק למי שהורשו לכך בהסכם בכתב בינם לבין בעל המאגר.
כן עליהם למנות ממונה אבטחת מידע ככל שברשותם חמישה מאגרי מידע או יותר ולהעביר לרשות להגנת הפרטיות מדי שנה רשימה של מאגרי המידע שברשותם.
הגופים אף נדרשים לקבוע תכנית עבודה שנתית ולערוך אחת ל-24 חודשים ביקורת פנימית או חיצונית בנושא; אבטחת מידע, לוודא, כי במערכות החשוּפות לרשת האינטרנט, מותקנים אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזקים למחשבי הגופים. בנוסף, עליהם לוודא, כי נערך תיעוד במקרים של אירועי אבטחת מידע.
בכל הנוגע להסתייעות בשירותי מיקור חוץ, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון עוד טרם ההתקשרות את סיכוני אבטחת המידע, הכרוכים בה, לוודא שנערך הסכם מול כל גורם חיצוני שעתיד להחזיק במאגר המידע שיתייחס לחובת הגורמים החיצוניים לדווח לבעלי מאגרי המידע, אחת לשנה לפחות על אופן עמידתו בחובות החוק והתקנות ולהודיע לו בכל מקרה של אירוע אבטחת מידע.
אגף דוברות הסברה ותקשורת של משרד המשפטים, מסר באמצעות דוברת היחידות המקצועיות הגב’ כרמית אורפז-ימין, לאתר ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ כי בהתייחס לניהול מאגרי מידע, הונחו הגופים לבצע מיפוי של כלל מאגרי המידע הקיימים אצלם ועל בסיסו לרשום מאגרי מידע אשר אינם רשומים או לעדכן מאגרי מידע קיימים.
█ רביד פטל; “מתחייבת הקפדה יתירה, מצד החברות על קיום הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע ופעילות בשקיפות אל מול הלקוחות“.
עמדת הרשות להגנת הפרטיות היא, שחברה שמספקת לגורם אחר שירותים של אחסון או גיבוי של מידע, לרבות בדרך של העמדת שרתים, נחשבת כ”מחזיקה” של המידע, גם אם תוכן המידע מוצפן והמפתח אינו מצוי בידיה אלא בידי בעל המאגר.
מכאן, שעל החברות הפועלות במגזר זה ומעניקות שירותי אחסון או גיבוי, לרבות בדרך של העמדת שרתים, חלות כלל ה’חובוּת‘ לפי החוק והתקנות החלות על “מחזיק” במאגר מידע. במסגרת זו, מחויבות החברות לפעול בשקיפות אל מול הלקוחות בכל הנוגע לזכויותיהם.
כמו כן, קיימות גם הוראות מיוחדות הרלבנטיות לחברות מסוג זה ובהן החובה למנות ממונה על אבטחת מידע, החובה לדווח לרשות להגנת הפרטיות, מדי שנה, על המאגרים הנמצאים ברשותן וכן, החובה לנהל את ההרשאות למאגרי המידע שברשותן.
הממונה על מערך פיקוחי הרוחב ב‘הרשות להגנת הפרטיות’ עורך דין רביד פטל; “החזקה של מידע אישי רב אודות כל אחד מאתנו על ידי חברות המספקות שירותי אחסון ועיבוד מאגרי מידע, טומן בחובו פוטנציאל לפגיעה בפרטיות.
מתחייבת הקפדה יתירה, מצד החברות על קיום הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע ופעילות בשקיפות אל מול הלקוחות“.
בעקבות ממצאי הדין וחשבון שערכה הרשות המצביעים על ליקויים שנתגלו במגזר זה, מבהירה הרשוּת, כי חברה המספקת לאחר שירותי אחסון או גיבוי של מאגר מידע גם אם בדרך של העמדת שרתים, נחשבת “מחזיקה” במאגר המידע וחלות עליה כל החובות לפי החוק והתקנות החלות על מחזיק מאגר מידע.
הצפנת המידע המאוחסן והצפנת אופן העברתו, אף שהינה חשובה מבחינת אבטחת המידע, אינה משחררת את המחזיק מאחריותו על פי הוראות החוק והתקנות.
בכוונת הרשות להמשיך ולפעול לשם אכיפת מדיניותה בקרב מגזר זה באמצעות עריכת פיקוחי רוחב לרבות ביצוע ביקורות חוזרות בגופים שהונחו לתקן ליקויים לשם הגברת העמידה שלהם בהוראות החוק והתקנות וחיזוק ההגנה על זכות הציבור לפרטיות.
◄אל אינפוגפיקה חברות, יום שני, 2 בנובמבר 2020.
◄אל דוח פיקוח רוחב 2018-19 – חברות אירוח – 28 אוקטובר 2020.
