הרשות להגנת הפרטיות מפרסמת היום (רביעי, י”א בטבת התש”פ) את ‘דין וחשבון ממצאי פיקוח הרוחב’ שביצעה במגזר מועדוני הלקוחות, מדובר בדוח הראשון שמפרסמת הרשות, כעת והוא הראשון בשורת דוחות שתפרסם הרשוּת בתקופה הקרובה. הפעם הדוח, מתמקד ב’מגזר מועדוני הלקוחות בישראל’ הכולל חברות שבמסגרת פעילותן מנהלות מועדוני לקוחות ונחשב כבעל סיכון גבוה לפגיעה בפרטיות, בין היתר, בשל מאפייניו הייחודיים של מגזר זה.
■ רוצים עוד עדכונים? הצטרפו אל ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ ב’פייסבוק’ או ב’טוויטר’.
מתברר, כי רוב הליקויים, התגלו באופן ניהול המידע, הצגת זכויות הלקוחות בנוגע למידע אודותיהם ואופן ההתקשרות והסתייעות עם שרותי מיקור חוץ לאחסון ושמירת מידע על הלקוחות.
מערך פיקוח הרוחב ב‘רשות להגנת הפרטיות’ אשר הינו חלק ממערך האכיפה, מופקד על עריכת פיקוחי רוחב מגזריים או נושאיים לבחינת יישום הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות.
מטרת המערך הינה איתור וצמצום הפערים בין דרישות החוק והתקנות לבין המצב הקיים במגזרים המפוקחים, הגברת מודעות המשק להוראותיו, הגברת האכיפה היוזמת של הרשות, קבלת תמונת מצב מגזרית ואיתור כשלים ענפיים לגבי עמידה בהוראות החוק הדורשים התייחסות ומתן הנחיות.
במהלך השנים 2018-2019, ביצעה הרשות להגנת הפרטיות, בדקה 181 הליכי פיקוח רוחב לבדיקת מידת העמידה בהיבטי הגנת הפרטיות ואבטחת מידע בקרב מגזרים שונים, אשר מנהלים או מחזיקים במאגרי מידע שיש בהם סיכון מוגבר לפגיעה בפרטיות.
בין היתר, בשל רגישות המידע, היקפי המידע ומטרות השימוש בו. במסגרת הליך פיקוח הרוחב, פנתה הרשות לגופים שונים הנמנים על המגזרים המפוקחים בדרישה למילוי שאלוני ביקורת.
ביניהם, פנתה הרשות אל 54 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של למעלה ממאה אלף איש, 30 מרפאות לבריאות הנפש, 23 מכונים ומעבדות רפואיות, 38 ספקי פלטפורמות אינטרנטיות לימודיות אשר אוספות מידע על קטינים ו- 36 חברות המספקות שירותי אחסון ועיבוד מאגרי מידע.
בנוסף, הרשות להגנת הפרטיות, ביצעה הליך פיקוח רוחב המתמקד בבדיקת רמת אבטחת המידע הנדרשת על פי תקנות הגנת הפרטיות ב-52 גופים ב-4 מגזרים נוספים. דוחות הפיקוח על כל אחד מהמגזרים האמורים יפורסמו בקרוב.
באשר לביקורת הנוכחית, הגופים המשתייכים למגזר מועדוני הלקוחות, מנהלים או מחזיקים מידע עצום על מספר רב של אנשים הכולל את הרגלי הצריכה שלהם.
הם מנהלים עימם קשר אינטראקטיבי, המאפשר להם לזהות וללמוד מעבר למידע אודות הרגלי הצריכה של הלקוחות, גם מאפיינים ייחודיים לגבי אישיותם, מצבם הכלכלי, קשריהם המשפחתיים, השתייכותם הדמוגרפית, אמונתם וכדומה, כמפורט בגרף הבא;
█ שאלוני הביקורת בחנו ארבעה קריטריונים בתחום הגנת הפרטיות;
- בקרה ארגונית וממשל תאגידי– בוחן קיומה של תכנית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום.
- ניהול מאגרי מידע– בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, השימוש במידע בהתאם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר ושירותי דיוור ישיר.
- אבטחת מידע– בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), ביחס להגנה על המידע האישי שבבעלותם ובהחזקתם.
- שירותי מיקור חוץ– בחינת ההתקשרויות של בעלי מאגרי המידע עם גורמים שלישיים המחזיקים במידע ומעבדים אותו והאופן בו הם מבטיחים הגנה על המידע.
█ שבעה גופים אשר דיווחו לרשות על סיום פעילותם נדרשו לבער את מאגר המידע שבידם.
בהתאם למענה שניתן על-ידי הגופים ביחס לכל אחד מהקריטריונים, נקבעה רמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו, כמתואר בגרף הבא בהתאם לשקלול רמות העמידה של הגופים;
- עמידה של בין 80%-100% בקריטריונים, מוגדרת כרמת עמידה גבוהה;
- עמידה של בין 50%-80% מוגדרת כרמת עמידה בינונית/חלקית;
- עמידה של מתחת ל-50% מוגדרת כרמת עמידה נמוכה.
במסגרת ההליך, שבעה גופים אשר דיווחו לרשות על סיום פעילותם נדרשו לבער את מאגר המידע שבידם. שישה עשר גופים נדרשו לספק מידע, מסמכים והבהרות נוספות לרשות. בסיום ההליך, מתוך 44 הגופים המפוקחים, נמצא כי ב-43 מתוכם היו ליקויים הדורשים תיקון.
█ הליך הפיקוח העלה את הממצאים העיקריים הבאים;
- ב – 55% מקרב הגופים נמצאה רמת עמידה בינונית עד נמוכה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. במסגרת כך, הממצאים חשפו ליקויים באופן שבו גופים מגדירים את מטרות מאגר המידע בו הם מחזיקים וכן לא ממלאים אחר ההוראות למינוי מנהלי מאגרים.
- במרבית הגופים נמצאו ליקויים באופן ניהול הרשאות הגישה למאגרים, שהתבטא בהעדר תהליכים נאותים לניהול ההרשאות ובהעדר יישום הפרדת תפקידים ויישום מתן ההרשאה לבעל הרשאה המורשה לכך בלבד, לפי רשימת ההרשאות התקפות.
- בכ –70% מהגופים נמצאה רמת עמידה נמוכה בהוראות החוק בכל הנוגע לעיבוד מידע אישי באמצעות מיקור חוץ. נמצא, כי הגופים אינם עורכים התקשרויות עם גורמים שלישיים במיקור חוץ בהתאם לנדרש בהוראות התקנות, אינם בוחנים את סיכוני אבטחת המידע הכרוכים בהתקשרות, אינם מוודאים עמידת הגורמים החיצוניים בחובות אבטחת המידע ואינם נוקטים אמצעי בקרה ופיקוח על עמידתם בהוראות תקנות אבטחת מידע.
- גם במקרים בהם הגופים שנבדקו הטמיעו מנגנוני בקרה נאותים בארגון, הם לא נקטו צעדים מספקים מבעוד מועד על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה, אגב כך בזכותם לפרטיות של האנשים על אודותיהם מוחזק המידע.
- נמצא, כי בפניה ללקוחות בדיוור ישיר, הגופים אינם מקפידים על יידוע הלקוחות בדבר האופן שבו נאסף המידע על אודותיהם ואף אינם מיידעים אותם בדבר זכויותיהם מכוח חוק הגנת הפרטיות (החובה להציג את מקור המידע, הזכות לעיין במידע והזכות להימחק ממאגר המידע).
█ הדוח מאפשר לגופים המנהלים מועדוני לקוחות לבצע הערכה עצמית בהתאם לחולשות המגזריות שמצאה הרשוּת ולפעול בהתאם להנחיות המגזריות לתיקון הליקויים שנמצאו.
דוברת היחידות המקצועיות של אגף דוברות הסברה ותקשורת, ב-משרד המשפטים, הגב’ כרמית אורפז-ימין, מסרה ל’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ כי לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו הגופים הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם.
הדין וחשבון שפרסמה הרשות להגנת הפרטיות, כולל המלצות באשר לצעדים שעל הגופים שנבדקו לנקוט בכדי לקיים את דרישות החוק והתקנות. יצוין, כי בסיום הליך הפיקוח, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושאי משרה לביצוע התיקונים ותכנית מסודרת לצורך כך.
בנוסף, מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים. בגופים בהם נמצאו ליקויים משמעותיים רבים במילוי הוראות החוק, או בכאלו אשר לא ימלאו אחר דרישת תיקון הליקויים, שוקלת הרשות המשך הפעלת סמכויותיה המנהליות או הפליליות.
הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, עורך דין רביד פטל, ציין, כי; “המדובר בדוח ראשון מבין שורת דוחות ביקורת על מגזרים שונים שיפורסמו על ידי הרשות כבר בשבועות הקרובים. מגזר מועדוני הלקוחות, הינו מגזר בסיכון מוגבר מבחינת היבטי הגנת הפרטיות.
בנוסף להשפעת פעילות פיקוח הרוחב על הגופים שנבדקו וצמצום הליקויים הפרטניים שזוּהו, הרשות, רואה חשיבות בפרסום דוח ציבורי זה, אודות ממצאי פיקוח הרוחב על מנת שיהווה כלי עבודה מנחה לכלל הגופים המנהלים מועדוני לקוחות.
דין וחשבון זה מאפשר לגופים המנהלים מועדוני לקוחות לבצע הערכה עצמית בהתאם לחולשות המגזריות שמצאה הרשוּת ולפעול בהתאם להנחיות המגזריות לתיקון הליקויים שנמצאו.
כך, יוכלו הגופים בתחום לנהל את המידע של לקוחותיהם בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם” – סיכם הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, עורך דין פטל.
◄אל אינפוגרפיקה פיקוח רוחב מועדוני לקוחות v6.
