תקנות הגנת הפרטיות מתייחסות ומבחינות בין רמות הרגישות השונות של המידע. אנחנו זוכרים את הסיפור של סנודן שפירסם מידע פחות רגיש מבחינת הגנת הפרטיות אבל מידע רגיש בהחלט מבחינה ביטחונית והוא הפיץ אותו ברשת האינטרנט והדברים רצים ועוברים מיד ליד בצורה מאוד מהירה, דבר שעוד יותר מגביר את הסיכון שלנו. כלומר אם יש לנו אירוע של דלף מידע בקלות היום במייל המידע הזה יכול לזלוג ולהתפזר בצורה אקספוננציאלית ולהגיע לרבבות אנשים והגברת החקיקה בנושא זכויות הציבור: באופן כללי יש יותר ויותר חקיקה שמעלה את המודעות לזכויות של הציבור ובין היתר תכף אדבר על התקנות לגבי הגנת הפרטיות. באותו חוק שדיברתי קודם שאולי ייקנה סמכויות אכיפה מנהליות גם לרשות הגנת הפרטיות. מעבר לזה ברגע שיש לאותם רגולטורים את הסמכויות הם גם עושים קמפיינים ופועלים כדי להגביר את המודעות ובשנים האחרונות היו מספר קמפיינים של רשות הגנת הפרטיות לגבי הזכות שלך לפרטיות ובעיקר מה תפרסם ולא תפרסם.
עוד נושא אגב שאולי קשור לרשתות החברתיות אבל גם קשור למודעות של זכויות הציבור; הוקמה לפני מספר חודשים או קצת יותר חברה שמציעה לאנשים לבוא ולסרוק את המייל שלהם ולגלות איפה אגור מידע אודותיהם ולפנות לכל אותם גורמים שלפי הסריקה זאת במייל אגור מידע אודות אותו לקוח של החברה, לפנות אליהם בעצם ולבקש את המחיקה של המידע מאותו מאגר שלהם פרצו. זה עוד משהו שיוצא לנו, כמי שעובד בארגונים, מגביר את הסיכון שלנו לבעיות מול ישויות שאנחנו אגרנו לגביהם מידע. לכל זה מצטרף מה שאמרתי בהתחלה ריבוי במידע הנאגר. זאת אומרת, אם עד לפני 30 שנה רוב המידע עליי היה אגור בקלסרים בכל מיני מקומות, היום כל המידע אגור בדאטה דיגיטלית. יותר ויותר מידע, יותר ויותר כלים שמאפשרים לנו הצלבות של מידע שבעצם יוצרים מידע חדש. וכל הדברים האלה בעצם מביאים לסיכון אדיר בהיבט המשפטי ובאהבת הרגולטורי של כל מי שמחזיק במידע.
עכשיו צריך להבין גם נקודה שהרבה פעמים כשאנחנו מגיעים לאירגון אז אומרים תשמע לנו אין מאגרים או יש לנו אולי מאגר אחד אבל בעצם שמסתכלים על ארגון ולא משנה כרגע עם זה מלכ"ר או חברה עסקית או משרד ממשלתי או מה שזה לא יהיה, אז יש מספר מקורות של מידע שנמצאים בדרך כלל באותו באותו אירגון.
מידע הנאגר באירגונים ומקומות עבודה
אז קודם כל, כל אירגון מספק סוג כזה או אחר של שירותים. שוב, לא משנה מה התצורה שלו ואיך הוא מאוגד אבל בעצם הוא יכול לכלול נתונים אודות חברי הארגון, זאת אומרת לקוחות או חברי ארגון אם זאת עמותה. והמון מידע שאוגר אודותיהם אגב מתן השירותים. חלק מהמקרים למשל אנחנו מחויבים לפי הוראות חוק כאלה ואחרות לאגור מידע בחלק מהמקרים אם ניקח עמותות שמספקות שירותים חברתיים ללקוחות שלהם אז הם נדרשים לקבל מידע רגיש הודעות אותם חברי ארגון אם זה תנועות נוער או מי שזה לא יהיה וכאן בעצם זה ליבת התעשייה של אותו אירגון ואין ספק ששם נאגר המון מידע עסקי או אחר אודות ישויות שמידע זה בהחלט יכול להיות מידע מאוד מאוד רגיש. מעבר לכך האירגון בדרך כלל מעסיק עובדים. הוא יכול להעסיק עובדים ויכול להעסיק גם מתנדבים לצורך העניין, וכמות המידע שאנחנו אוגרים היום אודות עובדים היא לא פשוטה; החל בעצם משלבי מיון וסינון של מועמדים פוטנציאלים לעבודה, שלחו לי קורות חיים, בחלק מהמקרים מבקשים מאיתנו גם למלא שאלונים כאלה ואחרים. ברגע שאותו עובד או מתנדב מתחיל לעבוד אז אנחנו מקבלים ממנו כל מיני דיווחי נוכחות. יש לנו נתונים על מצב בריאותי. תחשבו על עובדות שיוצאות לטיפולי הפריה או עובדים שיצאו לכל מיני טיפולים כאלה ואחרים ומציגים ימי מחלה למעסיק, בעצם יש שם פירוט של כך. יכולים להיות לנו עיקולים על משכורות ובעצם אנחנו יכולים לדעת מדוע הוטל עיקול כי קיבלנו צו. דו"חות נוכחות שגם יכול להיות בהם מידע רגיש למה נעדרתי וכדומה, אישורים, מצב אישי, נתונים אודות השכלה ודיברתי קודם על נתונים אודות מועמדים לעבודה, אז מעבר לקורות חיים אז ארגונים שולחים לכל מיני מבדקי אמינות או מכוני השמה ובדיקות גרפולוגיות ומקבלים בעצם ניתוח מעמיק והרבה פעמים מאוד מאוד רגיש לגבי מועמדים, וכמובן שיש עוד משובים לעובדים, משובי 360 שעושים מול כפיפים וממונים. זאת אומרת, אנחנו עובדים עם הרבה מידע וגם זה חלק מאותו מאגר שלנו.
האירגון כמקבל שירותים מעבר לזה האירגון גם מקבל שירותים: יש לי נתונים אודות הספקים של הארגון שלי. כמובן שחלק מהנתונים יכולים להיות לא להחשב כמידע רגיש אבל לא מעט אירגונים, בעיקר האירגונים הגדולים עושים תהליך של הערכת ספקים וכותבים בין היתר למה הפסיקו את הפעילות .שוב, אני פחות מדבר על מידע עסקי ומסחרי למשל שהחברה נותנת במסגרת מכרז אלה יותר על נתונים רגישים. עכשיו, אם זה ספק שהוא עוסק מורשה אז הוא בן אדם פרטי בסוף ומספיק שיש לי את התעודת זהות, מספר עוסק מורשה ופרטי חשבון בנק וכמה שילמתי לו וכדומה, כבר אומר שכבר יש לי עליו מידע שמתחיל להיות מאוד רגיש.
אירגון מגייס משאבים
אירגון יכול להיות גם מגייס משאבים גם אם זה אגב חברה עיסקית שפונה לגיוס כספים אצל משקיעים כאלה ואחרים, גם אם זה עמותות שמגייסות תורמים וכאן לא מעט אירגונים מנהלים דאטה בייס מאוד מאוד רציני לגבי אותם אותם משקיעים פוטנציאליים שכוללים יכולת השקעה, יכולת החזר ונתונים אישיים. זאת אומרת, מנהלים גם סוג של מעקב לצורך שימור קשר עם אותו משקיע, תאריכי לידה, מאשתו וכדומה, לא לשכוח לשלוח לו פרחים ביום ההולדת וגם כאן אנחנו אוספים לא מעט מידע.
מצלמות אבטחה משמשות כמאגר מידע
מעבר לכל מה שדיברתי אז עוד מאגר שיכול להיחשב בהחלט כמאגר מידע זה כל מה שקשור למצלמות אבטחה. מצלמות שבחלק מהמקומות אנחנו מחוייבים להתקין. הן אוגרות מידע ולכן הן נחשבות כמאגר. כאן היום בטכנולוגית שגם הן עושות זיהוי פנים אז כמובן שהמידע הזה הופך להיות יותר ויותר רגיש, ועוד סוגיה מאוד בעייתית גם מבחינת החשיפה של מידע וגם מבחינת סיכונים כאלה ואחרים זה כל העולם של רשתות חברתיות. שוב, אולי לסבר את האוזן אז חברה מסויימת עובדת בשירות לקוחות ראתה תגובה בפייסבוק מאוד נזעמת על השירות שלקוח מסוים קיבל באותה חברה וכדי להראות שהחברה הייתה בסדר אז היא צילמה צילום מסך מתוך מערכת הcrm להראות שכל פנייה שלו נענתה מהר שהוא איזשהו סוג של מתלונן סדרתי וטורדני הועלתה את צילום המסך הזה לרשת הפייסבוק. כמובן שיש פה הפרה של הוראות. חשפו את זה שהוא לקוח, חשפו את הפנייה שלו וכדומה, אז גם כן זה סיכון שצריך לקחת אותו בחשבון מעבר לכך שהם לא יכולים לעלות אולי תמונות מאירועים כאלה ואחרים של החברה ולפגוע בפרטיות של אנשים.
הגדרות החוק
הנה כמה הגדרות מהחוק. כשאנחנו מדברים על מאגרי מידע אז בעצם מה החוק קובע: מה זה מידע? אז מדברים על נתונים על אישיותו של אדם, מעמדו האישי, צינעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית , דעותיות ואמונותיו. ולכן אם דיברתי קודם על מידע עסקי או מידע מסחרי הוא לא נכלל פה במסגרת של מידע אלא אנחנו מדברים בעצם על מידע על בנאדם. כשאנחנו מדברים על אבטחת מידע גם משהו שקשור ולא תמיד כולם שמים לב לזה, אז אנחנו מדברים על הגנה על שלמות המידע. זאת אומרת, מעבר להגנה על המידע מפני חשיפה, שימוש ללא הרשאה, גם שלמות המידע היא חלק מהדרישות שלנו לאבטחת מידע, זאת אומרת לוודא שדאטה שאני אוסף לא נמחקת או לא נעלמת בצורה כזאת או אחרת שלא לצורך.
גם עולם הגיבויים, שיחזורים וכדומה הוא חלק מהתהליכים שאני מחוייב להם מבחינת אבטחת מידע. עוד נתון חשוב שגם חשוב לדבר עליו כי זה יהיה אח"כ במסגרת הדילמות שחשובות לכם כמידענים: מאגר מידע מדבר על אוסף נתוני מידע שמוחזק באמצעים מגנטיים ומיועד לעיבוד ממוחשב. כלומר, נתונים שהם לא מוחזקים במדיות אלקטרוניות הם לא חלק מאותו מאגר מידע שלי. לדוגמא, קלסרים שאני מחזיק במשרד וכל מה שיש שמה זה הארד קופי לא נחשבים כחלק ממאגר. בהמשך לשאלה שנשאלה אז מאגר מידע לא כולל אוסף לשימוש אישי ושאלון עמדות עסק, ואוסף שכולל רק שם מען ודרכי התקשרות לא יוצר אופן איפיון שיש בו פגיעה בפרטיות אבל בלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף.
זאת אומרת, אם יש לי רשימה של לקוחות שיש שם רק את השם מען וטלפון, אין פה פגיעה בפרטיות של בני אדם. השאלה אם זה מאגר או לא היא שאלה נפרדת, אבל אם לא יהיה ספק אם לתאגיד עצמו או לתאגיד אחר שהוא קשור אליי יש אוסף נוסף. זאת אומרת אם יש לי את הרשימה של הלקוחות אבל לחברה אחות שלי יש רשימת לקוחות ודאטה נוספת, אז בעצם זה כבר הפך איפיון שיכול ליצור פגיעה בפרטיות כי יש לנו עוד נתונים על אותם בני אדם במסגרת אותו בעל שליטה, לצורך העניין.
מידע רגיש
מבחינת הגדרה של מידע רגיש, אז בעצם כמעט כל ההגדרות של מהו מידע נכללות גם במידע רגיש. דיברנו קודם על אישיות אדם על צנעת אישותו ומצבו הבריאותי, מצבו הכלכלי, דעותיו ואמונותיו. צנעת אישותו, הרבה פעמים אנשים שואלים אותי ואומרים לי, תשמע, אין לי נתונים על צנעת אישות אלא אם זה אולי דברים רפואיים וכדומה, אבל יש אירגונים שעצם ההתחברות אליהם, אם אני מדבר בעיקר על מלכ"רים, כמו למשל ארגונים של הקהילה הגאה; עצם החברות בהם והעובדה שרשמו את הפרטים שלי כחבר באירגון, כבר יכולה ליצור מצב שיש למישהו נתונים על צינעת אישותי בלי שבכלל אני התכוונתי לכך, אז גם כאן צריך תמיד לפרש את המונחים האלה די בהרחבה כדי לוודא שאין לנו מידע רגיש.
השינוי הגדול של חוק הגנת הפרטיות
מה שקרה, וזה השינוי הגדול שבעקבותיו בעצם התחילה כל המודעות לעלות, זה שחוק הגנת הפרטיות הוא חוק די ישן שנחקק בשנות ה-80, הוא דיבר על מאגרי מידע, הוא קבע מה זה מאגר מידע והוא קבע באופן מאוד כללי שבעל מאגר צריך לאבטח אותו, והוא לא אמר לנו בעצם מה נדרש ואיך נדרש ומהי אבטחה וכולי וחולי ובעצם במשך שנים רבות הסתובבנו פה בלי שהבאנו מה רוצים מאיתנו כל מי שמחזיק במאגר. בשנת 2017 פרסם משרד המשפטים תקנות שנקרא "תקנות הגנת הפרטיות אבטחת מידע" וזאת בעצם הייתה הפעם הראשונה ( אגב זה קרה במקביל וזה לא צירוף מקרים, למה שקרה בעולם: תקנות הGDPR פורסמו נכנסו לתוקף באותו חודש של התקנות הישראליות) שבעצם בא המחוקק ובפעם הראשונה קובע לנו מה הנורמה שנדרשות מאיתנו ברמה הזאת. אז קודם כל, הוא קבע מה הרף הנדרש לאבטחת מידע: הם חילקו את מאגרי המידע בעצם לשלוש רמות של אבטחה: בסיסית בינונית וגבוהה שהחלוקה פחות או יותר היא כמות היוזרים וכמות הישויות שאנחנו אוגרים עליהם את המידע וגם יכולה להיות השפעה לסוג המידע שנאגר אבל בגדול החלוקה ברמות אבטחה היא בין הבסיסית הבינונית והגבוהה היא כמה יוזרים. זאת אומרת, כל מאגר שיש בו פחות מ10 משתמשים ייחשב מאגר ברמה הבסיסית. מאגר שיש בו יותר מעשרה ופחות מ100 יחשב ברמה בינונית, מעל 100 כבר עולה לרמה הגבוהה וגם קיימת אבחנה לעניין כמות הישויות שעליהם אנחנו אוגרים את המידע. אז גם כאן בעצם הם באו וקבעו את שלושת הרמות האלה וקבעו הוראות ביחס לכל אחת מהרמות, מה נדרש מהם.
ככל שאני עולה ברמה יותר רמת הדרישות עולה: לדוגמה נדרש ממני לבצע כבר יהיה מה שנקרא PT - penetration test מבדק חדירות, סקרי סיכונים, ביקורת פנימית וכולי אבל בגדול הנורמות מדברות ובהמשך נרחיב עליהם, על הדברים שיש מחויבים בכל סוגי המאגרים מעבר לזה באו בתקנות והגדירו לי אירוע אבטחה. בעצם אמרו לי מה נחשב מבחינתי כאירוע אבטחה שבגדול אפשר לדבר בעיקר על אירועי דלף מידע ואת החובה שלי לדווח עליהם בתנאים כאלה ואחרים לרשות הגנת הפרטיות, רשות מאוד יעילה ואפקטיבית. זאת אומרת, כל דיווח על אירוע כזה מקבלת תגובה מאוד מהירה והרבה פעמים יוצרת כאב ראש לא קטן לאירגונים.
ממונה אבטחת מידע
אירגונים שיש להם מעל חמישה מאגרי מידע מחויבים במינוי גורם אחראי אבל כל מאגר מחויב למנות מנהל לאותו מאגר. זאת אומרת, ברגע שאני רושם מאגר אני חייב לדווח מי מנהל את אותו מאגר ואם יש לי חמישה מאגרים אני חייב גם למנות גורם שמוגדר ממונה הגנת הפרטיות/ ממונה אבטחת מידע. עכשיו, מתי אנחנו בעצם מחויבים לרישום של מאגר? גם כאן דילמה שעולה לא מעט בארגונים. אז החוק בעצם אומר לא יינהל אדם ולא יחזיק מאגר שחייב ברשום אלא אם כן התקיים אחד מאלה: אז כמובן המאגר נרשם בפנקס וכולי אבל הבאתי לכם את הסעיף הזה בעיקר כדי להקדים ולדבר לאחר מכן על הדילמה של מה שאתם רואים פה בסעיף ב': לא ישתמש אדם במידע שבמאגר החייב ברישום חישוב אלא למטרה שלשמה הוקמה המאגר. זה נתון מאוד חשוב ואגב במסגרת אירועי ההפרה שהתגלו בשנים קודמות היו כמה מקרים של קנסות שהוטלו בגלל שימוש במאגר שלא למטרה שלשמה הוא הוקם.
זכות העיון במידע
חובה נוספת שיש לנו בחוק וזה גם חשוב להכיר זה שכל אדם זכאי לעיין בעצמו או על ידי בא כוחו וכדומה במידה עליו המוחזק במאגר מידע. אני לא יודע מאיזה סוגי ארגונים אתם מגיעים, יכול לפנות ולבקש לעיין בכל המידע שלי, וכאן אני ארחיב ואומר שיש פער מאוד גדול בין התפיסה המשפטית לתפיסה המכללה הטכנולוגית של מה זה מאגר. כשאני בא לאירגונים ואני מדבר בדרך כלל עם מנהל מערכות מידע ואני אומר לו מאגר, אז הוא אומר לי יש לי את המערכת הזאת, אבל כשפונה למשל בן אדם ומבקש לעיין במידע אז מתגלה, וזה ברוב הארגונים קורה, שיש מערכת אחת או יותר אבל יש גם כל מיני קבצי אקסל וקבצי וורד וPDF שמכילים מידע על אדם מסויים והם חלק מאותו מאגר ולכן כשאנחנו מדברים על הזכות לעיין ואחרי זה נדבר על חובת הבירור, בעצם אנחנו צריכים להתייחס לכל המאגר. אולי טיפה לסבר את האוזן, אז בתחום השכר נגיד קל לי להביא דוגמא: יש בדרך כלל מערכת אחת מרכזית שהיא משמשת לחילון שכר. הרבה חברות עובדות עם חילן ומלם וכל מיני כאלה אבל יש מערכת אחת שבה אנחנו מזינים פרטים והיא מפיקה את תלושי השכר.
אבל בלא מעט אירגונים יש מערכת נוכחות נפרדת שהיא חלק מאותו מאגר. יש תיקיות ברשת של כל מיני ראיונות וקורות חיים ותעודות וכדומה ששלחו עובדים שזה גם חלק מאותו מאגר, יש לנו מערכת שעושה משוב על עובדים והיא חלק מאותו מאגר, זאת אומרת, המאגר עצמו מורכב מלא אפליקציות ולא מעט קומפוננטים שמרכיבים בסופו של דבר את אותו מאגר ולכן בחובה העיון אני חייב לתת לו לעיין בכל המידע הזה.
דיברנו על חובת האבטחה, זה בעצם סעיף 17 זה מה שהיה בחוק עד התקנות. חייב להיות אחראי לאבטחת המידע שבמאגר: חובה מאוד כללית שלא פירטו לנו מה מה בדיוק רוצים מאיתנו. לגבי חובת הרישום אז יש את הרכיב המספרי, זאת אומרת אם יש לי יותר מידע על יותר מעשרת אלפים אנשים אני חייב ברישום, אבל אם יש לי במאגר מידע רגיש וראיתם שההגדרה של מידע רגיש היא מאוד מאוד רחבה אז לא משנה כמות האנשים שעליהם אני אוגר את המידה, אני מחוייב ברישום. מעבר לכך יש עוד כל מיני חובות רישום אם זה כולל מידע על האנשים שהמידע לא נמסר מטעמם או בהסכמתם. בדרך כלל זה פחות קורה בארגונים עסקיים. מאגר שמשמש לשירות דיוור ישיר: זאת אומרת מאגר שמספק בעצם לידים או דיוור עבור אחרים - לא משנה על כמה אנשים יש לו מידע - הוא מחוייב ברישום. ובהקשר לשאלה קודם של היחס למשרדי הממשלה, אז כל מאגר של גוף ציבורי מחוייב גם הוא ברישום ואפשר לראות את זה ברשם מאגרי המידע רואים מאגרים של משרדי ממשלה, רשויות מקומיות וגופים ציבוריים נוספים.
את ההרצאה העביר עו"ד מיכאל גילינסקי, מנהל תחום הגנת הפרטיות ואבטחת מידע במשרדנו.
Commenti