מאת: עורכי הדין משה כאהן ושמואל חדאד
אם הנכם בעלי עסק, סביר להניח שאתם משתמשים באמצעי מחשוב כדי לנהל אותו.
סביר גם להניח שאתם אוגרים באופן דיגיטלי כלשהו, בין אם במחשבים פרטיים, בין אם בשרתים בבעלות עצמית ובין אם בשרתים בסביבת ענן, פרטים אישיים אודות הלקוחות והספקים שלכם, כגון: שמות, כתובות ופרטי קשר. אולי אתם גם אוגרים מידע רגיש יותר, כגון: ת"ז, היסטוריית רכישות, פרטי כרטיס אשראי וכו'.
מעבר לחיוניות של מידע זה לעסק שלכם, ורצונכם לשמור על סודותיה המסחריים של החברה, חלה עליכם חובה לשמור על פרטיותם של האנשים שהמידע שלהם מצוי במאגרים שלכם.
הרשות להגנת הפרטיות היא רשות ממשלתית אשר אחראית, בין היתר, על אכיפת חוקים הנוגעים להגנת פרטיותם של אזרחי ותושבי ישראל.
במסגרת סמכויותיה של הרשות, היא רשאית לפנות לכל אדם ולדרוש ממנו ידיעות ומסמכים הנוגעים למאגרי המידע שברשותו[1], על מנת לוודא כי הוא עומד בחובות שלו בהתאם לחוק[2] והתקנות מכוחו.
מטרת מאמר זה היא לסקור בקצרה את החובות המרכזיות המוטלות על ארגונים המנהלים או מחזיקים במאגרי מידע[3], כך שתוכלו לשפר את רמת הציות שלכם לדרישות החוק והתקנות ולהיערך מראש לפניה מטעם הרשות:
גם אם יש לכם גישה למאגרי מידע של ארגון אחר, חלות עליכם מספר חובות בהתאם לחוק
החובות להגנת הפרטיות חלות על הארגון שלכם, גם אם יש לכם גישה למאגרי מידע של ארגונים אחרים, בתור ספק השירות שלהם (בחוק, ארגון בעל גישה למאגר מידע כאמור נקרא "מחזיק"). לדוגמא: הארגון שלכם עוסק בתחום התמיכה הטכנית או בתחום השיווק והפרסום, ויש לכם גישה למאגרי המידע של הלקוחות שלכם, הבעלים של מאגרי המידע, על מנת לתת להם שירותים.הארגון שלכם אחראי, בין היתר, לאבטחת המידע שבמאגרי המידע, בהתאם לתקנות אבטחת המידע[9].
אם הארגון שלכם"מחזיק" במאגרי מידע של מספר לקוחות, מחובתכם להבטיח כי מאגרי המידע של הלקוחות השונים לא יתערבבו אחד עם השני, ולוודא כי הגישה למאגרים השונים תהיה נתונה רק למי שהורשו לכך על ידי בעלי המאגרים.
כמו כן, אם הארגון שלכם "מחזיק" בחמישה מאגרים ומעלה, מחובתכם למנות לארגון שלכם ממונה אבטחת מידע עם הכשרה מתאימה לכך[10], וכן למסור לרשם מאגרי המידע פעם בשנה פרטים אודות מאגרי המידע שבאחזקתכם.
זה הזמן להיערך לשיפור רמת הציות של הארגון שלכם לדרישות החוק
מומלץ להיערך מראש לשיפור רמת הציות של הארגון שלכם לדרישות החוק, על מנת שלא להיקלע למצב שבו אתם מקבלים פניה מהרשות להגנת הפרטיות בהפתעה[11].
משרדנו עוסק במתן ייעוץ משפטי בתחום הגנת הפרטיות. נשמח לעמוד לרשותכם על מנת לסייע לכם לעמוד בחובותיכם בהתאם לחוק ולתקנות.
[1]ראו את מאמרנו "קיבלתם הודעה על ביקורת מטעם הרשות להגנת הפרטיות? כך תפעלו".
[2]חוק הגנת הפרטיות, תשמ"א-1981.
[3]לא מדובר ברשימה ממצא, ובשום מקרה אין לראות בסקירה קצרה זו משום ייעוץ משפטי ספציפי. לשם מתן ייעוץ משפטי ספציפי, יש להבין את כל נסיבות המקרה הפרטני.
[4]ראו תקנות הגנת הפרטיות (תנאים לעיון במידע וסדרי הדין בערעור על סירוב לבקשת עיון), תשמ"א-1981.
[5]ראו תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
[6]ראו הנחית רשם מאגרי מידע מס' 2/2011– שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.
[7]מבלי לגרוע מהמחויבויות של בעל המאגר מתוקף סעיף 30א לחוק התקשורת (בזק ושידורים), תשמ"ב-1982, "חוק הספאם".
[8]תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001.
[9]ראו הערה 5 לעיל.
[10]ישנם ארגונים מסוגים נוספים אשר מחויבים למנות ממונה אבטחת מידע, כדוגמת בנקים, חברות ביטוח וחברות העוסקות בדירוג או הערכה של אשראי.
[11]ראו הערה 1 לעיל.