אכיפת תקנות הגנת הפרטיות – הזהירות הנדרשת
הגנת פרטיות המידע היא נושא העולה חדשות לבקרים. אנו שומעים לא פעם על פרצות אבטחה המתגלות בקרב ענקיות הטכנולוגיה דוגמת גוגל, פייסבוק, ואפל, שאוספות ומחזיקות בכמות עצומה של מידע אישי על המשתמשים בשירותים שלהן.
כך למשל, נכון לחודש יולי 2019 (כשנה לאחר כניסתן של התקנות לתוקף) קיימה הרשות להגנת הפרטיות 146 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים, אשר רק 103 מתוכם דווחו לרשות, בעוד שיתר הליכי האכיפה בוצעו בעקבות תלונות או פעילות יזומה של הרשות. על רקע נתונים אלה, חשוב לזכור כי הימנעות מדיווח לרשות על אירוע אבטחה חמור, או ניסיון להסתיר את פרטיו, או גילוי ממצאים חמורים בדרך הטיפול בו, עלולים להוביל לסנקציה של התליית או ביטול הרישום של מאגר המידע של אותו גוף מפר, באופן שאוסר על השימוש במידע.
אז איך להיערך ואיך לפעול במקרה של אירוע אבטחה?
על מנת להבטיח את פרטיותו של המידע במאגר, בעל העסק צריך ללמוד לעומק את הוראות החוק והתקנות, ולהטמיע את הוראות התקנות ולקיימן, תוך שהוא שם דגש על רמת האבטחה של המאגר (בסיסית, בינונית או גבוהה). למרות זאת, ייתכנו אירועי אבטחה המעלים חשש לפגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה גם כשבעל העסק פעל ליישום כל דרישות אבטחת המידע.
עם קרות אירוע אבטחה, נדרש העסק לערוך תיעוד של האירוע לצורך הפקת לקחים ומניעת הישנותם של מקרים כדוגמתו בעתיד, וכן חלה עליו חובה לתעד את הפעולות שנעשו בעקבות אירוע האבטחה. אירוע אבטחה הנכנס תחת ההגדרה "אירוע אבטחה חמור" במסגרתו נעשה שימוש במידע מן המאגר או בחלק מהותי מן המאגר (בהתאם לסיווג המאגר) , בלא הרשאה או בחריגה מהרשאה או שנעשתה במסגרתו פגיעה בשלמות המידע, יטיל על בעל מאגר המידע את החובה להודיע לרשות להגנת הפרטיות על כך תוך עשרים וארבע שעות ממועד גילוי האירוע ובכל מקרה, לא יאוחר משבעים ושתיים שעות, וכן לדווח על הצעדים שננקטו בעקבות האירוע. רשם הגנת הפרטיות מוסמך לתת הוראה לעסק שחל בו אירוע אבטחה חמור להעביר דיווח על האירוע לנושאי המידע אשר הארוע עלול לחשוף אותם לפגיעה.
בעל העסק צריך ללמוד לעומק את הוראות החוק והתקנות
ביום 25 ביולי 2019, פרסמה הרשות להגנת הפרטיות הודעה אשר במסגרתה מנתה שורה של דוגמאות לאירועי אבטחה המסווגים כחמורים: זיהוי פריצה חיצונית או פנימית לרשת הארגון ולגישה למאגרי המידע, זליגת מידע אישי מחוץ לארגון, גם במידה ופורסם באמצעי התקשורת, שיבוש או מחיקה של מידע אישי ללא הסבר או כתוצאה מחדירה למערכות הארגון שזוהתה בדיעבד, העברה של מידע אישי ממאגרי המידע של הארגון על ידי עובד אל מחוצה לו ללא אישור, גניבה או אובדן של ציוד מחשוב, התפרצות של וירוס כופר העלול לגרום לדלף של מידע אישי וחשיפה של מפתח הצפנה, אשר יכולה לאפשר גישה למידע אישי מוצפן. ואולם, חשוב לזכור כי אירועי אבטחה חמורים רלוונטיים למאגרי מידע ברמת אבטחה בינונית או גבוהה בלבד.
בנוסף, הרשות להגנת הפרטיות פרסמה בהודעה זו נתונים לגבי אירועי אבטחה חמורים שתועדו מאז שהתקנות נכנסו לתוקף. ניתוח אירועי האבטחה כאמור מצביע על אירועי תקיפה מסוגים שונים וביניהם טעויות אנוש שכללו הגדרות שגויות במערכות (9%), מסירת מידע לא מכוונת ללא הרשאה (8%) או אבדן מדיה ושימוש לרעה בפרטי גישה (7%). כך, שלצד חיזוק האמצעים לאבטחת המידע בכל ארגון או עסק, מומלץ כי יתקיימו הדרכות לבעלי הרשאות למאגרי מידע, וכי יחודדו במסגרתן נהלי האבטחה ונהלי השמירה על פרטיות המידע. בפעולות אלו יש כדי להקטין את הסיכון לאירוע אבטחה.
עו"ד אורית גונן (מימין) ועו"ד אלכסנדרה כהן צילומים: שגב צילום ואוראל כהן
עם זאת, לאור העובדה שאין אפשרות להבטיח הגנה מוחלטת גם כאשר ננקטים כל האמצעים הדרושים על פי התקנות כחלק מנהלי השגרה של העסק, יש חשיבות רבה לצעדים המיידיים הננקטים בעקבות אירוע אבטחה וכן דיווח לרשות הגנת הפרטיות בזמן כאשר מדובר באירוע אבטחה חמור.
אורית גונן היא עו"ד ושותפה במשרד גילת ברקת ושות' מקבוצת ריינהולד כהן
אלכסנדרה כהן היא עו"ד במשרד גילת ברקת ושות' מקבוצת ריינהולד כהן
אין במידע הכלול לעיל כדי להוות ייעוץ מקצועי מכל סוג שהוא, ובכלל זה ייעוץ משפטי, או תחליף לייעוץ כאמור, ואין להסתמך עליו בעת קבלתה של כל החלטה מכל סוג שהוא.
לקריאה נוספת בזירת הפטנטים והקניין הרוחני >>
