מאגר מידע – איך עומדים בהוראות החוק

בכל מה שנוגע למאגרי מידע, רבות הן החברות שלא מודעות בכלל לכך שהן עוברות על החוק. החל משנת 2018 נכנסו לתוקף תקנות שמקשיחות את הדרישות לאבטחת מידע מכל מי שהוא בעל מאגר מידע. המשמעות של זה היא שחברות, ארגונים, ונושאי משרה שמחזיקים בכמויות מידע עצומות על אנשים, חשופים לקנסות מנהליים, לתביעות אזרחיות ואפילו לסנקציות פליליות אם לא יעמדו בהוראות. חשוב לדעת ולהכיר את הוראות החוק והתקנות, להבין מה נחשב למאגר מידע, ובאילו דרישות צריך לעמוד.

 

מהו מאגר מידע?

סעיף 7 בחוק להגנת הפרטיות קובע שמאגר מידע זהו אוסף של נתוני מידע אשר מוחזק באמצעי מגנטי או אופטי ומיועד לעיבוד ממוחשב. להגדרה זו 2 חריגים:

  1. אם מדובר באוסף לשימוש אישי אשר איננו למטרות עסק
  2. אם מדובר באוסף אשר כולל רק שם, מען, ודרך התקשרות, שלבדו לא יוצר אפיון שיש בו פגיעה בפרטיות של בני אדם ששמותיהם כלולים בו, אך ורק אם לבעל האוסף או לתאגיד שבשליטתו אין אוסף נוסף.

לפי החוק המונח "מידע" מתייחס לנתונים על אישיותו של האדם, על מעמדו האישי, צנעת אישיותו, מצבו הבריאותי, מצבו הכלכלי, ההכשרה המקצועית שלו, דעותיו ואמונותיו.

 

מי מחויב לשמור על החוקים הנוגעים למאגרי מידע?

לפי חוק הגנת פרטיות, מנהל מאגר מידע הוא מנהל פעיל של גוף, אשר בבעלות שלו או בהחזקתו יש מאגר מידע, או אדם שמנהל כזה הסמיך אותו לעשות זאת. החוק מציין שכל אדם שעונה להגדרה הזו של מנהל מידע ו/או מחזיק מידע באופן מגנטי או אופטי (כלומר – באופן אלקטרוני), מחוייב לעמוד בהוראות החוק בדבר מאגרי מידע. אם לא יעשה זאת – יהיה חשוף לקנסות מנהליות, תביעות בנזיקין או סנקציות פליליות.

ניתן להבין מכך שלמשל רשויות שלטוניות, כמו עיריות או מועצות, מחויבות לעמוד בהוראות חוק הגנת הפרטיות בנוגע למאגר מידע מכיוון שהן מחזיקות במידע רב על אודות התושבים שלהן. יש עוד המון דוגמאות לכך – כל חברה אשר מחזיקה אצלה פרטים אישיים של הלקוחות שלה, כמו תעודת זהות, כתובת, פרטי כרטיס אשראי וכן הלאה, גם היא מחויבת לעמוד בהוראות. גם כל ארגון שמשתמש במידע על אנשים למטרות העיסוק שלו, נחשב למנהל מאגר מידע.

בימינו, חברות מתחרות אחת בשניה על מנת להשיג כמה שיותר מידע על אנשים. בעוד שבעבר המידע שימש רק כדי שיהיו נתונים מסודרים על הלקוחות או המשתמשים, היום רבים הם העסקים, החברות והארגונים שמנסים להגיע לBig Data כדי לדעת כמה שיותר על הלקוחות והציבור. את המידע הזה הם מעבדים ומשתמשים בו על מנת לשווק תוכן ולמכור מוצרים בהתאם להעדפות של האנשים, שידועות להם בזכות המידע הרב שהם מחזיקים. העניין הוא – שהחוק מגביל אותם.

 

חובת רישום מאגרי מידע

אז לאחר שגוף מסוים מבין שהמידע שיש לו על אנשים נחשב למאגר מידע לפי הוראות חוק הגנת פרטיות, הוא צריך לדעת שבעקבות זה מגיעות לא מעט חובות. החובה הראשונה היא לרשום את המאגר בפנקס מאגרי המידע – זהו פנקס רישום שמנוהל על ידי הרשות להגנת פרטיות.

 

לא כל מאגר מידע צריך להיות רשום. לפי הוראות החוק בעל מאגר המידע חייב לרשום אותו רק אם לפחות אחת מהחלופות הבאות מתקיימת:

  1. יש במאגר המידע המדובר מידע על מעל 10,000 אנשים
  2. יש במאגר המידע המדובר מידע רגיש על אנשים – מידע רגיש כולל נתונים על האישיות של האנשים, מעמדם האישי, צנעת אישיותם, מצבם הבריאותי, מצבם הכלכלי, הכשרה מקצועית, דעות, אמונות וכן הלאה.
  3. זהו מאגר מידע של גוף ציבורי
  4. זהו מאגר מידע המשמש לשירותי דיוור ישיר

 

אילו עוד כללים חלים על מאגרי מידע

בשנת 2018 נכנסו לתוקף תקנות חדשות שקבעו מספר כללים שמפרטים הוראות ואמצעי אבטחה שבעלים או מחזיקים של מאגרי מידע צריכים לפעול לפיהם. מטרת הכללים הללו היא לנסות להקטין ככל הניתן את החשיפה שיש למידע אישי ורגיש של אנשים, ולמנוע ממנו לזלוג לגורמים חיצוניים שלא מורשים לראות אותו.

 

בין הדרישות שמצוינות בתקנות ניתן למצוא את החובות הבאות:

  • הכנה של "מסמך הגדרות המאגר" שמגדיר את מאגר המידע
  • מינוי של ממונה על אבטחת המידע של מאגר המידע
  • בנייה של נוהלי אבטחה למאגר המידע
  • מיפוי של המערכות השונות במאגר המידע ועריכת סקר סיכונים
  • התקנה של מערכות אבטחה פיזיות וכן סביבתיות, וחובת תיעוד של השימוש במאגר המידע
  • יש לדאוג לניהול כוח האדם לו יש גישה למאגר המידע על פי רמות האבטחה הנדרשות
  • יש לנהל את הרשאות הגישה למאגר המידע כך שתהיה הרשאה רק למי שנדרש לעשות שימוש במאגר לצורך מילוי תפקידו
  • יש לתעד ולדווח על אירועי אבטחה
  • הגבלה של השימוש בהתקנים ניידים בארגון
  • עריכת ביקורות תקופתיות בנוגע לרמת אבטחתם של מאגר המידע

 

ההבדל בין רמות האבטחה בהתאם לסוג המאגר

התקנות החדשות שנוגעות להגנת פרטיות, אמנם מתייחסות לכל הגורמים במשק הישראלי שמנהלים או מחזיקים במאגר מידע, אך דורשות דרישות שונות בהתאם לסוג מאגר המידע. יש הגדרות ל – 4 סוגים של מאגרי מידע שמוגדרים לפי אופי השימוש שעושים במידע, מי הגורם שמחזיק במידע, מהו היקף המידע ומהו האופי של המידע עצמו.

 

4 הסוגים של מאגרי המידע הקיימים:

  1. מאגרי מידע המנוהלים על ידי יחיד: אלו מאגרים שמי שמנהל אותם הוא אדם יחיד, פרטי, או תאגיד שנמצא בבעלות של אדם יחיד. הרעיון הוא שפרט לאדם הזה, השימוש במאגר המידע יכול להיות חשוף רק לעוד 2 אנשים נוספים מקסימום. בנוסף, צריך שיתקיימו גם התנאים הללו: המאגר לא מכיל מידע על מעל – 10,000 אנשים; המאגר לא מכיל מידע אשר מוגן בסודיות לפי דין או לפי כללי אתיקה מקצועית; מטרתו של המאגר היא לא דיוור ישיר. מאגר שעומד בכל התנאים הללו נחשב למאגר מידע שמנוהל בידי יחיד.
  2. מאגרי מידע שחלה עליהם רמת האבטחה הבסיסית: בקטגוריה זו נמצאים מאגרי מידע אשר לא מנוהלים על ידי יחיד, אבל יחד עם זאת הם לא עונים עדיין להגדרה של מאגר מידע שדורש רמת אבטחה גבוהה או בינונית.
  3. מאגרי מידע שחלה עליהם רמת אבטחה בינונית: קבוצה זו מכילה מאגרי מידע שהמטרה שלהם היא איסוף מידע לצורך של דיוור ישיר, וכן מאגרי מידע אשר כוללים מידע הנוגע לצנעת חייו האישיים של האדם (כפי שהסברנו קודם – מידע רפואי, כלכלי, אמונות וכן הלאה).
  4. מאגרי מידע שחלה עליהם רמת אבטחה גבוהה: קבוצה זו כוללת את מאגרי המידע אשר מכילים מידע על יותר מ – 100,000 אנשים או לחלופין שמספרם של המורשים בגישה אליהם גבוה מ – 100 איש.

 

כפי שניתן להבין, ככל שמתקדמים בקטגוריה של מאגר המידע – כך רמת האבטחה הנדרשת היא גבוהה יותר, והמשמעות של זה היא שיש על בעלי המאגר יותר חובות שהוא צריך לפעול לפיהן כדי לעמוד בכל הוראות החוק והתקנות שמנסות להגן ככל הניתן על האנשים מהפצת המידע עליהם באופן לא חוקי.

 

מה קורה למי שלא עומד בהוראות החוק והתקנות

אם מחזיק או בעלים של מאגר מידע לא עומד בדרישות שקובעות התקנות ושמציין החוק בדבר מאגרי מידע, הוא עובר על עבירה פלילית. העונש המקסימלי עלול להיות מאסר עד שנה. בנוסף מדובר על עוולה לפי פקודת הנזיקין, שחושפת את בעל המאגר לסיכון של תביעה בגין נזקים שנגרמו לאנשים שהמידע שנאגר התייחס אליהם. יתר על כן, הפרה כזו עלולה גם לגרור קנסות מנהליים מטעמה של הרשות להגנת פרטיות.

 

לסיכום

אם כך, ככל שיש לכם מאגר מידע שעונה להגדרה בחוק, חשוב מאד להכיר את הסעיפים והתקנות בנושא ולא לזלזל בהן. ככל שמאגר המידע שברשותכם הוא מאגר שחובת האבטחה החלה עליו היא גבוהה יותר, הדרישות של המחוקק בנוגע לאבטחה שלו יהיו גבוהות יותר. צריך לזכור שהחובות הללו יוצרות אחריות רחבה מאד על הדמויות הראשיות שקשורות למאגר המידע – בעל מאגר המידע, מנהל המאגר, או מחזיק המאגר – לפי הנסיבות.

לאחר שנכנסו לתוקף התקנות החדשות, האכיפה בתחום נהייתה קשוחה יותר, ולכן מומלץ מאד לכל גוף, ארגון וחברה לעשות בדיקה ומיפוי של כל מידע שהוא מחזיק בו, ולראות אם זהו מידע אישי שמחייב ברישום וכן חייב לעמוד בדרישות החוק והתקנות.

עוד כתבות מומלצות בנושא צרכנות

לקבלת שיחת ייעוץ ממומחה

השאירו פרטים ומומחה יחזור אליכם בהקדם

הרשמו לניוזלטר שלנו

שתפו את המאמר בקליק

שיתוף ב facebook
שיתוף ב google
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב telegram
שיתוף ב linkedin

מה דעתכם ?