התגלו ליקויים ממשיים הפוגעים בפרטיותכם

לאור ליקויים רוחביים שהתגלו בקרב החברות המספקות שירותי אחסון מאגרי מידע אישי, הרשות להגנת הפרטיות פרסמה הבהרות והנחיות לכלל הגופים הפועלים במגזר זה באשר לצעדים שעליהם לנקוט בכדי לוודא עמידתם המיטבית בהוראות החוק והתקנות

התגלו ליקויים ממשיים הפוגעים בפרטיותכם אילוסטרציה

משרד המשפטים מפרסם היום, יום שני, 2 בנובמבר 2020, את דו"ח ממצאי פיקוח הרוחב שערכה הרשות להגנת הפרטיות בקרב גופים וחברות המספקים שירותים של אחסון ועיבוד מאגרי מידע אישי, זאת במסגרת סדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו. מגזר החברות אשר מספקות שירותי אחסון ועיבוד מידע נחשב לבעל סיכון מוגבר לפגיעה בפרטיות, שכן מדובר בחברות אשר לרוב מחזיקות במאגרי מידע רבים שמכילים מידע רב, לרבות מידע רגיש אודות הציבור.

לפי חוק הגנת הפרטיות, "מחזיק" לעניין מאגר מידע, הוא "מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש". החברות שנבדקו במסגרת הליך הפיקוח מחזיקות עבור "בעלי מאגרי המידע", שמבקשים להשתמש בשירותיהן כבעלות היכולות הטכנולוגיות לכך. ניהול מידע של מספר רב של לקוחות, על בסיס אותה הפלטפורמה, היקפי המידע, ומספרם הרב של האנשים עליהם מוחזק המידע דורשים הקפדה מיוחדת על עמידה בהוראות החוק והתקנות.

להלן עיקרי הממצאים בתחומים השונים שנבדקו:

במרבית הגופים שנבדקו נמצאה רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, אך נמצאו ליקויים בקיום הוראות תקנות הגנת הפרטיות (אבטחת מידע), בחלקם אף חריגות משמעותיות. הליקויים הבולטים שנמצאו כללו ליקויים בביצוע סקר סיכונים ומבחני חדירה בקרב חברות שהן בגדר בעלות מאגר מידע ברמת אבטחה גבוהה וכן ליקויים בכל הנוגע לחובות החלות על החברות כמי שמספקות שירותי מיקור חוץ, כפי שקבוע בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ובהנחיית רשם מאגרי המידע מס' 2/2011 בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.

· ליקוי מרכזי במגזר זה מתייחס לעיבוד מידע אישי במיקור חוץ, ומהדו"ח עולה כי 71% מהגופים עמדו באופן חלקי/לא עמדו כלל בהוראות החוק, ב-53% מהם רמת העמידה הייתה בינונית וב- 18% מהגופים נמצאה רמת עמידה נמוכה.

· במרבית הגופים (69%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. עם זאת, אצל כשליש מהגופים (31%), נמצאה רמת עמידה בינונית ומטה באופן ניהול הבקרה הארגונית והממשל התאגידי. כך למשל, נמצאו גופים אשר מינו בעלי תפקידים ללא כתב מינוי ועדכון בפנקס מאגרי המידע כנדרש בחוק.

· במסגרת הליך פיקוח הרוחב נמצאו בעלי מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אשר נדרשו לבצע ביקורות אבטחת מידע או מבדקי חדירות אשר לא בוצעו כנדרש או לא בוצעו כלל.

· נמצאו גופים אשר לא ניהלו תיעוד עבור הדרכות ריענון לעובדים בעלי גישה למאגרי המידע ו/או למערכותיהם.

נבהיר כי, כחלק מפעילות הליך פיקוח הרוחב פנתה הרשות בדרישה למילוי שאלוני ביקורת ל-36 גופים המספקים שירותים של אחסון ועיבוד מאגרי מידע. הליך פיקוח הרוחב כלל בחינה של חברות המספקות שירותי תוכנה או פלטפורמה, פיתוח אפליקציות וממשקים לניהול מידע אישי עבור בעלי מאגרי מידע לרבות אירוח אתרי אינטרנט. חלק מהחברות שנבדקו במסגרת ההליך מספקות שירותי תשתית ואחסון מידע.

שאלוני הביקורת שנשלחו לחברות בחנו ארבעה קריטריונים עיקריים בתחום הגנת הפרטיות ובהם בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ. הציונים ניתנו בהתאם לרמת עמידתם של הגופים בהוראות חוק הגנת הפרטיות והתקנות מכוחו.

במסגרת הבהרות וההנחיות שניתנו לכלל הגופים, הבהירה הרשות, כי בכל הנוגע לאבטחת המידע, על הגופים לוודא קיומם של נהלי אבטחת מידע וכן עריכת בחינה של התוקף שלהם מעת לעת. כמו כן, יש להקפיד כי אפשרות הגישה למאגרי המידע תהיה נתונה רק למי שהורשו לכך בהסכם בכתב בינם לבין בעל המאגר. כן עליהם למנות ממונה אבטחת מידע ככל שברשותם חמישה מאגרי מידע או יותר ולהעביר לרשות להגנת הפרטיות מידי שנה רשימה של מאגרי המידע שברשותם. הגופים אף נדרשים לקבוע תכנית עבודה שנתית ולערוך אחת ל-24 חודשים ביקורת פנימית או חיצונית בנושא אבטחת מידע, לוודא כי במערכות החשופות לרשת האינטרנט מותקנים אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזקים למחשבי הגופים. בנוסף, עליהם לוודא שנערך תיעוד במקרים של אירועי אבטחת מידע.

בכל הנוגע להסתייעות בשירותי מיקור חוץ, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון עוד טרם ההתקשרות את סיכוני אבטחת המידע הכרוכים בה, לוודא שנערך הסכם מול כל גורם חיצוני שעתיד להחזיק במאגר המידע שיתייחס לחובת הגורמים החיצוניים לדווח לבעלי מאגרי המידע אחת לשנה לפחות על אופן עמידתו בחובות החוק והתקנות ולהודיע לו בכל מקרה של אירוע אבטחת מידע.

בהתייחס לניהול מאגרי מידע, הונחו הגופים לבצע מיפוי של כלל מאגרי המידע הקיימים אצלם ועל בסיסו לרשום מאגרי מידע שאינם רשומים או לעדכן מאגרי מידע קיימים.

עמדת הרשות להגנת הפרטיות היא, שחברה שמספקת לגורם אחר שירותים של אחסון או גיבוי של מידע, לרבות בדרך של העמדת שרתים, נחשבת כ"מחזיקה" של המידע, גם אם תוכן המידע מוצפן והמפתח אינו מצוי בידיה אלא בידי בעל המאגר. מכאן, שעל החברות הפועלות במגזר זה ומעניקות שירותי אחסון או גיבוי, לרבות בדרך של העמדת שרתים, חלות כלל החובות לפי החוק והתקנות החלות על "מחזיק" במאגר מידע. במסגרת זו, מחויבות החברות לפעול בשקיפות אל מול הלקוחות בכל הנוגע לזכויותיהם. כמו כן, קיימות גם הוראות מיוחדות הרלבנטיות לחברות מסוג זה ובהן החובה למנות ממונה על אבטחת מידע, החובה לדווח לרשות להגנת הפרטיות מדי שנה על המאגרים הנמצאים ברשותן וכן החובה לנהל את ההרשאות למאגרי המידע שברשותן.

עו"ד רביד פטל, הממונה על מערך פיקוחי הרוחב ברשות: "החזקה של מידע אישי רב אודות כל אחד מאיתנו על ידי חברות המספקות שירותי אחסון ועיבוד מאגרי מידע, טומן בחובו פוטנציאל לפגיעה בפרטיות ומחייב הקפדה יתירה מצד החברות על קיום הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע ופעילות בשקיפות אל מול הלקוחות".

בעקבות ממצאי הדו"ח שערכה הרשות המצביעים על ליקויים שנתגלו במגזר זה, מבהירה הרשות כי חברה המספקת לאחר שירותי אחסון או גיבוי של מאגר מידע גם אם בדרך של העמדת שרתים, נחשבת "מחזיקה" במאגר המידע וחלות עליה כל החובות לפי החוק והתקנות החלות על מחזיק מאגר מידע. הצפנת המידע המאוחסן והצפנת אופן העברתו אף שהינה חשובה מבחינת אבטחת המידע, אינה משחררת את המחזיק מאחריותו על פי הוראות החוק והתקנות.

בכוונת הרשות להמשיך ולפעול לשם אכיפת מדיניותה בקרב מגזר זה באמצעות עריכת פיקוחי רוחב לרבות ביצוע ביקורות חוזרות בגופים שהונחו לתקן ליקויים לשם הגברת העמידה שלהם בהוראות החוק והתקנות וחיזוק ההגנה על זכות הציבור לפרטיות.

אמש: פיגוע ירי בקבר יוסף
אמש: פלסטיני גנב רכב ופצע 4 שוטרים
הלילה: נעצרו 13 מבוקשים ברחבי יהודה ושומרון
ירושלים: מחבל ניסה לדקור שוטר ונמלט להר הבית
תחת מתקפת אש כבדה: נעצרו 17 מבוקשים
ביידן לא מחכה: לפיד רמז שיקשיח עמדות מול איראן
עצוב: פעוטה נחנקה ונפטרה בשכונה החרדית
סיכום חדשות השבת: איראן הודיעה על חידוש שיחות הגרעין
ריססה גרפיטי על בית כנסת ונעצרה
ניצול הלינץ' תחת חקירות קשות ומניעת שינה: "אודה בשב"כ ברצח היטלר"