חוק הגנת הפרטיות – כדאי שתיקחו אותו אישית
גיא הוכמן – מנכ"ל Genie
בעיכוב קליל ואופייני שנמשך שנים, אושר בקריאה ראשונה בישראל התיקון לחוק הגנת הפרטיות. החוק מגדיר את נושא הגנת המידע, מבטל תקנות מיושנות ומקנה סמכויות משמעותיות יותר לרגולטור באופן שמתקרב לחוק הפרטיות של האיחוד האירופי (GDPR), אך עדיין לא מעניק לאזרחים שליטה מלאה בשימוש שנעשה במידע שלהם.
במאמר זה אעסוק בעקרונות החוק, במטרותיו ובהשפעותיו על הארגונים והעסקים שמשתמשים במאגרי מידע. היערכות נכונה תאפשר לכם לכבד את פרטיות הלקוחות שלכם ולחסוך מעצמכם קנסות כבדים, אישום פלילי ופגיעה במוניטין
הלקוחות שלכם חיים, קונים ומבלים באינטרנט וברשתות חברתיות ואתם, כמשווקים שיודעים למנף את התנהגותם הצרכנית, נהנים מביג דאטה יקר ערך, המאפשר לכם להכיר את הלקוחות שלכם ולמכור להם יותר. אבל לכל הטוב הזה יש מחיר: האפשרות לפגיעה בפרטיותם.
הגנת הפרטיות – חוק עם שיניים
"לא יפגע אדם בפרטיות של זולתו, ללא הסכמו". זו לשון חוק היסוד כבוד האדם וחירותו מ-1981 הקובע שפגיעה בפרטיות היא עבירה פלילית ועוולה אזרחית. בשנת 2017, אישרה הכנסת את תקנות הגנת הפרטיות, המפרטות את אופן יישום חובת אבטחת המידע, על כל גוף שמנהל או מעבד מאגר מידע אישי.
למעשה, תקנות הגנת הפרטיות הן מהפכה ברגולציית אבטחת המידע בישראל. הן מטילות עליכם, בעלי עסקים, חברות וארגונים שמחזיקים מאגרים המכילים מידע אישי, חובות ניהוליות, טכנולוגיות ומשפטיות בכל הנוגע לאופן בו אתם מאבטחים את המידע – וזאת בהתאם לרגישות המידע המצוי ברשותכם:
· רמה אבטחה למאגר ברשות יחיד.
· רמת אבטחה בסיסית למידע, כגון: שם מלא, טלפון, כתובת.
· רמת אבטחה בינונית – ת.ז, מידע רפואי, מידע פיננסי, הרגלי צריכה, דעות פוליטיות, אמונות ועוד.
· רמת אבטחה גבוהה – מאגרי מידע עסקיים וציבוריים שנועדו לאסוף מידע לצורך מסירתו לאחר, או שיש בהם מידע רגיש על 100,000 אנשים ומעלה, או שמספר מורשי הגישה למידע זה, עולה על 100.
לכל רמת אבטחה, החוק מגדיר תקנות המפרטות את אופן היישום שיבטיח את פרטיות בעלי הרשומות:
כתיבת נוהל אבטחת מידע, ביצוע בקרות פיזיות להגנה על המידע, כגון בקרת כניסה או מצלמות אבטחה, נהלי תגובה לאירועי אבטחת מידע, מיפוי מערכות המחשוב המחוברות למאגרי המידע, אופן ניהול אבטחת המידע ועוד.
לא עומדים בדרישות החוק? תגלו שהנשיכה שלו כואבת.
אכיפת חוק הגנת הפרטיות כבר מורגשת בשטח ואנשי הרשות להגנת הפרטיות לא פראיירים… לרשות יכולות אכיפה מנהלית בכל מגזרי המשק וסמכות לחקור חקירות פליליות, עד כדי הגשת כתבי אישום.
לכן, אם ברצונכם להימנע מקנסות כבדים ומרישום פלילי, היערכו עוד היום לשמירת פרטיות לקוחותיכם. צוותי הגנת הפרטיות שלנו ב-Genie שכוללים מנהלי אבטחת מידע עתירי ניסיון ויועצים משפטיים, ילוו אתכם בתכנון ובהטמעת הפתרונות להגנת הפרטיות, בתהליך מובנה הכולל 5 שלבים – עד שתעמדו בדרישות החוק:
1. מיפוי מאגרי המידע
מיפוי כל מערכות המחשוב והמאגרים שנמצאים ברשות הארגון ומכילים מידע רגיש אליו מתייחס חוק הגנת הפרטיות: מאגרי לקוחות, לידים, עובדים, ספקים ועוד (כן, גם קובץ אקסל תמים בלפטופ של ציפי מהמכירות, עלול לסבך אתכם…).
2. בדיקת רמת אבטחת המידע
זיהוי רמת אבטחת המידע הנדרשת במאגרי המידע הרלוונטיים.
3. סקר פערים
איתור הפערים בין המצוי לרצוי במערכות אבטחת המידע בארגון.
4. יישום והטמעה
כתיבת נוהל להגנת המידע ויישום כלי אבטחת מידע לעמידה בדרישות חוק הגנת הפרטיות.
5. תיקיית ניהול
הכנת תיקיית ניהול לתגובה על אירועי מידע ולהצגת מערך הגנת המידע בביקורת פתע
של הרשות להגנת הפרטיות.
בהצלחה!
גיא הוכמן – מנכ"ל Genie