בתקופה האחרונה נשמעים בתקשורת שלל דיווחים אודות עבירות שמתבצעות במרחב האינטרנטי על ידי קבוצות האקרים מסתוריות מכל רחבי העולם תוך ניצול פרצות אבטחה מסוגים שונים. במסגרת התקפות מאורגנות אלו הפורצים משיגים שליטה במידע האגור במאגרי המידע, מבקשים כופר עבור המידע ובמקרים רבים חושפים חלקים מהמידע או את כולו במרחב האינטרנטי הציבורי כאשר פוטנציאל הנזק לצד פעולותיהם הוא גדול מאוד.
בעת המודרנית שבה הרוב המוחלט של העסקים משתמשים ברשתות מחשבים ומאגרי מידע, הם נאלצים להתמודד עם אינספור סיכונים אשר מאיימים על שלמותם ואבטחתם של מאגרי המידע ומערכות המחשוב שלהם. על כן, עסקים רבים מחפשים פתרונות זמינים שיעניקו להם הגנה מפני מתקפות סייבר וגניבת מידע ממאגרי מידע שבבעלותם.
מהן החובות וההגבלות החלות על בעלים של מאגר מידע?
חוק הגנת הפרטיות (להלן: "החוק") מטיל שלל חובות והגבלות על בעלים של מאגר מידע כדי להגן על פרטיותם של בני אדם שמידע אודותיהם נמצא בו. לפי הוראות חוק הגנת הפרטיות, בעלים של מאגר מידע מחויב להשתמש במידע אך ורק לצורך המטרה המוצהרת אשר לשמה הוא הוקם.
מעבר לכך, ישנם סוגי מידע המחויב ברישום מאגר המידע כדוגמה אם מספר בני האדם שעליהם נמצא מידע במאגר עולה על 10,000, במאגר שמכיל מידע רגיש, במאגר שמכיל מידע שלא נמסר על ידי בני האדם כאמור, בהסכמתם או מטעמם, במאגר בבעלות גוף ציבורי או במאגר שמשמש לשירותי דיוור ישיר.
האם בעל מאגר מידע יהיה אחראי למידע שמאוחסן ומעובד על ידי צד שלישי?
על פי רוב, בעלים של מאגר מידע רשאי להסתייע בקבלן חיצוני לצורך אחסון המידע או עיבודו. עם זאת, גם בעל מאגר מידע שבוחר באפשרות של מיקור חוץ, יישא באחריות על פעולות שהקבלן ביצע ויידרש לבקרו, לפקח עליו ולוודא שהוא עומד בדרישות החוק.
מיקור חוץ למעשה מוציא מחוץ לעסק תהליכים ופעולות אשר מבוצעים באופן רגיל על ידי עובדי החברה או מנהליה. מטרת מיקור החוץ היא לייעל תהליכים, להוזיל עלויות ולאפשר לעובדים ולמנהלים להשקיע את רוב תשומת הלב והמיקוד בליבת העיסוק של החברה.
חשוב להבהיר כי גם בעת שימוש בשירותי מיקור חוץ, האחריות והחובות המוטלות על בעל המאגר, מנהל מאגר ומחזיק המאגר, ממשיכות לחול על כל אחד מהם וזאת כאילו ביצעו בעצמם את הפעילות שביצע הצד השלישי.
קווים מנחים להתנהלות מול צד שלישי שמחזיק במאגר מידע
בעל מאגר מידע אשר מעוניין להגן על מאגר המידע שלו ולהעביר את הטיפול בו לצד שלישי במיקור חוץ יצטרך להקפיד על מספר קווים מנחים כדי לצמצם את הסיכונים שאליהם הוא חשוף. בין היתר, בעלים של מאגר מידע יצטרך לבחון לפני ההתקשרות עם הצד השלישי את סיכוני אבטחת המידע שנלווים להתקשרות, לקבוע במפורש בחוזה מהו המידע שהצד השלישי יהיה רשאי לעבד, לציין מהן מערכות המאגר שהצד השלישי רשאי לגשת אליהן ולהגדיר את סוג הפעולות שהצד השלישי רשאי לבצע.
נוסף על כך, בעל המאגר יידרש לקבוע בהסכם התקשרות עם הצד השלישי מהו משך ההתקשרות, מהו אופן ביצוע החובות בתחום אבטחת המידע אשר הצד השלישי חייב בהן לפי החוק והתקנות. כמו כן, בעל מאגר המידע מחויב לנקוט באמצעי פיקוח ובקרה ביחס לעמידתו של הצד השלישי בהוראות ההסכם, החוק והתקנות.
מן העבר השני, במסגרת החובות שחלות על הצדדים להתקשרות כאמור, הצד השלישי מחויב לדווח פעם בשנה לבעל המאגר על ביצוע חובותיו וליידע את בעל המאגר במקרה שהתרחש אירוע אבטחה.
חשוב לציין כי, אי עמידה בדרישת החוק בכל הקשור לאופן שמירה על המידע שבבעלותך עלול לחשוף את העסק לסיכונים רבים כגון איבוד מידע, נזק ללקוחות וקנסות מנהלים מהרשות להגנת הפרטיות ועוד.
עמידה בדרישות החוק באמצעות עורך דין מיומן ומנוסה
ההמלצה לבעלי עסקים שרוצים להיות בטוחים שהמידע שבבעלותם מאוחסן ומאבטח בהתאם לדרישות החוק הן על ידם והן על ידי צד שלישי, היא לפנות בהקדם לעורך דין מקצועי, מיומן ומנוסה בתחום אבטחת המידע הגנת פרטיות והסייבר.
עורך הדין יערוך את כל הבחינות הנדרשות ביחס למאגרי המידע שבבעלות העסק, בהחזקתו או בניהולו של העסק כמו גם ביחס למאגרי מידע שהטיפול בהם הועבר לצד שלישי. בהמשך עורך הדין יעריך את הסיכונים הנשקפים לבעל עסק וימליץ לו על אסטרטגיית פעולה תוך הטמעת נהלים לצורך שינוי תרבותי במטרה לעמוד לדרישות החוק ובכך יאפשר לעסק התאמה מלאה לדרישות הדין בנושא אבטחת מידע והגנת הפרטיות.
חשוב להבהיר שע"פ החוק כל עסק ללא יוצא מן הכלל מחויב לעמוד בדרישות החוק שכן העסק ובעליו לרבות דירקטוריון עלולים להיות חשפים לקנסות מנהליים שניתנם על ידי הרשות להגנת הפרטיות ולהליכים פלילים.
עורך דין יניב חקימוביץ עוסק בתחום הגנת פרטיות אבטחת מידע, בעל ניסיון בתחום אבטחת המידע. הכתבה באדיבות האתר: din.co.il.
*לתשומת ליבך, המידע בעמוד זה אינו מהווה יעוץ מכל סוג או המלצה לנקיטת הליך או אי נקיטת הליך. כל המסתמך על המידע עושה זאת על אחריותו בלבד. נכונות המידע עלולה להשתנות מעת לעת.