הרשות להגנת הפרטיות: מחזיק מידע מוצפן כפוף להוראות החוק

חברה המספקת שירותי אחסון או גיבוי של מאגר מידע נחשבת כ"מחזיקה" במאגר המידע, גם אם תוכן המידע מוצפן והמפתח אינו מצוי בידיה אלא בידי בעל המאגר. כפועל יוצא מכך, חלות עליה כלל החובות לפי החוק והתקנות החלות על מחזיק מאגר מידע. כך גורסת הרשות להגנת הפרטיות בדו"ח פיקוח רוחב בקרב מגזר חברות אחסון ועיבוד מאגרי מידע שפורסם בתחילת השבוע (law.co.il מעיר שהגדרת "מחזיק" בחוק כוללת אפשרות להשתמש במידע ואילו אם הנתונים מוצפנים והמפתח אינו בידי חברת האיחסון היא אינה יכולה להשתמש בו).

"ניכר כי קיימת אי בהירות באשר להיקף תחולת החוק והתקנות על כלל הגופים המשתייכים למגזר זה", קובעת הרשות. כתוצאה מכך "אין עמידה מספקת בהוראות החוק".

במסגרת הליך הפיקוח הרשות פנתה ל-36 גופים המנהלים שירותי אחסון ועיבוד מאגרי מידע בדרישה למילוי שאלוני ביקורת. חברות המספקות שירותי אחסון ועיבוד מידע נחשב לבעל סיכון מוגבר לפגיעה בפרטיות שכן מדובר בחברות אשר לרוב מחזיקות במאגרי מידע רבים שמכילים מידע רב, לרבות מידע אישי רגיש.

בין הממצאים –

  • ליקויים בביצוע סקר סיכונים ומבחני חדירה בקרב חברות שהן בגדר בעלות מאגר מידע ברמת אבטחה גבוהה וכן ליקויים בכל הנוגע לחובות החלות על החברות כמי שמספקות שירותי מיקור חוץ.
  • 71% מהגופים עמדו באופן חלקי/לא עמדו כלל בהוראות החוק בנוגע לעיבוד מידע אישי במיקור חוץ, ב-53% מהם רמת העמידה הייתה בינונית וב- 18% מהגופים נמצאה רמת עמידה נמוכה.
  • במרבית הגופים (69%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. עם זאת, אצל כשליש מהגופים (31%), נמצאה רמת עמידה בינונית ומטה . למשל, נמצאו גופים אשר מינו בעלי תפקידים ללא כתב מינוי ועדכון בפנקס מאגרי המידע כנדרש בחוק.

הדו"ח כולל הבהרות והמלצות לגופים הנוגעים בדבר. בין השאר:

  • בקרה ארגונית וממשל תאגידי. הומלץ לחברות המגזר לוודא רישום של כלל מאגרי המידע שבבעלותם ולוודא כי קיימת התאמה בין זהות מנהל המאגר במסמכי החברה לבין פנקס מאגרי המידע. 
  •  ניהול מאגרי מידע.
    • הרשות מבהירה לגופים מחזיקי המידע ש(גם)הם נדרשים לקבל הסכמה של נושא המידע לצורך שמירת פרטיו במערכות.
    • בכל הנוגע לפניות בדיוור ישיר, על הגופים להקפיד לציין כדרישות החוק כי הפניה היא בדיוור ישיר, את זהותו ומענו של בעל מאגר המידע, מקור המידע, זכותו של מקבל הפניה להימחק מן המאגר המיועד לדיוור ישיר ועוד.
    • גופים המחזיקים ברשותם חמישה מאגרי מידע לפחות של בעלים שונים, נדרשים למסור לרשם, מדי שנה, רשימה של מאגרי המידע שברשותם בציון שמות בעלי המאגרים. 
  • אבטחת מידע. מומלץ לגופים, בין היתר, לוודא כי קיימים אצלם נהלי אבטחת מידע הכוללים את כל הנושאים המפורטים בתקנות הגנת הפרטיות (אבטחת מידע), לרבות אבטחה פיסית, הרשאות גישה ואופן התמודדות עם אירועי אבטחה.
  •  שירותי מיקור חוץ. לגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע הומלץ, בין היתר, לבחון עוד בטרם ההתקשרות את סיכוני אבטחת המידע הכרוכים בהתקשרות. בנוסף, יש לוודא עריכת הסכם מול כל גורם חיצוני שמחזיק במאגר, בו ייקבעו במפורש החובות והזכויות של החברה החיצונית במידע. עוד הומלץ לגופים לנקוט אמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות. 

הרשות הודיעה במסמך שבכוונתה להמשיך לפעול לאכיפת המדיניות בקרב מחזיקי מאגרי מידע אישי, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים.