חיפוש

אבטחת מידע- מבט לעתיד הקרוב


באפריל 2016 קיבל האיחוד האירופי החלטה ייחודית לפיה "תקנות להגנת נתוני מידע" (GDPR) ייכנסו לתוקף ב- 28 מאי 2018 וזאת ללא כל צורך באישרור של המדינות החברות באיחוד (אשר בדרך כלל נדרשו לחוקק חוק במדינתם ההולם את הדירקטיבה) תקנות אלו יחליפו את הדירקטיבה האירופית לאבטחת מידע משנת 1995.


קהל היעד

החלטה זו רלבנטית לכל מי שאוסף נתוני מידע על בני אדם ויש ביניהם גם אזרחים של אחת מ-27 מדינות האיחוד האירופי. למעשה אין היום אתר או אפלקציה שלא אוספים מידע על אנשים. נשאלת השאלה האם הם אוספים נתונים לצרכי ניתוח סטטיסטי- דבר שאינו אסור על פי דין זה או שיש להם במאגר המידע שברשותם יכולת לזהות את הבנאדם הספיציפי ("נשוא המידע") שאליו שייכים הנתונים ("המידע האישי")- ידע שכזה נקרא "מידע מזהה".

תוכן הדירקטיבה

מטרת הדירקטיבה הינה להגן מפני "עיבוד" של "מידע אישי" של אזרחים אירופאיים ללא הסכמתם ובניגוד לתקנות לעיל.

הדירקטיבה מגדירה "מידע אישי" ככל מידע הקשור לאדם מזוהה או ניתן לזיהוי, במישרין או בעקיפין, בפרט בהתייחסות למספר זיהוי חד ערכי (כגון: מס' טלפון, מס' כרטיס אשראי, כתובת מגורים, מס' תעודת זהות \דרכון, או אפילו זיהוי רשת אלחוטית ביתית או מס' IP של הפלאפון יכולים לשמש כמידע מזהה לצורך העניין) בתוספת נתונים כבדבר זהותו הגופנית, הפיזיולוגית, הנפשית, הכלכלית, התרבותית או החברתית של אותו אדם מזוהה או ניתן לזיהוי.

"עיבוד" פירושו כל פעולה או קבוצה של פעולות המתבצעת על סמך נתונים אישיים, בין אם באמצעים אוטומטיים, כגון איסוף, רישום, ארגון, הצלבה, אחסון, התאמה או שינוי, אחזור, התייעצות, שימוש, גילוי באמצעות שידור, הפצה או בכל דרך אחרת, זמינות, יישור או שילוב, חסימה, מחיקה או הרס.


האיסור:

הדירקטיבה אוסרת על עיבוד מידע אישי אלמלא התמלאו תנאים מסויימים כגון:

  1. שקיפות – נשוא המידע מקבל הודעה המיידעת אותו בדבר סוג המידע שנאסף לגביו, וכי ניתנת לו יכולת לעיין במידע שנאסף, לערוך ולתקן, ואף למחוק מידע שנאסף. כלומר – בעלי אתרים המעוניים לאסוף מידע חייבים לפתח במערכת שלהם אפשרות לבצע את הפעולות שנמנו לעיל.

  2. תכלית לגיטימית – המידע שנאסף משרת מטרה לגיטימית שניתנה לגביה הסכמה, כגון קבלת השירות המבוקש ממי שאוסף את המידע (התחברות למערכת מסוימת), המידע חייב להיאסף מבחינה חוקית (אצל בנקים לדוגמא), או שהמידע נאסף כדי להגן על נשוא המידע (מנגנוני הזדהות לדוגמא)- יש להציג בפני נשוא המידע את המטרה לשמה נאסף המידע.

  3. מידתיות – המידע שנאסף חייב להיות הולם את המטרה. אין לאסוף מידע עודף או לא רלבנטי להסכמה לגביו ניתנה רשות האיסוף. לנשוא המידע יש זכות להימנע ממסרים שיווקים. כלומר יש לשים V נפרד להסכמה לקבלת מסרים שיווקים מלבד ה- V לטובת ההסכמה למדיניות הפרטיות.

  4. אבטחת מידע – מידע אישי רגיש כגון: דעות פוליטיות, דת, מידע בריאותי, נטייה מינית, גזע, השתייכויות לקבוצות מסוימות שנאסף על נשוא מידע מחייב נקיטת אמצעים מיוחדים ומסויימים על פי הוראות הרגולטור המקומי. בישראל הרשות למשפט טכנולוגיה ומידע (רמו"ט) כבר הוציאה מספר הנחיות בנושא.

  5. הסכמה – יש לקבל הסכמה מפורשת לאיסוף סוג המידע שנאסף ועבור התכלית לשמה הוא נאסף בשיטת OPT IN.

מי נושא באחריות?

הדירקטיבה מטילה אחריות על כל מי שיכול להגדיר איזה מידע נאסף הוא אחראי. לפיכך גם חברה שמזמינה שירתי עיבוד וגם חברה שמספקת שירותי עיבוד- יש ביכולתן לקבוע איזה מידע נאסף, ולכן שתיהן אחריות.


למה זה רלבנטי לישראל

אין היום חברה שלא אוספת מידע על משתמשים אירופאים אשר מהווים יעד שיווקי איכותי. רשויות הגנת הפרטיות האירופאיות יוכלו להגיש תביעה כנגד בני אדם או תאגידים שמקום מושבם מחוץ לאירופה. כך למשל פייסבוק עומדת בפני תביעה בסך 100 מיליון ליש"ט מאחר שהשתמשה במידע אישי שנאסף על ידי חברת וואטסאפ (שנרכשה על ידי פייסבוק) ללא עמידה בתקנות להגנת נתוני מידע.


כל מי שמתכנן לאסוף מידע , מומלץ שיבצע הליך Privacy by Design אשר עלול לחסוך בבוא היום סכומי עתק, הן בתביעות והן בשינוים עתידים במערכת.


כמו כן יש לשים לב לפסיקה ולהנחיות של האיחוד האירופי כמו לדוגמא ההנחיה בדבר מינוי קצין אבטחת מידע המחייבות כל גוף, ממשלתי או פרטי, האוסף מידע אישי בכמויות אדירות (טרם נקבו במספרים) למנות קצין אבטחת מידע וחובה לעשות זאת כאשר נאסף מידע אישי רגיש.


רמו"ט – הרגולטור הישראלי משתדל לקבוע סטנדרטים זהים לאלו של האיחוד האירופי ולא ירחק היום בו (לטעמי, עד מאי 2018 בו יתבקשו למנות גם בישראל קציני אבטחת מידע).

כבר החודש רמו"ט הוציאה הנחיה בדבר זכות העיון של כל אדם במידע אודותיו השמור במאגר מידע בין אם בוידאו או בהקלטת שמע.


דיני הפרטיות מחייבים כיום כל אזרח או תאגיד ישראלי למלא סדר פעולות מסוים לצורך הקמת מאגר ושמירה על פרטיות. לאור ההחמרה בדין האירופאי אנו צופים כי לא רק הרגולטור יחמיר עם החברות הישראליות אלא גם צפויה סדרה של תביעות של אנשים שפרטיותם נפגעה.



לפרטים נוספים וייעוץ בנושא אבטחת מידע ועמידה בתקן ישראלי ובתקנים הבינלאומיים ניתן לפנות אלי


104 צפיות0 תגובות

פוסטים אחרונים

הצג הכול