מאגרי המידע בישראל – מניעת הפגיעה בפרטיות

לפני מספר ימים הופיעה הידיעה הבאה באחד מאתרי החדשות – "על פי דו"ח השלטון המקומי שפורסם היום (ג'), הרשויות המקומיות בישראל חשופות לפשעי סייבר, שעלולים להביא לפגיעה רחבה בצנעת הפרט והזכות לפרטיות של התושבים שמסרו את פרטיהם האישיים למועצות ולעיריות. ברשויות המקומיות ישנם מאגרי מידע רבים, בין השאר בתחומי משאבי אנוש, רווחה, חינוך, רישוי עסקים, ארנונה וגבייה, שלא נרשמו אצל רשם מאגרי המידע".

הידיעה הזו פותחת שוב את אחת משאלות היסוד המובילות את העיסוק בהגנה על הפרטיות בישראל: מה בין הזכות לפרטיות לבין ההגנה על המידע האגור במאגרי המידע הממוחשבים? בצל תקנות הגנת הפרטיות האירופיות, הקרויות גם GDPR (ר"ת General Data Protection Regulation), אשר קובעות סטנדרטים מחמירים להגנה על מידע אישי של אזרחים אירופאים המוחזק בידי חברות מסחריות, גם ישראל הולכת ומחדדת את הטיפול בהגנה על הפרטיות במאגרי מידע.

מהו מידע אישי?

במאי 2018 הרשות להגנת הפרטיות תחל לאכוף את התקנות החדשות, תקנות הגנת הפרטיות (אבטחת מידע), השמות למטרה את ההגנה על המידע האישי והפרטי של הציבור אשר נאגר בבסיסי הנתונים בארגונים השונים. תקנות אלו מפרטות את עקרונות אבטחת המידע של מאגרי המידע בהתבסס על תקני אבטחת מידע מקובלים בעולם, והן מותאמות לשינויים והתפתחויות טכנולוגיות שחלו ביחס למאגרי מידע ממוכנים.

על מנת להתחיל ולהבין את החשיבות שבתקנות אלו, יש להבין את המושג שהוא כה שכיח בשימוש – "מידע אישי" (או "מידע פרטי"). מידע אישי הינם נתונים המתייחסים לאדם חי, שניתן לזהותו מנתונים אלה, או מנתונים אלה יחד עם מידע אחר המצוי בידי בעל הנתונים.

ואכן, כאשר מדובר במאגרי מידע המכילים מידע אישי, המחוקק מצא לנכון לסווג את המאגרים בארבע רמות אבטחה שונות, כאשר רמת האבטחה הנדרשת לכל אחת מהרמות, הולכת וגוברת בהתאם למספר קריטריונים. ארבע רמות האבטחה הינן:
● מאגר מידע המנוהל בידיי יחיד.
● מאגר שחלה עליו רמת אבטחה בסיסית.
● מאגר שחלה עליו רמת אבטחה בינונית.
● ומאגר שחלה עליו רמת אבטחה גבוהה.

הקריטריונים אשר באמצעותם נקבעת רמת האבטחה של המאגר הינם נגזרת של תוכן המידע במאגר, היקפו (כמות הרשומות) ומידת הנגישות של אנשים אל המידע שבו. לשם בדיקת רמת האבטחה הנדרשת, יש לערוך מיפוי כולל של מאגר הנתונים, כולל סוג הנתונים המוחזקים בו, המקומות בהם מוחזקים הנתונים ודרכי הנגישות למידע.

להתכונן מראש לכניסת התקנות לתוקף

ברגע שהשלב הראשון של סיווג המאגר מסתיים, יכול הארגון בעצם לעבור לשלב השני והוא – הבנת החובות המוטלות עליו בהתאם לרמת האבטחה הנדרשת ויישומן. בחובות אלו נכללים החובה למנות עובד בכיר, שאינו הממונה על אבטחת המידע, לתפקיד "מנהל מאגר המידע"; הכנת נוהל אבטחת מידע ותוכנית בקרה שוטפת לעמידה בדרישות התקנות; מגבלות על העברת מידע בין מדינות; חובות בנוגע לאבטחה פיזית ולוגית של המאגרים, לרבות הפרדה בין מחשבים עם גישה למאגר למחשבים חסרי גישה, התקנת אמצעי הגנה מתאימים תוך שימוש בשיטות הצפנה מקובלות; קביעת נהלי אבטחה ביחס להרשאות גישה למאגר; עריכת ניהול סיכונים וקביעת דרכי התמודדות בזמן אירוע אבטחה; חובת מיון והדרכת עובדים; תיעוד אירועים עם חשש להדלפת מידע; קביעת נוהל התקשרות עם גורמים חיצוניים לקבלת שירותים הכרוכים בגישה למאגר; נקיטת אמצעי בקרה ופיקוח ועוד.

חשוב לציין, כי תקנות הגנת הפרטיות מטילות את האחריות לעמוד בהן על בעל מאגר המידע (קרי, גוף ציבורי או פרטי שקיבל מנושאי המידע נתונים ומבצע בהם פעולת עיבוד), על מנהל המאגר (מנכ"ל או נושא משרה אחר שהסמיך המנכ"ל), וכן על מחזיק המאגר (מי שברשותו מאגר מידע דרך קבע, והוא רשאי לעשות בו שימוש עבור בעל המאגר).

ככל שמדובר במאגר גדול יותר (מבחינת היקף הנתונים או מורשי הגישה) ובעל נתונים רגישים יותר, החובות המוטלות על בעליו, מחזיקיו ומנהליו בנושא אבטחת המידע משמעותיות יותר.

אנו ממליצות לבעלי המאגרים, למחזיקיהם ולמנהליהם, להתכונן מראש לכניסת התקנות לתוקף, לדאוג למיפוי המאגר ולנקיטת כל הצעדים הנדרשים להגנה על המידע האישי הכלול בו.

הכותבות הינן אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי, ועו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.