פרטיות המידע בעידן ה-OECD

מאת יצחק שרון, CISSP, מומחה אבטחת מידע, מרצה מטעם חברת GSECTRA בישראל

ישראל הצטרפה לאחרונה כשותפה בארגון לשיתוף פעולה ופיתוח כלכלי – ארגון ה-OECD, אשר מטרתו לפתור בעיות בנושאי כלכלה, חברה וממשל בכלכלות מפותחות בעידן הגלובליזציה. הארגון אינו גוף משפטי ואינו מבצע חקיקה אלה קובע קווים מנחים (guidelines) בלבד ומבסס אמת מידה בין-לאומית אחידה. מאמר זה מתמקד בנושא הגנת הפרטיות ומתאר בקצרה אלו עקרונות גובשו וכיצד הם חלים על המדינה ועל ארגונים במשק.

העקרונות:

1.    מידע פרטי חייב להיות מוגבל בהקיפו, חייב להיאסף באמצעים חוקיים והוגנים, בידיעה ובהסכמה של האדם.

2.    מידע פרטי חייב להיות רלוונטי למטרות שלשמו הוא נאסף, חייב להיות מדויק, שלם ועדכני. לדוגמא איסוף מידע על אדם הנוגע למצבו הרפואי ע"י חברת תקשורת אינו תקין.

3.    המטרה שלשמה נאסף המידע צריכה להיות מוגדרת היטב והשימוש במידע חייב להיות תואם מטרה זו. במידה והמטרה שונתה יש לקבל את הסכמת האדם ולמחוק מידע לא רלוונטי.

4.    מידע פרטי אסור שייחשף, יינתן או יימכר לצד ג'. נכלל בהגדרה זו גם פרסום המידע או שמירתו בצורה רשלנית. מקרה בו המידע נשמר באופן רשלני יכול להוות עילה לתביעה. שימוש במידע למטרות שונות משלשמן הוא נאסף מותר רק במקרה שהחוק מתיר זאת או בהסכמת האדם.

5.    מחזיק המידע מחוייב להגן עליו באמצעות אמצעי הגנת מידע מתאימים (Safe Guards). אחזקת המידע באופן לא בטוח מוביל לסיכונים של איבוד המידע, חשיפתו ופגיעה באמינותו. הארגון חייב להציג ולהדגים כיצד הוא מגן  על המידע הן ברמת קביעת נהלים (Due care) והן ברמת מימוש הנהלים (Due diligence).

6.    מחזיק המידע חייב לאמץ מדיניות כללית של פתיחות אל מול האדם. האדם יכול לדעת על מטרות איסוף המידע, הימצאותו ואופן שימושו וכן לדעת את זהות הארגון ואת כתובתו. הארגון חייב לתחזק אמצעי תקשורת נוחים וזמינים לציבור.

7.    אדם זכאי לדעת האם הארגון מחזיק במידע כלשהו הנוגע לו, לדרוש לתקן מידע שגוי ואף לדרוש את מחיקתו. כמו כן, זכאי האדם לערער על סירוב הארגון לעשות כן.

8.    האחריות לעמוד בעקרונות שהוצגו מוטלת על הארגון.

מדינה החברה בארגון ה OECD מחוייבת לבצע חקיקה התואמת לעקרונות הנ"ל, לעודד חקיקה סקטוריאלית, לעודד אימוץ והכרה של הציבור בחקיקה, לוודא שאין אפלייה בין אוכלוסיות שונות ולאכוף ענישה. פעולות אלו משיתות על הארגונים במשק בעקיפין את עקרונות ה-OECD.

ספק רב אם כל הארגונים בישראל פועלים לפי עקרונות אלו, ככל שיחלוף הזמן יגבר עליהן הלחץ לעשות כן. מין הראוי שחברות אילו יבחנו, יבינו ויאמצו עקרונות אלו באופן עצמאי.

השתייכות ל-OECD מהווים התחלה טובה ומביאה להבנה והצבה של היעדים הרצויים, אך זוהי רק תחילת הדרך, המאמץ החוקתי חייב להימשך ולהשתכלל ואכיפה מתאימה חייבת להתבצע, בהחלט ניתן לאמר כי העתיד נראה חיובי.

המסלולים הבלעדיים הקרובים של GSECTRA ו-ISC לתואר הבכיר ביותר בעולם אבטחת המידע CISSP יפתחו ב-29 במאי 2011. ההרשמה נסגרת בימים אלו.

להשתתפות נא לפנות למוקד ההרשמה בטלפון 03-6443915 או בכתובת המייל הבאה.