< למאמרים

ממצאי דו"ח פיקוח רוחב מטעם הרשות להגנת הפרטיות בקרב מגזר חברות המספקות שירותים של אחסון ועיבוד מאגרי מידע אישי

02.11.20 | 11:51  

הרשות להגנת הפרטיות פרסמה היום (2.11.2020) דו"ח ממצאי פיקוח רוחב שנערך בקרב גופים וחברות המספקים שירותים של אחסון ועיבוד מאגרי מידע אישי. הדו"ח האמור מהווה חלק מסדרה של דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.

מגזר החברות אשר מספקות שירותי אחסון ועיבוד מידע נחשב מבחינת הרשות לבעל סיכון מוגבר לפגיעה בפרטיות שכן מדובר בחברות אשר לרוב מחזיקות במאגרי מידע רבים המכילים מידע רב, לרבות מידע רגיש אודות הציבור.

בהתאם לעמדת הרשות, גופים המספקים שירותי אחסון ועיבוד מידע, לרבות בדרך של העמדת שרתים, משמשים, למעשה, כ"מחזיקים" של המידע עבור "בעלי מאגרי המידע", וזאת גם אם תוכן המידע מוצפן והמפתח אינו מצוי בידי אותם גופים אלא בידי בעל המאגר. מכאן, שעל החברות הפועלות במגזר זה ומעניקות שירותי אחסון או גיבוי, חלות כלל החובות לפי החוק והתקנות החלות על "מחזיק" במאגר מידע. יודגש, כי בהתאם להוראות הדין, קיימות הוראות מיוחדות הרלבנטיות לחברות מסוג זה ובהן החובה למנות ממונה על אבטחת מידע, החובה לדווח לרשות להגנת הפרטיות מדי שנה על המאגרים הנמצאים ברשותן וכן החובה לנהל את ההרשאות למאגרי המידע שברשותן. 
הליך פיקוח הרוחב האמור כלל בחינה של 36 חברות המספקות שירותי תוכנה או פלטפורמה (לרבות שירותי תשתית ואחסון מידע), פיתוח אפליקציות וממשקים לניהול מידע אישי עבור בעלי מאגרי מידע, לרבות אירוח אתרי אינטרנט, והתייחס לארבעה קריטריונים עיקריים בתחום הגנת הפרטיות ובהם בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ.

עיקרי הממצאים של הליך פיקוח הרוחב הם כדלקמן:

  • במרבית הגופים שנבדקו נמצאה רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע אך נמצאו ליקויים בקיום הוראות תקנות הגנת הפרטיות (אבטחת מידע), בחלקם אף חריגות משמעותיות. הליקויים הבולטים שנמצאו כללו ליקויים בביצוע סקר סיכונים ומבחני חדירה בקרב חברות שהן בגדר בעלות מאגר מידע ברמת אבטחה גבוהה וכן ליקויים בכל הנוגע לחובות החלות על החברות כמי שמספקות שירותי מיקור חוץ.
  • ליקוי מרכזי במגזר זה מתייחס לעיבוד מידע אישי במיקור חוץ, ומהדו"ח עולה כי 71% מהגופים עמדו באופן חלקי/לא עמדו כלל בהוראות החוק.
  • במרבית הגופים (69%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי.
  • במסגרת הליך פיקוח הרוחב נמצאו בעלי מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אשר נדרשו לבצע ביקורות אבטחת מידע או מבדקי חדירות אשר לא בוצעו כנדרש או לא בוצעו כלל.
  • נמצאו גופים אשר לא ניהלו תיעוד עבור הדרכות ריענון לעובדים בעלי גישה למאגרי המידע ו/או למערכותיהם.

לאור הסכנה של זליגת מידע רגיש של הארגון המוחזק בידי חברות המספקות שירותים של אחסון ועיבוד מאגרי מידע אישי, קיימת חשיבות רבה למתן התייחסות הולמת לנושא במסגרת הסכמי ההתקשרות עם אותם נותני שירותים, אשר מטרתה להבטיח כי נותני השירותים יפעלו בהתאם לחובות המוטלות עליהם מכוח הדין, כ"מחזיקים" של המידע עבור בעל המאגר.

משרדנו ישמח לעמוד לרשותכם לצורך מתן ייעוץ משפטי בנושא חשוב זה.

להלן קישור לנוסח המלא של דוח הליך הפיקוח:

https://www.gov.il/BlobFolder/reports/audit_report_database_companies/he/dtatbase%20compeny.pdf

 *** המידע הכלול בסקירה שלעיל נמסר למטרות אינפורמטיביות בצורה תמציתית ובכל מקרה אינו מהווה תחליף לייעוץ משפטי. לקבלת פרטים נוספים, אנא פנו לעוה"ד ירון סילבר או לשותף המטפל בעניינכם המשפטיים במשרד עורכי הדין שביט בר-און גלאון צין ויתקון ושות' ***