יועץ אבטחת מידע   |   יוני 3, 2024

מאגרי מידע והגנת הפרטיות

מאגר נתונים הוא אוסף מאורגן של מידע או נתונים מובנים המאוחסנים בדרך כלל אלקטרונית במערכת ממוחשבת. בהקשר של מאגרי נתונים, מדיניות פרטיות היא חיונית מפני שהיא מבטיחה שנתוני המשתמשים מטופלים בצורה מאובטחת ובהתאמה לסטנדרטים משפטיים, תוך הגנה על מידע רגיש מפני גישה בלתי מורשית.

במאמר זה נענה על שאלות בנושא זה ונבהיר את החשיבות של מדיניות פרטיות בשמירה על מידע של המשתמשים. 

שאלות נפוצות בתחום הגנת הפרטיות:

  1. מתי מאגר נתונים נחשב למאגר מידע פרטי?
    בעל מאגר מידע חייב ברישום המאגר אם נתקיים בו אחד מאלה:
    √ מספר האנשים שמידע עליהם נמצא במאגר עולה על 10,000.
    √ במאגר יש מידע רגיש.
    √ המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או
    √ בהסכמתם למאגר זה.
    √ המאגר הוא של גוף ציבורי.
    √ המאגר משמש לשירותי דיוור ישיר.
  1. איזה מידע נכלל בהגדרתו כ"מידע רגיש"?
    • נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו
    הכלכלי, דעותיו ואמונתו.
    • מידע ששר המשפטים קבע בצו, באישור ועדת החוקה, חוק ומשפט
    של הכנסת שהוא מידע רגיש.
  1. איך רושמים מאגר מידע פרטי?
    בעל מאגר המידע נדרש להגיש בקשה לרישום מאגר מידע לרשם מאגרי המידע במשרד המשפטים. הבקשה כוללת סט מסמכים בהתאם לסוג המידע של המאגר.
    את הטפסים אפשר להוריד ולהגיש באופן מקוון בקישור זה: https://www.gov.il/he/service/registration_in_the_database
  1. האם דואר אלקטרוני של אדם מהווה מידע פרטי?
    האם החובות שחלות על ניהול מאגרי מידע לפי חוק ותקנות הגנת הפרטיות, חלות גם על ניהול רשימה ממוחשבת שמכילה כתובות דוא"ל בלבד של אנשים לצד שמותיהם? שאלה זו מתעוררת משום שבמצבים מסוימים סעיף 7 לחוק הגנת הפרטיות מחריג אוסף נתונים שמכיל רק "שם, מען ודרכי התקשרות" של אנשים מחובת הגנת הפרטיות . הרשות להגנת הפרטיות דנה בזמנו בנושא זה וקיבלה החלטה, ולפיה אוסף של כתובות דוא"ל לצד שמות בעליהן אכן מהווה מאגר מידע, כך שחוק ותקנות הגנת הפרטיות חלים עליו.
    הסיבה לנ"ל היא שבמקרים רבים אפשר להסיק מכתובת הדוא"ל של אדם נתונים אישיים נוספים כגון הכשרה מקצועית, מעמד אישי, השתייכות לקבוצה פוליטית ועוד.
    כיוון שכיום נפוץ השימוש בכתובת דוא"ל לשם הזדהות ברשתות חברתיות ושירותים מקוונים, כתובת דוא"ל עשויה לשמש גם "מפתח" המאפשר לזהות אדם בוודאות רבה ולקשר בין פרטי מידע שונים עליו שמוחזקים במאגרים שונים.
  1. האם מאגר עובדים בחברה טעון רישום אצל רשם מאגרי המידע?
    ניהול של משאבי אנוש בחברה כולל איסוף ושמירה של מידע אישי של עובדים ובכלל זה כתובת, מספר תעודת זהות, מצב משפחתי, השכלה, ניסיון מקצועי, פרטי חשבון בנק, מצב רפואי, קורות חיים ועוד.
    בהתאם לקריטריונים המוגדרים בחוק, די בכך שהמידע הנאסף בהקשר זה נחשב כ”מידע רגיש” כדי לחייב את רישומו כמאגר מידע. זהו תנאי הכרחי ומספיק לרישומו של מאגר מידע.
    למרות זאת, ארגונים רבים ובייחוד ארגונים קטנים המעסיקים כמה עשרות או מאות עובדים אינם מודעים לעובדה שעליהם לרשום את מאגר משאבי האנוש שלהם כמאגר מידע, מתוך הנחה שמספר הרשומות בו הוא מצומצם יחסית. ארגונים כאלה אינם מודעים לקריטריונים להגדרת אוסף רשומות כמאגר מידע המופיעים בחוק הגנת הפרטיות (כאמור סעיף 2 לעיל). הימנעות מרישום כזה עלולה להביא להטלת קנסות מנהליים על הארגון ולהזיק למוניטין שלו.
  1. האם מאגר מצלמות בחברה טעון רישום אצל רשם מאגרי המידע?
    צילומים של עובדים יהיו על פי רוב מזוהים או לכל הפחות ניתנים לזיהוי. העובדים הם קבוצה מוגדרת ומצומצמת של מצולמים שזהותם, פרטיהם ואף סדר יומם ידועים מראש למעסיק. לפיכך צילומים של עובדים במקום העבודה נכנסים בדרך כלל לגדר הגדרה של "מידע" ואוסף הקלטות ממצלמה המופעלת בידי מעסיק נכנס להגדרה של "מאגר מידע" כמשמעות המונחים בסעיף 7 לחוק הגנת הפרטיות, אף אם המצלמה לא כוללת טכנולוגיות מיוחדות כגון זיהוי פנים אוטומטי.
    מכאן שהמעסיק מחויב להתייחס למאגר המצלמות כאל מאגר מידע פרטי ולרשום אותו אצל רשם מאגרי המידע.

תובנות מומחי סייבר בכירים של IPV Security:

  1. לצורך זיהוי מאגרי מידע פרטיים אצל הלקוח יש להסתמך על חוק הגנת הפרטיות ועל ניסיון מקצועי בתחום. לעיתים מאגר מידע שלכאורה אינו פרטי מתגלה כמאגר מידע פרטי. לצורך זיהוי נכון של המאגר יש להיעזר בגורם מקצועי.
  2. החוק מחייב רישום כל מאגר מידע פרטי אצל רשם מאגרי המידע. אי־רישום מאגר מידע פרטי מהווה עבירה על החוק.
  3. למרות המוגדר בחוק, בהתאם לעדכון שפרסמה הרשות להגנת הפרטיות, דואר אלקטרוני של אדם מהווה מידע פרטי. לדוגמה מאגר המכיל שמות וכתובות דואר אלקטרוני הוא מאגר מידע פרטי וחייב ברישום ובהגנה מתאימה.
  4. מאגר עובדים בארגון מוגדר כמאגר מידע פרטי, אלא אם כן אינו מכיל כל מידע מעבר לשם, כתובת וטלפון. ארגון המנהל מאגר עובדים המכיל מידע רגיש חייב ברישומו של מאגר זה אצל רשם מאגרי המידע שבמשרד המשפטים – ללא קשר למספר הרשומות שבו.
  5. אוסף סרטוני וידיאו הנוצר על ידי מצלמות מעקב המוצבות בארגון הוא מידע רגיש ומהווה גם הוא מאגר מידע פרטי הטעון רישום אצל רשם מאגרי המידע וחייב בהגנה מתאימה.
  6. קיימות הגבלות חמורות המוטלות על הצבת מצלמות מעקב בארגון. אי־קיום הגבלות אלה עלול להוות עבירה פלילית. בעת הצבת מצלמות מעקב רצוי להסתייע בייעוץ של מומחה הגנת הפרטיות.
  7. לניהול נכון ויעיל של נושא הגנת הפרטיות בארגון, ובכלל זה הציות הנדרש לחוק הגנת הפרטיות ולתקנות הגנות הפרטיות ובקרות אבטחת המידע להגנה על מאגרי המידע, אפשר להסתייע במודול הגנת הפרטיות שבמערכת ה־CISOteria.

מעוניינים לוודא שהינכם עומדים בדרישות חוק הגנת הפרטיות? פנו למומחי איי פי וי סקיוריטי!

לחצו כאן

 

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.

חזור

פוסטים נוספים

    שם פרטי

    שם משפחה

    אימייל

    טלפון

    הודעה