תקנות הגנת הפרטיות, מאגרי מידע והאתר שלכם
כוונה טובה הייתה למחוקק כאשר קבע בתקנות הגנת הפרטיות את חובת האבטחה של מאגרי מידע מקוונים. אין ספק שהפרטיות שלנו ושל הלקוחות שלנו חשובה, אבל הצד השני של המטבע הוא שלתקנות האלה יש השלכות מעשיות כמעט על כל מי שיש לו אתר אינטרנט. כן, גם עליכם.
תקנות הגנת הפרטיות: רעיונות טובים ומציאות מעורפלת
כמו במקרים רבים, כוונות טובות של מחוקקים לא מייצרות תקנות פרקטיות למשתמשים. כך בדיוק המצב עם תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז – 2017, שיצרו ערפל גדול סביב ההגדרות והמונחים.
המצב המעורפל השאיר לרשות להגנת הפרטיות מרחב גדול לפרשנות, שאותו היא מאמצת בחום והולכת על הפרשנות המרחיבה ומרחיקת הלכת ביותר, ללא התחשבות במצב בשטח מנקודת השקפתם של בעלי אתרים. כך, למשל, על פי הפרשנות של הרשות רשימת מיילים הינה מאגר מידע רגיש מאחר שסיומת המייל עשויה להעיד על מקום עבודתו ועל מצבו הכלכלי של בעל כתובת המייל. המשמעות: סביר להניח שכולכם בעלי מאגר מידע רגיש ובהתאם לכך חלות עליכם חובות אבטחה שונות. הסיבה: אם יש לכם באתר תיעוד של פניות גולשים, טפסים, לידים, רכישות וכדומה – האתר שלכם הוא גם מאגר מידע. לכן, השאלה במרבית המקרים אינה אם חלות התקנות על האתר שלכם, אלא מה רמת האבטחה הנדרשת מכם.
במאמר זה ננסה לפזר מעט את הערפל ולהציג את ההגדרות והחובות השונים בתקנות הגנת הפרטיות (אבטחת מידע), כפי שהן מנוסחות כיום.
אילו חובות מוטלות עליכם? זה תלוי איך אתם מוגדרים
ישנם כמה מחזיקי תפקידים שהתקנות מחילות עליהם חובות אבטחה שונות: בעל המאגר, מנהל המאגר, מחזיק המאגר ונותני שירותים למאגר (מיקור חוץ).
"בעל המאגר" מוגדר כמי שהמאגר בבעלותו ועליו חלה החובה לרשום אותו אצל רשם מאגרי המידע.
"מנהל המאגר" הוא מי שבעל המאגר ממנה אותו לנהל את המאגר, לרוב אחד מבעלי החברה או בעל תפקיד בכיר בה שמקבל על עצמו את האחריות הכרוכה בניהול המאגר ע"פ התקנות.
"מחזיק המאגר" מוגדר בתקנות כ"מי שמצוי ברשותו מאגר מידע דרך קבע והוא רשאי לעשות בו שימוש". תחת הגדרה רחבה ומעורפלת זו עשויים להימצא חברת השרתים המאחסנת את האתר שלכם, מערכת הדיוור שבה אתם עושים שימוש, איש הפיתוח שלכם ולמעשה – כל מי שקיבל הרשאת גישה לאתר, שכוללת בתוכה את האפשרות לצפות במידע.
"נותני שירותים למאגר" המהווים מיקור חוץ, ככל שיש להם גישה קבועה למאגר – חלות עליהם חובות של מחזיק מאגר, והגבולות בין הגדרת נותן שירותים לבין הגדרת מחזיק לא ברורים.
ההגדרה הרחבה הזו של מחזיקים ונותני שירותים מטילה חובה משפטית על בעלי מקצוע רבים שאפשר להגדירם כ"מחזיקים", גם אם הדבר כלל לא עלה על דעתם. אם אתם מפתחי אתרים או מנהלי אתרים, למשל, ויש לכם גישה לאתר הכוללת בין השאר גישה לפרטי משתמשים או לפרטים שהושארו ע"י לקוחות בטופסי לידים – התקנות חלות עליכם. משפטנים שעימם התייעצנו לא נתנו פתרון חד משמעי לסוגיה זו, ופתרונות שהצענו כמו מתן הרשאות נקודתיות ומוגבלות בזמן לבעלי המקצוע, שיינתנו על ידי מנהל המאגר בעת הצורך (מה שמוציא את בעלי המקצוע מהגדרת "מחזיק" בשל היעדר התנאי של "גישה… דרך קבע"), לא נבחנו עדיין בפסיקה הישראלית ולכן אי אפשר להגדירם כפתרון בטוח.
מי אחראי בפועל על המאגר? בעיית ישימות וכפל חובות
כבעלים או כמנהלים, החובות שלכם תלויות ברמת האבטחה שחלה עליכם בהתאם לתקנות (ישנן ארבע רמות אבטחה), אך אפשר להכליל ולומר שחלה אחריות על בעל המאגר ומנהל המאגר לוודא שהמחזיקים במאגר עומדים בתקנות. אחת הבעיות המרכזיות שמתעוררות היא שניהול מערכת הדיוור, השרתים וכדומה לא בידכם וכך למעשה אין ברשותכם הכלים לוודא עמידה מלאה בתקנות של מי שמוגדר כמחזיק במאגר.
כמחזיקים במאגר, החובות החלות עליכם זהות לחובות של בעל/מנהל המאגר מלבד החובה לרשום את המאגר ולנהל עבורו מסמך הגדרות. כלומר, אם כחלק מהחובות נדרש, למשל, לעדכן תוספים באופן שוטף על מנת למנוע פרצות אבטחה, חלה עליכם חובה לדאוג לכך גם, ובעיקר, אם בעל/מנהל המאגר לא מבצעים את החובה הזו בעצמם.
התוצאה: כפל חובות שמעמיד נותני שירותים בסיכון משפטי. לכאורה, אם בעל המאגר ומנהלו לא עדכנו את התוספים, או לא טיפלו בפרצת אבטחה שהתגלתה – החובה חלה בנפרד גם על המחזיק, שיכול להיות נותן שירותים צדדי בלבד, על כל המשתמע מכך.
הסיווג לרמות אבטחה – מורכב
בדיקה ראשונית של רמת האבטחה הנדרשת מכם תוכלו לקבל באמצעות מענה לשאלון רמת אבטחה למאגרי מידע שפיתחנו יחד עם המתכנה, אך הוא אינו מחליף את הצורך בייעוץ משפטי מקצועי שיקבע איזו מבין ארבע רמות האבטחה רלוונטית עבור האתר שלכם: מאגר המנוהל בידי יחיד, רמת אבטחה בסיסית, רמת אבטחה בינונית ורמת אבטחה גבוהה.
המשמעות של הסיווג היא שהתקנות מחילות חובות שונות על רמת אבטחה שונות. בתקציר התקנות שנביא להלן תוכלו להתרשם מהחובות השונות החלות על אתרים שונים. אין בתקציר כדי להוות ייעוץ משפטי ובכל מקרה הנוסח הקובע הוא נוסח התקנות.
תקציר התקנות
אחרי שבדקתם מהי רמת האבטחה שחלה על המאגר ומהי הגדרת התפקיד שלכם לגביו, להלן תקציר בראשי פרקים של התקנות.
שימו לב שאין מדובר בפירוט החובות המלא ובכל תתי הסעיפים, אלא בתקציר כללי של הסעיף, ובמידה שהסעיף חל עליכם יש לעמוד בתקנות המלאות המופיעות בחוק ולקבל ייעוץ משפטי בהתאם.
*המידע ומכאן ואילך אינו מתייחס למאגר המנוהל בידי יחיד
*תקנה זו אינה חלה על מחזיק
על בעל ומנהל המאגר להכין מסמך הגדרות הכולל:
- מידע על דרך האיסוף והשימוש במידע ומטרותיו
- שמות מנהל המאגר, המחזיקים בו וממונה האבטחה
- פעולות עיבוד מידע שנעשות ע"י מחזיקים במאגר
- סיכונים עיקריים ודרכי התמודדות
בחינת ועדכון המסמך ייעשו בכל עת שישנו שינוי משמעותי באחד מהפרטים שצוינו לעיל, ופעם בשנה תיעשה בחינה אם לא נשמר מידע שאינו נדרש.
חלה חובה למנות ממונה אבטחה חיצוני, שאינו בניגוד עניינים, ולהקצות לו את המשאבים הנדרשים למילוי תפקידו.
ממונה האבטחה נדרש ל:
- הכנת נוהל אבטחת מידע אשר יובא לאישור בעל המאגר.
- הכנת וביצוע תוכנית בקרה שוטפת לעמידה בתקנות, אשר ממצאיה יובאו לידיעת בעל המאגר ומנהל המאגר.
נוהל אבטחת המידע צריך לכלול ע"פ התקנות מידע מפורט לגבי נושאים רבים הקשורים בגישה למאגר, אבטחת המאגר, פעולות שיש לנקוט במקרים של חשש לפריצה או פריצה ועוד.
בחינת הנוהל צריכה להיעשות אחת לשנה, וגם במידה שנעשו שינויים מהותיים במערכות המאגר או בתהליכי עיבוד המידע, וכן במידה שנודע על סיכונים טכנולוגיים חדשים הנוגעים למערכות המאגר.
מסמך מבנה מאגר המידע צריך לכלול בתוכו פירוט של התשתיות ושל מערכות החומרה שלו, ומידע על התוכנות המשמשות לכל מעגל הפעילות הקשורה במאגר ועל הממשקים הקיימים בין המערכות.
נוסף על כך נדרש לכלול תרשים רשת שפועל בה המאגר, הכולל את תיאור הקשרים בין רכיבי המערכת השונים ומיקומם הפיזי של רכיבים אלה, רשימת מצאי ותאריך עדכון אחרון.
המסמך והמידע יימסרו רק לבעלי הרשאות ורק בהיקף הנדרש למילוי תפקידם.
אחת לשנה וחצי יש לערוך סקר סיכונים ומבדקי חדירות, לדון בממצאים ולתקן ליקויים במידה שיש כאלו (לרמת אבטחה בינונית וגבוהה).
תקנה זו מתייחסת למיקום הפיזי שבו נשמר מאגר המידע, ולפיה נדרשים לוודא את אבטחת המקום.
ברמת אבטחה בינונית וגבוהה יש לנהל תיעוד של הכניסה והיציאה מהמקום וכן הכנסת והוצאת ציוד.
תקנה זו מתייחסת למאגרי מידע הקשורים בניהול כוח אדם, דורשת הקפדה על רמות ההרשאה של בעלי הגישה השונים ומחייבת ביצוע הדרכות לבעלי הרשאות גישה בכניסתם לתפקיד, במידה שהיקף ההרשאה השתנה.
ברמת אבטחה בינונית וגבוהה יש לבצע הדרכות שוטפות לכל הפחות אחת לשנתיים ולכל בעל הרשאה חדש.
הרשאות הגישה צריכות להינתן בהתאם למידה הנדרשת לביצוע התפקיד, ויש לנהל רישום של בעלי התפקידים ושל היקף ההרשאה שניתנה להם.
התקנה מחייבת נקיטת אמצעים מקובלים בכדי לוודא שהגישה נעשית ע"י בעלי הרשאה בלבד. יש לוודא ביטול הרשאות גישה למי שתפקידו הסתיים או השתנה.
ברמת אבטחה בינונית וגבוהה מומלץ שהזיהוי יתבצע באמצעי פיזי כגון הטלפון הנייד. נוסף על כך, יש לכלול בנוהל אבטחת המידע הנחיות לעניין, בין השאר חוזק הסיסמה הנדרש, תדירות החלפת הסיסמאות (אשר בכל מקרה לא תעלה על שישה חודשים) ועוד.
ברמת אבטחה בינונית וגבוהה יש ליצור מנגנון תיעוד אוטומטי עבור הגישה וניסיונות הגישה למאגר, הכוללת בין השאר את פרטי המשתמש, סוג הגישה והיקפה, הזמן שבו בוצעה ואם הצליחה או נדחתה.
יש לערוך נוהל בדיקה שגרתי של המנגנון ולוודא שהוא אכן עומד בתנאי התיעוד שנקבעו בתקנה.
נדרש לנהל תיעוד של כל מקרה המעלה חשש לאירוע אבטחה או לחריגה מהרשאה. התיעוד ייעשה, ככל האפשר, באמצעות מנגנון תיעוד אוטומטי.
בנוהל אבטחת המידע תהיינה התייחסות והוראות להתמודדות עם אירועים מסוג זה.
ברמת אבטחה בינונית יש לקיים דיון באירועי האבטחה לפחות אחת לשנה ויש לעדכן את הנוהל. ברמת אבטחה גבוהה יש לקיים את הדיון הנ"ל לפחות אחת לרבעון. במידה שאירע אירוע אבטחה חמור, על בעל המאגר לדווח על כך באופן מיידי לרשם, וכן לדווח על הצעדים שננקטו בעקבות האירוע.
יש להגביל או למנוע חיבור התקנים ניידים למאגר. במידה שמתאפשר חיבור של התקן נייד יש לנקוט באמצעי הגנה מתאימים.
נדרש להקפיד על ניהול ותפעול תקין של מערכות המאגר, וליצור הפרדה, עד כמה שאפשר, בין מערכות המאגר שמאפשרות גישה למידע לבין שאר המערכות.
נדרש לבצע עדכונים שוטפים של כל המערכות הנוגעות לפעילות ולאבטחת המאגר.
חיבור המאגר לרשת יבוצע תחת התקנת אמצעי הגנה מתאימים, והעברת מידע תיעשה בשיטות הצפנה מקובלות.
גישה מרחוק אל מאגר המידע תתבצע בכפוף לאמצעי אבטחה שמטרתם לזהות ולאמת את המשתמש והרשאתו. ברמת אבטחה בינונית וגבוהה ייעשה שימוש באמצעי זיהוי פיזי דוגמת טלפון נייד של בעל ההרשאה.
טרם התקשרות עם גורם חיצוני יש לבחון את סיכוני האבטחה הכרוכים בכך.
ההסכם מול גורם החוץ יקבע בתוכו במפורש את כלל המידע המופיע בתקנה.
חלה חובה לנקוט אמצעי בקרה ופיקוח על עמידתו של הגורם החיצוני בהוראות ההסכם והתקנות, ובין השאר לקבל דיווח, לפחות אחת לשנה, על אופן ביצוע חובותיו של הגורם החיצוני על פי ההסכם והתקנות.
ברמת אבטחה בינונית וגבוהה יש לערוך לפחות אחת לשנתיים ביקורת פנימית או חיצונית, ע"י גורם בעל הכשרה לתפקיד, אשר איננו ממונה האבטחה של המאגר.
דוח הביקורת יכלול הנחיות ואמצעים לתיקון תקלות ככל שיימצאו כאלו. יש לערוך דיון אודות ממצאי הדו"ח ולבחון את הצורך בעדכון מסמכי ההגדרות ונוהלי האבטחה.
תיעוד הנתונים השונים המחויבים ע"פ התקנות צריך להישמר למשך שנתיים.
ברמת אבטחה בינונית וגבוהה יש לגבות את הנתונים כך שאפשר יהיה לשחזרם.
ברמת אבטחה בינונית וגבוהה יש להכין מסמך ובו נוהל לביצוע גיבוי של הנתונים האמורים מתקנה 17, נוהל לשחזור המידע במידת הצורך, וכן תיעוד של תהליכי שחזור אם היו כאלו.
ברמת אבטחה גבוהה יש לדאוג לכך שעותק הגיבוי יישמר באופן שיבטיח את שלמות המידע ואת אפשרות השחזור שלו.
תקנה זו מחילה את כלל חובות בעל המאגר על מנהל המאגר, ואת כלל החובות למעט מסמך הגדרת המאגר ואחריות על התקשרות עם מיקור חוץ – על מחזיק במאגר.
חלה חובה על כל מי שמבצע פעולה הקשורה במאגר לתעד אותה. אם אין דרישה בתקנות לתיעוד במסמך, יש לבצע תיעוד סביר, לפי העניין.
מסמכים, נהלים ובעלי מקצוע נדרשים
סיכום רשימת המסמכים שעליכם לכתוב ולנהל:
- מסמך הגדרות המאגר (לא חל על "מחזיק")
- נוהל אבטחה
- מיפוי מערכת המאגר
- תיעוד מבקרים בסביבת
- המאגר הפיזית (לרמת אבטחה בינונית וגבוהה)
- תיעוד בעלי הרשאות גישה
- נוהל בדיקה שגרתי למנגנון תיעוד הגישה למאגר (לרמת אבטחה בינונית וגבוהה)
- תיעוד אירועי אבטחה
- נהלים לשחזור המידע שתועד, מסמכי הנהלים ותיעוד תהליכי שחזור המידע הנ"ל אם בוצע (לרמת אבטחה בינונית וגבוהה)
- הסכם התקשרות עם גורמי חוץ ע"פ הפירוט הנדרש (לא חל על "מחזיק" ככל שההתקשרות אינה באחריותו)
סיכום אנשי המקצוע שעליכם להעסיק:
- ממונה אבטחת מידע
- איש מקצוע לביצוע ביקורת תקופתית אחת לשנתיים
סיכום: מזל טוב – יש מצב שאתם בעלי מאגר מידע
כתבו עליכם בתקנות הרבה דברים, ואתם בכלל לא ידעתם שאתם כאלה. התובנה המרכזית שאנחנו רוצים להדגיש היא: אם יש לכם אתר – יש סיכוי גבוה שאתם נחשבים, לכל הפחות, למחזיקים במאגר מידע, ויש לזה השלכות רבות.
עולם השיווק נמצא היום בצומת ייחודי ומרתק. טכנולוגיות קצה של פרסונליזציה, בינה מלאכותית ולמידת מכונה נפגשות עם חקר מתקדם של ההתנהגות הצרכנית על ידי נוירומרקטינג, פסיכולוגיה וכלכלה התנהגותית.
אינבאונד פרודקשנס נמצאת במרכז הצומת הזה. אנחנו מחברים בין טכנולוגיה לפסיכולוגיה, בין אוטומציה לאנשים ובין דאטה לתוכן שמניע צרכנים.