linkedin
להרשמה לניוזלטר
09.07.2023 עדכון לקוחות
פרסום דו"חות פיקוח רוחב של רשות הגנת הפרטיות לגבי מגזר קופות גמל וקרנות השתלמות ולגבי מגזר חברות כוח אדם
אודות תחומי פעילות

בשבוע שעבר פרסמה רשות הגנת הפרטיות דו"חות פיקוח רוחב לגבי מגזר קופות גמל וקרנות השתלמות ולגבי מגזר חברות כוח אדם. מעבר להשלכות הישירות כלפי המגזרים שנסקרו, עולות מהדו"חות כמה תובנות מעניינות.

בין השאר, קובעת הרשות כי אם מאגר שמנוהל בצורה מפוצלת על-גבי כמה מערכות, סיווג רמת האבטחה של המאגר לא תלוי בהיבטים הטכניים של ניהול המידע, אלא נקבע לפי "סך כל בעלי ההרשאה לכלל המערכות הטכנולוגיות המשמשות את מאגר המידע". במילים אחרות, אין בכוחו של פיצול הרישום של מאגרים, שמתבססים בפועל על אותן מערכות, כדי לאפשר סיווגים שונים לרמת האבטחה של המאגרים (על בסיס קריטריון כמות מורשי הגישה). יש בגישה זו גם תמיכה לפרשנות לפיה גבולותיו של "מאגר מידע" נקבעים לפי הנושאים בו הוא עוסק, ולא המערכת המסוימת עליה הוא פועל.

עוד מפנה הרשות להנחיה 2/2011 העוסקת במיקור חוץ, שיש לקיימה בנוסף לתקנה 15 לתקנות אבטחת מידע, אף שהיה מן הראוי לעדכן את ההנחיה לאור כפילויות רבות בינה לבין תקנות אבטחת מידע.

בשלושה מקרים מדגישה הרשות את החובה לתעד פעולות שתקנות אבטחת מידע מחייבות לעשות במאגרים ברמת אבטחה בינונית וגבוהה. האחד, חובה לתעד גם חשש לאירועי אבטחה. השני, חובה לתעד את הדרכות אבטחת המידע שיש לקיים לפי התקנות לעובדים ולמורשי גישה, כולל תיעוד של החומרים שהועברו במסגרת ההדרכות וכן תיעוד לעצם ביצוע ההדרכות. השלישי, חובה לתעד את הבחינה השנתית שיש לעשות לגבי מידע עודף (אותה יש לבצע לדברי הרשות "לפחות" אחת לשנה).

עוד מעניין יחס הרשות למידע על נפטרים כמידע שיש להגן עליו, למרות הספקות שיש לגבי היקף ההגנה שחוק הגנת הפרטיות פורש על המתים, ועל  השאלות הפרקטיות הרבות הכרוכות בכך (ר' טור דעה שפורסם ב'כלכליסט' ע"י עוה"ד במחלקה).

בין ממצאי הפיקוח מציינת הרשות אי-מודעות לכך שחלק מהגופים שנבדקו בהליך הפיקוח לא היו מודעים להיותם "גוף ציבורי" מכוח צו הגנת הפרטיות (קביעת גופים ציבוריים), תשמ"ו – 1986 והחלת החובות מכוח פרשנות זו. עוד שמה הרשות דגש על הצורך להסדיר מינוי מנהלי מאגרים ומנהלי אבטחת מידע באופן פורמלי (ועל עדכון הרישום בהתאם), וכן הצורך לבחון במסגרת הליכי המיון את התאמת מועמדים לעבודה לגישה למידע אישי.

משום כל האמור, אנחנו ממליצים ללקוחותינו בתחום קופות הגמל וקרנות ההשתלמות לבחון אצלן את ממצאי הדו"ח, ובין היתר לערוך הדרכות לעובדים, לבדוק את סיווג המאגרים שבבעלותן ולבחון אם הן מהוות "גוף ציבורי" ואת עמידתן בחובות הנגזרות מכך.

 

אנו עומדים לרשותכם בכל שאלה,

אייל שגיאשיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.