"הפיקוח על הפרטיות בא לעזור לארגונים – ולא להעיק"

"מבחינתנו, ברשות להגנת הפרטיות, אין הבדל בין העולם הפיזי לזה הדיגיטלי – יש חוק הגנת פרטיות אחד, ואנחנו נכנסים לתמונה בכל עת שבה נאסף מידע אישי על אנשים. החוק מגדיר באופן ברור מהו מידע פרטי. בחוקים שונים יש מספר גופים מוגדרים, אבל במקרה שלנו, כאמור, כל מי שמחזיק מאגר מידע – אנחנו הרגולטור לנושא זה, ולא משנה בכלל מה גודלו. אנחנו מבצעים את הרגולציה באמצעות מספר זרועות, שהחדשה היחסית ביניהן היא פיקוח הרחב", כך אמר עו"ד רביד פטל, הממונה על פיקוח הרוחב במחלקת האכיפה של הרשות להגנת הפרטיות במשרד המשפטים.

עו"ד פטל פירט על הדרכים שבהן מבצעת הרשות את הרגולציה ותהליכי הביקורת בארגונים שונים במשק. הוא דיבר במהלך כנס GRC 2019, שהופק על ידי אנשים ומחשבים. הכנס התקיים באחרונה באולם האירועים LAGO בראשון לציון, והביא אליו יחדיו את חברי איגוד המבקרים הפנימיים IIA ואת חברי ISACA, האיגוד הישראלי לביקורת ואבטחת מערכות מידע.

לדברי עו"ד פטל, ברשות להגנת הפרטיות מבצעים בימים אלה מהלך שמטרתו להוביל פעילות פרו-אקטיבית בתחום, כלומר: יוזמה ולא רק תגובה. הוא ציין שלהנחת הרשות, יהיה קשה מאוד לקבוע מדיניות אם בוחרים בדרך של תגובה לבעיות בלבד.

הוא אף סיפק הסברים לגבי הפעילות של הזרועות השונות של הרשות. "יש דרגה של אכיפה פלילית, כשבמקרה כזה חקירה מובילה לכתב אישום. לפיקוח המנהלי יש סמכויות מלאות, שרק מתחילות בהטלת קנסות", אמר.

עו"ד פטל הוסיף כי "החקירה הפלילית היא צלילה למעמקי הים, והיא דורשת משאבים רבים וצוות עבודה גדול. לכן, מדובר בדרך כלל במעט מקרים בשנה. בהיבט של החקירה המנהלית מדובר בכ-100 תיקים בשנה, וזה אומר צלילה לעומק בינוני וסקירה של אזור קצת יותר רחב עם מוצרי אכיפה מנהליים. פיקוח הרוחב – מטרתו להתייחס לאזורים הרבה יותר רחבים של הגנת הפרטיות ויש לו היבט אחד משמעותי ששונה ממקרים של אכיפה פלילית ואכיפה מנהלית: מדובר בתהליך יזום".

"רוצים לדעת מה המצב החוקי של כל מי שמחזיק במאגר מידע"

"במסגרת היכולות שלנו, אנחנו רוצים לראות מה המצב החוקי של כל מי שמחזיק מאגר מידע בישראל. זה אולי נשמע כמו מטרה גדולה, אבל אנחנו מתמודדים עמה בחלקים", אמר עו"ד פטל. הוא פירט כי "אנחנו רוצים לבדוק את המצב של מגזר שלם ולסייע לו לצמצם את הפער בין היכן שהוא נמצא כיום לבין הדרישות והחוק. הדבר החשוב ביותר בעיניי הוא היכולת להסיק מסקנות רוחב. כשאנחנו פונים למגזר שלם כדי לבדוק בצורה יזומה מה מצב אימוץ החוקים, אנחנו יכולים לגלות קושי מוגדר ספציפי בניהול מאגר המידע".

הוא אמר כי בסופו של דבר מתקבלים שני תוצרים עיקריים בכל תהליך של פנייה לארגון. "יש מוצר פרטני, שמאפשר לנו, כרגולטור, לדרוש מהגוף המבוקר לתקן את הליקויים שנמצאו ולבנות תכנית מסודרת, כולל הצהרה של ראשי הארגון. זה כמעט תמיד מוביל לביקור נוסף. התוצר השני שיכול לנבוע מכך הוא דו"ח מגזרי, שבפרסום שלו אנחנו יכולים להנחות מגזרים לגילוי נקודות החולשה שלהם ולהפנות אותם לכלים שיכולים לסייע להם", הוסיף.

לסיכום ציין עו"ד פטל כי הוא רואה בגוף הפיקוח הרוחבי כלי שבא לעזור לארגונים ולא להעיק. "המטרה היא לבצע את תהליך בדיקת הציות במהירות, ובכך לא להעיק לא על הארגונים ולא על הגוף המפקח, כלומר: עלינו. האינטרס של המפוקח הוא לעשות את זה בצורה היעילה ביותר, כי בסוף מקבלים הנחיות מוגדרות. זו בעצם ביקורת מערכות מידע בחינם שמעניק הרגולטור, ועדיף לכל ארגון שזה יקרה במסגרת הפיקוח הרוחבי ולא במסגרות האחרות", אמר.