ליקויים משמעותיים בהגנת הפרטיות בחברות אחסון ועיבוד מאגרי מידע

בחלק מהחברות המספקות שירותי אחסון ועיבוד מאגרי מידע אישי נמצאו ליקויים, חלקם משמעותיים, בקיום הוראות התקנות להגנה על הפרטיות – כך עולה מבדיקה שערכה הרשות להגנת הפרטיות, ושתוצאותיה פורסמו היום (ב'). עם זאת, ברשות מציינים כי ככלל, רמת השמירה על אבטחת המידע בחברות אלה גבוהה.

הממצאים הבולטים שנמצאו כללו ליקויים בביצוע סקר סיכונים ומבחני חדירה בקרב חברות בעלות מאגר מידע ברמת אבטחה גבוהה, וכן ליקויים בכל הנוגע לחובות החלות על החברות שמספקות שירותי מיקור-חוץ לעיבוד מידע אישי.

בדו"ח שהוציאה הרשות נכתב כי "מגזר החברות שמספקות שירותי אחסון ועיבוד מידע נחשב לבעל סיכון מוגבר לפגיעה בפרטיות, שכן מדובר בחברות שלרוב מחזיקות במאגרי מידע רבים, שמכילים מידע רב, לרבות מידע רגיש אודות הציבור. ניהול מידע של מספר רב של לקוחות על אותה הפלטפורמה, היקפי המידע ומספרם הרב של האנשים שעליהם מוחזק המידע דורשים הקפדה מיוחדת על עמידה בהוראות החוק והתקנות".

הממצאים העיקריים

ליקוי מרכזי בהגנה על הפרטיות שנמצא בבדיקה מתייחס לעיבוד מידע אישי במיקור-חוץ: מהדו"ח עולה כי 71% מהגופים עמדו באופן חלקי או לא עמדו כלל בהוראות החוק, כאשר ב-53% מהם רמת העמידה הייתה בינונית וב-18% – נמוכה.

במרבית הגופים (69%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי. עם זאת, אצל כשליש מהגופים (31%) נמצאה רמת עמידה בינונית ומטה באופן ניהול הבקרה הארגונית והממשל התאגידי. כך, למשל, היו גופים שמינו בעלי תפקידים בלי כתב מינוי ועדכון בפנקס מאגרי המידע, כנדרש בחוק.

עוד נמצאו בעלי מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, שנדרשו לבצע ביקורות אבטחת מידע או מבדקי חדירות, שלא בוצעו כנדרש או לא בוצעו כלל. כמו כן, גופים מסוימים לא ניהלו תיעוד של הדרכות ריענון לעובדים בעלי גישה למאגרי המידע או למערכות הרלבנטיות.

לדברי עו"ד רביד פטל, הממונה על מערך פיקוחי הרוחב ברשות, "החזקה של מידע אישי רב אודות כל אחד מאיתנו על ידי חברות המספקות שירותי אחסון ועיבוד מאגרי מידע טומנת בחובה פוטנציאל לפגיעה בפרטיות. הדבר מחייב הקפדה יתרה מצד החברות על קיום הוראות חוק הגנת הפרטיות ותקנות אבטחת המידע, ופעילות בשקיפות אל מול הלקוחות".

הרשות הבהירה כי "חברה המספקת שירותי אחסון או גיבוי של מאגר מידע, גם אם בדרך של העמדת שרתים, נחשבת 'מחזיקה' במאגר המידע וחלות עליה כל החובות לפי החוק והתקנות החלות על מחזיק מאגר מידע. הצפנה של המידע המאוחסן ואופן העברתו, אף שהינה חשובות מבחינת אבטחת המידע, לא משחררת את המחזיק מאחריותו על פי הוראות החוק והתקנות".