דו"ח: רוב מועדוני הלקוחות בישראל מְפֵרִים את פרטיות החברים

על פי הרשות להגנת הפרטיות, ביותר ממחצית מועדוני הלקוחות בארץ - שמנהלים או מחזיקים מאגרי מידע רבים, ובהם מידע רגיש - נמצאו ליקויי אבטחת מידע ● מתוך 44 הגופים המפוקחים, נמצאו ב-43 מהם ליקויים הדורשים תיקון

יש כרטיס מועדון? יש הזנחת פרטיות. צילום אילוסטרציה: BigStock

במועדוני הלקוחות בישראל יש רמת עמידה נמוכה בהוראות חוק הגנת הפרטיות; כך על פי דו"ח חדש שערכה הרשות להגנת הפרטיות.

"ליקויי הגנת הפרטיות", נכתב, "נוגעים, בין השאר, להסתייעות של מועדוני הלקוחות בשירותי מיקור חוץ. אלה קשורים לביצוע פעולות לעיבוד מידע אישי, הכולל בין היתר, פרטי קשר, מידע דמוגרפי, קשרים משפחתיים, מידע אודות הרגלי צריכה או התנהגות, השתייכות דתית ועוד".

סיכום ממצאי דו''ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

סיכום ממצאי דו"ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

בשנים 2018-2019 מערך פיקוח הרוחב ברשות להגנת הפרטיות בדק 44 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של יותר ממאה אלף איש. ב-2018 הרשות הגדירה את מגזר מועדוני הלקוחות בישראל כאחד מיעדי הפיקוח המשמעותיים וזאת בשל העובדה שהמועדונים מנהלים או מחזיקים מאגרי מידע רבים, ובהם מידע רגיש. "ניהול הקשר עם הלקוחות מחייב את הארגונים לעמוד בדרישות אבטחת המידע, לקיים את חובת השקיפות אל מול הלקוח ולעמוד בהוראות החוק לגבי דיוור ישיר".

עוד עלה כי רוב מועדוני הלקוחות לא פועלים על פי חוק בכל הנוגע למינויים של מנהלי מאגרים. כמו כן, מרביתם לא מקפידים ליידע את ציבור הלקוחות על האופן שבו נאסף המידע אודותיהם, ואינם מיידעים את הלקוחות בדבר זכויותיהם מכוח חוק הגנת הפרטיות, כמו למשל, החובה להציג את מקור המידע, הזכות לעיין במידע והזכות להימחק ממאגר המידע.

ממצאי דו''ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

ממצאי דו"ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

רמת עמידה בינונית עד נמוכה בהוראות החוק 

כך, מתוך 44 הגופים המפוקחים, נמצאו ב-43 מהם ליקויים הדורשים תיקון. בהיבט בקרה ארגונית וממשל תאגידי, במרבית מועדוני הלקוחות, 65% מהם, נמצאה רמת עמידה בינונית עד נמוכה בהוראות החוק. נמצאו ליקויים בהגדרת מאגר המידע ומטרותיו ואי מילוי הדרישה למינוי של מנהלי מאגרים. נמצאו ארגונים בלא מסמך הגדרות המאגר אותו הם מנהלים. נמצאו גופים בהם תפקידים ותחומי אחריות היו מרוכזים אצל גורם יחיד, באופן שעלול להוות ניגוד עניינים. ליקוי נוסף נמצא בגופים המהווים סניפים של גופים בינלאומיים המנהלים מועדוני לקוחות: אלה הסתמכו על הנהלים הבינלאומיים, ולא פעלו בהתאמה לחוק בישראל.

בהיבט ניהול מאגרי מידע, נמצאו ליקויים משמעותיים ב-43% מהגופים, ביישום הוראות החוק בנוגע להגדרת מאגר המידע ומטרותיו. כמו כן, נמצאו ליקויים ביישום הוראות החוק בנוגע לשקיפות ויידוע האנשים עליהם מוחזק המידע, בדבר זכויותיהם. מרבית מועדוני הלקוחות לא הבהירו ללקוחות את זכותם לעיין במאגרי המידע.

ממצאי דו''ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

ממצאי דו"ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

בהיבט אבטחת המידע, במרבית מועדוני הלקוחות (52%) נמצאו ליקויים באופן יישום התקנות לאבטחת מידע. ביניהם נמצאו ליקויים בניהול הרשאות הגישה למאגרים, כולל היעדר יישום הפרדת תפקידים ומתן ההרשאה לפי עקרון הצורך לדעת בלבד. כמו כן, נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים, בין אם בהיעדר הגבלות על שימוש באמצעים אלו, או בהיעדר הצפנה נאותה. כמו כן, גופים בעלי תקן ISO27001 סברו בטעות שהם פטורים מיישום התקנות והליכי הפיקוח.

עוד נכתב בדו"ח כי "הליקוי המרכזי שנמצא מתייחס לקריטריון עיבוד מידע אישי במיקור חוץ (68% מהגופים נמצאו ברמת עמידה נמוכה, ו-14% ברמת עמידה בינונית), ניכר כי גם במקרים בהם הגופים שנבדקו הטמיעו מנגנוני בקרה נאותים בארגון, קיים עדיין ליקוי ביישום הדרישות מחברות צד ג' המעניקות שירותי עיבוד מידע אישי במיקור חוץ. כך, חלק מהגופים לא נקטו צעדים מספקים מבעוד מועד על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה בפרטיות של נושאי המידע, הנובע משימוש במיקור חוץ".

ממצאי דו''ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

ממצאי דו"ח הפרטיות במועדוני לקוחות. אינפוגרפיקה: הרשות להגנת הפרטיות

על פי הרשות, "מרבית (68%) הגופים אינם מבצעים התקשרות לפי הוראות התקנות בצורה מספקת, לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ, ולא מבצעים פעולות פיקוח כנדרש".

"הגם שמרבית מועדוני הלקוחות מכירים את דרישות החוק והתקנות והטמיעו, או מצויים בשלבי הטמעה של עיקרי הדרישות", סיכמו כותבי הדו"ח, "עדיין נמצאו ליקויים משמעותיים באופן יישום הוראות החוק והתקנות. קיימים סיכונים לא מעטים לפרטיות לקוחות בקרב מועדוני הלקוחות, אשר נובעים מניהול מידע רב, מזוהה ורגיש, וניהול קשר אינטראקטיבי עם נושאי המידע, באופן ישיר או באמצעות מיקור חוץ. כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות הגנת הפרטיות (אבטחת המידע), שקיפות מול הלקוח, ומילוי החובות החלות מכח פרק הדיוור הישיר ושירותי הדיוור הישיר בחוק".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים