מסתמן: ארגונים יחויבו בחוק למנות ממונה על הגנת הפרטיות

הרשות להגנת הפרטיות עובדת על תיקונים לחוק הגנת הפרטיות המיושן, ובהם החובה למנות ממונה ארגוני לתחום - ש-"יקטין את הסיכון שיהיו אירועים כמו זה של שירביט", לדבריהם ● אם יהיו בחירות, זה יעכב את ביצוע החקיקה

ממונה על הגנת הפרטיות - בקרוב בחוק. מקור: BigStock

מינוי ממונה על הגנת הפרטיות, שעד כה היה בגדר המלצה, צפוי להפוך לחובה חוקית – כך עולה ממפגש שערכה היום (ב') הרשות להגנת הפרטיות, בעקבות אירועי אבטחת המידע והסייבר שקרו באחרונה, דוגמת זה של חברת הביטוח שירביט. ברשות טוענים שמינוי ממונה שכזה יוכל לסייע בהקטנת הסיכון לכך שיקרו אירועים כאלה.

המפגש התקיים בעקבות מסמך שהרשות הוציאה באוקטובר האחרון, שבו היא ממליצה לארגונים למנות ממונה שכזה. אלא שבניגוד למגמה לחוקק זאת כחובה בחוק, אז היא טענה כי מינוי וולונטרי של מנהל בכיר לתפקיד הוא הפרקטיקה המומלצת. כך או כך, ד"ר שלומית ווגמן, ממלאת מקום ראש הרשות, אמרה כי "החשיבות של מינוי ממונה על הגנת הפרטיות מקבלת משנה תוקף לאור אירועי אבטחת המידע והסייבר האחרונים. זהו כלי מאוד חשוב כדי לסייע לארגונים למזער אירועי אבטחת מידע".

עו"ד ניר גרסון, סגן ראש מחלקת ייעוץ משפטי ואסדרה ברשות, אמר במפגש כי "אין ספק שמינוי ממונה לתחום היה מקטין מאוד את הסיכון לאירועים כמו זה שאירע בשירביט. עצם העובדה שקיים נושא משרה בכיר בארגון שחושב פרטיות, ובעקיפין גם אבטחה, משפיע עליו".

העברת החקיקה תתעכב אם נצא לבחירות

החלת החובה למינוי ממונה על הגנת הפרטיות בחוק היא חלק מתיקונים לחוק שברשות עובדים עליהם בימים אלה, יחד עם שר המשפטים, אבי ניסנקורן. יצוין כי חוק הגנת הפרטיות הנוכחי מיושן – הוא חווק לפני ארבעה עשורים. העברת החקיקה תלויה בשאלה האם המדינה תצא למערכת בחירות נוספת, לאור אי ההסכמות בין הליכוד לכחול לבן – דבר שיקרה אם הכנסת לא תעביר את תקציב המדינה עד ליום ד' בשבוע הבא.

באוקטובר האחרון פרסמה הרשות מסמך שעומד על החשיבות שבמינוי ממונה על הגנת הפרטיות וכולל המלצות לארגונים מה צריך התפקיד לכלול. ברשות סבורים שמינוי ממונה לתחום ירכז את כל נושאי הפרטיות תחת גורם אחד ויסייע לארגונים לעמוד בהוראות החוק והתקנות – לטובת הארגונים עצמם והלקוחות. לדברי עו"ד וגמן, "ממונה על הגנת הפרטיות יתרום לניהול מידתי ואחראי של הארגונים, ישיג להם ערך ויגביר את אמון הלקוחות. זה תו תקן שמשדר ללקוחות שאכפת לארגון מהם. הדבר יכול גם למזער את החשיפה להליכים משפטיים".

"הממונה על הגנת הפרטיות לא צריך להיות תחת המנמ"ר"

עו"ד גרסון ציין שלממונה על הגנת הפרטיות "צריכה להיות הבנה נאותה בטכנולוגיות מידע ואבטחת מידע. הוא לא צריך להיות בהכרח מומחה לתחומים אלה, אבל צריך שתהיה לו הבנה מספקת בהם. בעיקר, הוא צריך להכיר את דיני הגנת הפרטיות – בארץ ובעולם – ואת האתיקה המקצועית. כמו כן, רצוי מאוד שהוא יהיה חלק מההנהלה הבכירה או לפחות ידווח לה ישירות".

הוא הוסיף כי "לא נכון שהממונה יהיה כפוף למנמ"ר, כי המנמ"ר נמדד לפי הביצועים ומנהל האבטחה לפי ההגנה – וזה עשוי להתנגש". כמו כן, הוא קרא למדינה לתמרץ ארגונים למנות ממונה על הגנת הפרטיות – בין אם בתמריצים כספיים או אחרים.

עו"ד שלומית ווגמן, ממלאת מקום ראש הרשות להגנת הפרטיות. צילום מסך: יניב הלפרין

עו"ד שלומית ווגמן, ממלאת מקום ראש הרשות להגנת הפרטיות. צילום מסך: יניב הלפרין

"סכומי הקנסות על הפרת הפרטיות – מגוחכים"

עו"ד ווגמן פירטה במפגש את כלי האכיפה שהרשות נוקטת בהם באירועי הפרת פרטיות. "כשיש מקרה לאומי כמו זה שאירע בשירביט, הרשות פועלת במספר מישורים: קיום אכיפה מנהלית או פלילית – הן נגד הארגון שבו קרה האירוע והן נגד ההאקר; ביטול או הטלאה של רישום מאגר מידע, מה שלא יאפשר לארגון לפעול באופן תקין; חיוב בעל מאגר המידע להודיע על האירוע ללקוחות שעשויים להיפגע, כמו שעשינו במקרה של שירביט ויכולת לתת אישור מתי להעלות את מערכות המידע מחדש".

כחלק מסדרת תיקוני החקיקה שהרשות עובדת עליהם, היא פועלת להעלאת סכומי הקנסות הקיימים, שאותם כינתה עו"ד ווגמן "מגוחכים". לדבריה, "התיקונים שאנחנו מקווים להעביר יהיו משמעותיים וישנו משמעותית את סטנדרט אבטחת המידע במשק".

בהמשך היא חזרה על הקריאה "לחברות, גופים, בעלי מאגרים ויועצים לחשוב על המידע שנאסף – האם הם לא אספו מידע מעבר לדרוש. אם בעבר הייתה תפיסה שכדאי שיהיה לארגון כמה שיותר מידע, לעתים עודף מידע הוא משקולת עליו, כי הוא חושף אותו לסיכונים נוספים שנוגעים לשמירת המידע. על הארגון לשקול האם לא כדאי להיפטר מחלק מהמידע. כמו כן, עליו לבצע סקר סיכונים, לאבטח פיזית את המקום שבו המידע נשמר, לדאוג לניהול הרשאות גישה, זיהוי, אימות ובקרה, ניהול אירועי אבטחת מידע, אבטחת התקנים ניידים ועוד".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. אברום רותם

    יש רק לברך על היוזמה. באמת הגיע הזמן להגידר מפורשות מה ואיך מיישמים קונקרטית הגנת הפרטיות במאגרי החברה, כמו מה באמת שומרים, לכמה זמן, הרשאות צפיה ושימוש במידע האישי-פרטי וכד'. עם זאת נראה שיש בלבול או לפחות עמימות בין " ממונה על הגנת הפרטיות" לבין כשלים שאפשרו פריצה למגרי המסמכים והמידע האישי , כמו בחברת שירביט למשל. תוהה איך " ממונה על הגנת הפרטיות" היה מונע או מקטין משמעותית את המזק בפריצה למאגרי המידע של החברה... צריך עוד מהלך משלים ליוזמה חשובה זו!

אירועים קרובים