top image

סקר ציות בתחום הגנת הפרטיות

טופס סקר ציות לפרטיות עם סימני ביקורת, עט, ואייקונים המייצגים עין, מחשב, שרשרת אספקה, מסמכים מאובטחים וטאבלט – על רקע כהה מקצועי.

סקר ציות (Privacy Compliance Survey) הוא כלי חיוני בניהול אפקטיבי של מדיניות הגנת הפרטיות בארגונים ציבוריים ופרטיים כאחד, והוא מהווה חלק בלתי נפרד מחובות של “בעל מאגר מידע”. מטרתו העיקרית של הסקר היא לאמוד את רמת ההתאמה של הארגון לדרישות הדין הרלוונטי, לרבות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), הנחיות הרשות להגנת הפרטיות, מיטב הפרקטיקה המקצועית, תקני ISO רלוונטיים (27001/27701), רגולציית GDPR וכו’.

הצורך בסקר ציות נובע מהעובדה שהיבטי פרטיות, הגנה על מידע אישי ואבטחת מידע הם אינם רק חובה רגולטורית, כאמור, אלא מרכיב מהותי בניהול הממשל התאגידי, כלי לצמצום סיכונים כספיים ומשפטיים, וכלי להגדלת אמון הציבור והלקוחות בארגון. הארגון מחויב לא רק לשמור על שלמות, סודיות וזמינות המידע שברשותו, על פי הצהרותיו, אלא גם להוכיח כי הוא פועל להגנה על הפרטיות באופן אקטיבי ואפקטיבי.

אופן ביצוע סקר ציות

ההליך כולל בחינה שיטתית של מכלול ההיבטים הרלוונטיים להבטחת עמידה בדין, בראש ובראשונה –

המסגרת הארגונית

האם מונה ממונה על הגנת הפרטיות (DPO)? האם קיימת מדיניות הגנת הפרטיות? והאם קיימים נהלים פנימיים להבטחת פרטיות, וביניהם נהלי איסוף, עיבוד, שימוש, מסירה ומחיקה של מידע אישי?

רמת אבטחת המידע בהיבט הטכנולוגי

סיווג המאגרים, רישום מאגרי מידע, בקרות גישה, מערכות גיבוי והתאוששות, שימוש בהצפנה, תיעוד אירועים חריגים וניהול הרשאות משתמשים.

ממשק הארגון עם גורמים חיצוניים

  • קיומם של הסכמים מתאימים עם ספקים המעבדים מידע אישי, הכוללת רמת אבטחת המידע אצל הספקים, לניהול שרשרת האספקה.
  • האם קיימות הרשאות להעברת מידע לגורמים חיצוניים (ובפרט מחוץ לישראל).
  • תיעוד של הסכמות מצד נושאי המידע.

רמת המודעות וההדרכה בקרב העובדים

זהו היבט שלעיתים מוזנח למרות שהוא מהותי. ארגון שהעובדים בו אינם מבינים מהו מידע אישי, מתי מותר לחשוף אותו, ומהם כללי השמירה עליו, עלול להיקלע להפרות חמורות – אף אם קיימות מערכות טכנולוגיות מתקדמות.

המלצות ותכנית עבודה לתיקון ליקויים

על בסיס הממצאים, נבנית מפת סיכונים הכוללת המלצות קונקרטיות: עידכון נהלים, שדרוג מערכות, הטמעת מדיניות מחודשת, הכשרות עובדים, בחינה מחדש של מאגרים, ועוד.

 

מדריך לעריכת סקר ציות בתחום הגנת הפרטיות

עריכת סקר ציות (Privacy Compliance Survey) היא משימה מקצועית הדורשת שילוב של ידע משפטי, הבנה טכנולוגית ויכולת לנתח את המבנה הארגוני והנהלים הפנימיים של הגוף הנבדק. להלן פירוט שיטתי של שלבי העבודה המרכזיים בעריכת סקר ציות, כפי שמומלץ לבצעו לפי פרקטיקה מקצועית בישראל ובהתאם להנחיות הרשות להגנת הפרטיות:

שלב 1: הגדרת מטרות, היקף והמסגרת הארגונית

בשלב הראשון יש להגדיר בצורה מדויקת את מטרות הסקר: האם מדובר בביקורת כוללת על כלל מערכות הארגון? האם מדובר בבחינה של תהליך מסוים (למשל איסוף נתונים מאפליקציה או ניהול מאגר לקוחות)? בנוסף, יש להבהיר את מסגרת הסקר: אילו יחידות ייבחנו, האם מדובר בארגון עם סניפים, תאגידים קשורים או שותפים עסקיים.

בשלב זה גם ממונה “רכז סקר” מטעם הארגון – לרוב סמנכ”ל תפעול, DPO, יועץ משפטי פנימי או ממונה על אבטחת מידע. מתקיים מפגש פתיחה ראשוני בין הצוות המשפטי והטכנולוגי לבין נציגי ההנהלה, לצורך מיפוי כללי והסכמה על לוחות זמנים וגישה למסמכים.

שלב 2: איסוף מידע ומסמכים רלוונטיים

השלב הבא כולל איסוף מסמכים קיימים, כדוגמת: מדיניות פרטיות (פנימית וחיצונית); נהלי אבטחת מידע; חוזים עם ספקים שמעבדים מידע אישי; תקנון; טפסי הסכמה לעיבוד מידע; רישום מאגרי מידע; תרשימי זרימת מידע; דו”חות ביקורת קודמים (אם קיימים); ועוד. האיסוף נערך, בין היתר, באמצעות ראיונות עומק עם בעלי תפקידים.

שלב 3: מיפוי תהליכי עיבוד מידע אישי

בשלב זה נעשה מיפוי מלא של כל זרימות המידע (Data Flow) בארגון. בין היתר, עורך הסקר ממפה את המקורות והתהליכים הבאים:

מקורות המידע; סוגי המידע (מידע רגיש, מידע רגיש במיוחד); מה המטרות לשמן נאסף המידע, ושמירה על עיקרון צמידות המטרה; מהו הבסיס המשפטי לעיבוד (חוק, הסכמה, חובה חוזית וכו’); הגורמים ששותפים לעיבוד; האם יש העברת מידע מחוץ לישראל; משך שמירת המידע; וכיצד נושא המידע מממש את זכות כיצד ניתנת האפשרות לעיון ולתיקון.

שלב 4: ניתוח פערים ובחינה משפטית-טכנולוגית

בשלב זה מתבצעת השוואה שיטתית ומעמיקה בין המצב הקיים בפועל (כפי שנלמד מהמסמכים, הראיונות והצפייה בתהליכי העבודה), לבין הדרישות החלות על הארגון לפי הדין הישראלי, הנחיות המאסדר (הרשות להגנת הפרטיות), ולעיתים גם רגולציות בין־לאומיות רלוונטיות. הבחינה נעשית בשני מישורים משולבים – מישור משפטי ומישור טכנולוגי – תוך תשומת לב לשאלות הבאות:

  • רישום מאגרי מידע: האם קיימת רשימה מלאה, מדויקת ועדכנית של כל מאגרי המידע האישי המנוהלים על ידי הארגון? האם המאגר נרשם כדין (במקרים בהם חלה חובת רישום לפי סעיף 8 לחוק הגנת הפרטיות)? האם נוהל הרישום משקף נאמנה את מטרות העיבוד ואת סוגי המידע?

  • נהלים פנימיים: האם קיימים נהלים כתובים בנוגע לניהול המידע האישי, כגון נוהל איסוף מידע, שמירה, שיתוף, מחיקה, העברת מידע לצדדים שלישיים? האם נהלים אלו הופצו ויושמו בפועל? האם יש תיעוד ליישומם?

  • מדיניות אבטחת מידע: האם קיימת מדיניות ארגונית ברורה ומעודכנת העומדת בדרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017? האם המדיניות כוללת סיווג של המאגרים לפי רמת רגישות, הגדרה של רמות הרשאה, בקרות גישה, הצפנה, ניהול סיסמאות ואימות דו שלבי?

  • אמצעי הגנה טכנולוגיים: האם הותקנו אמצעי אבטחה נאותים, לרבות תוכנות אנטי-וירוס, חומות אש, מערכות לגילוי חדירות, גיבויים אוטומטיים, וכלים להצפנת מידע רגיש במעבר ובמנוחה?

  • מימוש זכויות נושאי המידע: האם קיימת תשתית ארגונית שמאפשרת לנושאי מידע לממש את זכויותיהם לפי החוק – עיון ובקשה לתיקון? האם יש טופס מתאים באתר? האם יש כתובת לנושא בארגון? האם קיים מעקב אחרי בקשות שטופלו?

  • הדרכה והסמכת עובדים: האם ה-DPO הכין תוכנית הדרכה בכל הנוגע להגנת פרטיות? האם העובדים מודעים להוראות הדין, לנוהלי הארגון ולסנקציות האפשריות בגין הפרה?

  • היערכות לאירועי אבטחת מידע/ הגנת הפרטיות: האם קיימת מדיניות תגובה מסודרת לאירועים (Incident Response Plan)? האם נערכו תרגילים או סימולציות? האם ידוע מי האחראי לאירוע ומהם שלבי הדיווח?

  • הסכמים עם צדדים שלישיים: האם קיימים הסכמי עיבוד מידע (DPA) עם ספקים, קבלני משנה ושירותי ענן, הכוללים הוראות בהתאם לתקנה 15?

  • עמידה בהנחיות פרטניות: האם הארגון פועל בהתאם להנחיות המפורשות של הרשות להגנת הפרטיות בתחומים ייחודיים (כגון מצלמות אבטחה, מערכות נוכחות ביומטריות, ניהול מאגרי עובדים, יישומים דיגיטליים, איסוף מידע רפואי וכיוצ”ב)?

שלב 5: הכנת דו”ח סקר ציות והמלצות אופרטיביות

עם סיום שלבי האיסוף והניתוח, מגבש הצוות המקצועי דו”ח סופי מפורט, המהווה מסמך מדיניות ומפת דרכים יישומית כאחד. הדו”ח כולל:

  • מבוא ומתודולוגיה: תיאור מתומצת של מסגרת הסקר, שלבי העבודה, מקורות המידע ושיטת הניתוח שנבחרה.

  • מפת מאגרי מידע ותהליכי עיבוד: תרשים עדכני של כלל מאגרי המידע בארגון, סוגי המידע, מקורותיו, מטרות השימוש, שיתופים עם צדדים שלישיים, ואופן השמירה והמחיקה.

  • טבלת פערים מפורטת: סיכום הפערים שנמצאו, דירוג חומרת הפער, והשלכות אפשריות (רגולטוריות, תדמיתיות, תביעתיות).

  • דירוג סיכונים: סיווג הסיכונים לפי רמות חומרה (גבוה / בינוני / נמוך), בהתחשב בסבירות להתרחשות ובהשפעה האפשרית על הארגון ונושאי המידע.

  • המלצות לתיקון (גיבוש תוכנית פעולה): רשימת צעדים אופרטיביים ומעשיים שנועדו לסגור את הפערים. לצורך הדוגמה, ניסוח נהלים חדשים, עדכון מדיניות הפרטיות באתר, מינוי ממונה על פרטיות, ביצוע סקר אבטחת מידע טכנולוגי נוסף, חתימה על הסכמים חדשים מול ספקים, פתיחת ערוץ פניות לנושאי המידע, וכיוצ”ב. במסגרת זו ניתן להעריך את המשאבים הכספיים למימוש התוכניות.

  • לוחות זמנים ליישום: טבלת מעקב המפרטת את מועדי הביצוע, הגורם האחראי, מדדי הצלחה, ומהן נקודות הבקרה והביקורת.

  • המלצה לתוכנית בקרה עתידית: הצעה למסגרת של סקרי ציות תקופתיים, כדי לוודא שהשיפורים מוטמעים לאורך זמן וכי הארגון ממשיך לפעול בהתאם לדין גם עם שינויים בטכנולוגיה, בכוח האדם ובממשקי הפעולה.

בשלב הסיום נערכת ישיבת הצגת ממצאים להנהלה הבכירה, במסגרתה מדגישים את הפערים הקריטיים, מסבירים את השלכותיהם, וממליצים על סדר עדיפויות מיידי. חלק מהארגונים אף מבקשים שהדוח ישמש כבסיס לדיווח שנתי פנימי או חיצוני.

 

הצגה וניתוח פערים מסקר ציות  

ניתוח הפערים מוצג, לרוב, בטבלת השוואה מפורטת, המציגה זה מול זה את המצב הרצוי (Normative Benchmark), לעומת המצב הקיים בפועל (As Is). פערים אלו מדורגים על-פי רמת חומרתם, השלכותיהם האפשריות והסיכון המשפטי והרגולטורי הנובע מהם. הדירוג נעשה באופן הבא:

  • פערים ברמת חומרה גבוהה. פערים היוצרים סיכון ממשי להפרות משמעותיות של דרישות החוק, העלולים לחשוף את הארגון לסנקציות מנהליות ורגולטוריות חמורות, לתביעות משפטיות או לפגיעה קשה במוניטין.

  • פערים ברמת חומרה בינונית (משמעותיים). אלו פערים הדורשים טיפול ותיקון בטווח הזמן הקצר, ואשר השתהות בטיפולם עלולה להחריף את המצב וליצור חשיפה משפטית ורגולטורית גבוהה יותר בעתיד.

  • פערים ברמת חומרה נמוכה. אלו פערים בעלי אופי טכני או תפעולי בעיקרם, הניתנים לתיקון באמצעות פעולות מיידיות במסגרת העבודה השוטפת והניהולית השגרתית של הארגון. פערים אלו אינם כרוכים, בדרך כלל, בחשיפה מהותית לסיכון משפטי או רגולטורי משמעותי.

 

סיכום: סקר ציות

על פי הרגולציה בישראל ובעולם, קיומם של מדיניות, נהלים או תוכניות בתחום הגנת הפרטיות – אינם מספיקות. יש לבחון את התנהלות הארגון, ואת האפקטיביות של הפעולות. על הארגון לנקוט בעצמו בפעולות מקדימות, בעלות תכלית מניעתית שמטרתן הטמעת נורמות לשמירה על הוראות הדין, מניעת עבירות, טיפול בהפרות ויצירת תמריצים חיוביים. הכלי המרכזי בעניין זה, הוא סקר ציות, שלאחריו יגבש הארגון תכנית אכיפה פנימית אפקטיבית, ולאחריו יישום בפועל בשגרה ובתרבות הארגונית היומיומית.

עריכת סקר ציות בתחום הפרטיות מחייבת הבנה משפטית מקיפה, הבנת אופי ומטרות הארגון, גישה טכנולוגית מעשית, ויכולת לתרגם דרישות רגולטוריות למציאות ארגונית. זהו תהליך שמאפשר לארגון לעבור מביקורת מגיבה, לניהול פרטיות פרואקטיבי, ולצמצם חשיפה של הארגון, של העומדים בראשו, ושל בעלי התפקידים בו. משרד עורכי הדין וולר ושות’ מלווה ארגונים, רשויות ציבוריות וחברות פרטיות בבניית תשתיות רגולטוריות בתחום הגנת הפרטיות, תוך התמחות ייחודית בביצוע סקרי ציות מותאמים אישית. צוות המשרד משלב מומחיות משפטית בדיני הגנת הפרטיות עם הבנה טכנולוגית, במטרה לספק ללקוחותיו ניתוח מדויק של הפערים, מפת סיכונים מבוססת, ותוכנית עבודה יישומית וברת-ביצוע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign