רישום מאגרי מידע

רישום מאגרי מידע בישראל מהווה אבן יסוד במשטר ההגנה החוקי על פרטיות המידע האישי, ומהווה חלק בלתי נפרד מהמסגרת הרגולטורית הקבועה בחוק הגנת הפרטיות, התשמ”א–1981. חובת הרישום, המוסדרת בפרק ב’ לחוק ובתקנות שהותקנו מכוחו, אינה בגדר דרישה פרוצדורלית גרידא, אלא ביטוי לעקרון השקיפות והאחריותיות (Accountability) של גופים המחזיקים או מעבדים מידע אישי. באמצעות חובת הרישום, מבקש המחוקק להבטיח כי פעילות עיבוד מידע המתבצעת בישראל תיעשה תחת פיקוח מוסדי, בהתאם למטרות מוצהרות ותחומות, ובכך לצמצם סיכונים של שימוש לרעה או פגיעה בזכות החוקתית לפרטיות. סקירה זו תבחן את ההיקף, התנאים, והמשמעויות המשפטיות של החובה לרישום מאגרי מידע, תוך התייחסות לפרקטיקה הרגולטורית ולסנקציות בגין אי-עמידה בדרישות החוק.

החובה החוקית לרישום מאגרי מידע בישראל

מקורות נורמטיביים: חקיקה ראשית וחקיקת משנה 

מקורה של חובת רישום מאגרי מידע בישראל, בחוק הגנת הפרטיות, התשמ”א–1981. בשנת 1996 נוסף לחוק פרק מיוחד העוסק במאגרי מידע, המחיל דרישת רישום על בעל מאגר מידע לרשום אותו אצל רשם מאגרי המידע שבמשרד המשפטים. על פי ההגדרה –

“מאגר מידע” – אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט –

(1) אוסף לשימוש אישי שאינו למטרות עסק; או

(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף.

לצד זאת נקבעו חריגים מצומצמים להגדרה: אוסף נתונים לשימוש אישי-פרטי (שאינו למטרות עסקיות) או אוסף המכיל אך ורק שם, כתובת ודרכי התקשרות – באופן שאינו מאפשר אפיון של נושאי המידע – לא ייחשבו “מאגר מידע” החוסה תחת החוק. בכל מקרה אחר, אוסף שיטתי של מידע אישי באמצעים דיגיטליים ייחשב למאגר מידע ויחולו עליו דרישות החוק.

תנאי החובה לרישום מאגר מידע

במתכונתו המקורית, סעיף 8 לחוק הטיל חובת רישום על חלק ניכר ממאגרי המידע. החובה חלה אם המאגר ענה על אחד מן התנאים בסעיף 8(ג):

• במאגר מידע אודות יותר מ-10,000 איש;
• המאגר כולל “מידע רגיש” (כגון נתונים על מצב בריאות, צנעת חייו האישיים של אדם, השקפותיו, אמונתו, מצבו הכלכלי ועוד);
• המידע במאגר לא נמסר ע”י האנשים עצמם או בהסכמתם (כלומר מידע שנאסף ממקורות צד ג’);
• בעל המאגר הוא גוף ציבורי;
• המאגר משמש לשירותי דיוור ישיר.

מאגר העומד באחד הקריטריונים הללו חייב היה ברישום בפנקס רשמי המנוהל בידי רשם מאגרי המידע. אי-רישום מאגר שחובה לרשום אותו היווה עבירה פלילית וכן עבירה מנהלית שבצידה קנס.

רישום מאגר מידע לאחר תיקון 13 לחוק הגנת הפרטיות

במהלך השנים נמתחה ביקורת כי חובת הרישום גורפת מדי ואינה מתיישבת עם רגולציית פרטיות מודרניות בעולם. בהתאם לכך, תיקון מספר 13 לחוק הגנת הפרטיות, התשפ”ד–2024, צמצם באופן משמעותי את חובת הרישום, והתאים אותה לפרקטיקות הנהוגות כיום. לפי התיקון, החל מיום כניסתו לתוקף (15/8/2025), רק שני סוגי מאגרים יחויבו ברישום אצל הרשות להגנת הפרטיות:

(א) מאגר שמטרתו העיקרית היא איסוף מידע אישי כדי למסור אותו לאחרים כדרך עיסוק או בתמורה – כלומר “מסחר במידע” – ובמאגר מידע על יותר מ-10,000 אנשים.

(ב) מאגר שמוחזק בידי גוף ציבורי, להוציא מאגר המכיל אך ורק מידע על עובדי אותו גוף ציבורי.

נדגיש שגם לאחר תיקון מס’ 13, מאגרי מידע הפטורים מרישום עדיין כפופים לכל הוראות החוק האחרות. דהיינו, ביטול החובה הטכנית לרשום את המאגר אינו פוטר את בעליו מקיום חובות המהותיות של הגנת הפרטיות – איסוף ושימוש במידע רק למטרות מותרות, אבטחתו כנדרש, כיבוד זכויות נושאי המידע וכו’. מאגרים שנרשמו בעבר יוותרו רשומים גם אם כעת אינם חייבים רישום, אלא אם בעליהם יודיע לרשות שאין עוד חובת רישום ואז ימחקו מן המרשם

בנוסף, התיקון הוסיף חובת יידוע (דיווח) חדשה: בעל שליטה במאגר מידע שאינו חייב עוד ברישום ואשר כולל מידע בעל רגישות מיוחדת על יותר מ-100,000 איש, חייב להודיע לרשות להגנת הפרטיות על כך בתוך 30 יום, ולמסור פרטים מזהים, פרטי קשר, זהות ממונה הגנת הפרטיות (אם נדרש למנות), ועוד.

חקיקת משנה והנחיות

הרשות פרסמה במהלך השנים שורת תקנות, גילויי דעת והנחיות מקצועיות מרכזיות, אשר מרחיבים את הוראות חוק הגנת הפרטיות ומסדירים את יישומו בפועל. הבולטים שבהם –

תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017. התקנות המרכזיות והמקיפות ביותר להסדרת אמצעי הגנה נאותים במאגרים, לרבות סיווג מאגרים, רמות אבטחה, חובות תיעוד, סקרי סיכונים, דיווח על אירועי אבטחה ועוד.

תקנות הגנת הפרטיות (אגרות), תשס”א–2000. גביית אגרות רישום למאגרי מידע.

תקנות הגנת הפרטיות (קביעת מאגרי מידע שלא לגילוי), תשמ”ז–1987. תקנות אלו קובעות סוגי מאגרים שמידע אודותיהם לא יפורסם בפנקס המאגרים הפומבי, לרוב מטעמי ביטחון או פרטיות רגישים במיוחד.

תקנות הגנת הפרטיות (העברת מידע לחו”ל), תשס”א–2001. מסדירות את התנאים להעברת מידע אישי אל מחוץ לישראל, כולל החובה להבטיח רמת הגנה נאותה במדינה הקולטת.

הנחיות מקצועיות שפורסמו ע”י הרשות להגנת הפרטיות (על בסיס מקורות פומביים)

• הנחיה בדבר פנייה לאדם לצורך איסוף מידע אישי (חובת היידוע לפי סעיף 11 לחוק). כוללת הוראות כיצד על גוף לפרט לנושא המידע את מטרת האיסוף, האם חלה עליו חובה חוקית למסור את המידע, מי צפוי לקבלו ומהן זכויותיו.

• הנחיה בעניין עיבוד מידע במיקור חוץ. עוסקת בהתקשרות בין בעל מאגר לבין גורם מעבד, לרבות מבנה חוזה עיבוד מידע (DPA), חובת הפיקוח על ספקי שירות, מנגנוני הגנה, והפרדה בין לקוחות.

• הנחיה לשימוש במצלמות במרחב הציבורי. מפרטת באילו תנאים ניתן להציב מצלמות לשם אבטחה, כיצד יש לשלט, אילו זכויות קיימות לאזרחים, ומהם התנאים לשמירת התיעוד.

• הנחיה להעברת מידע לגורמים חיצוניים ולחו”ל. הנחיה זו משלימה את התקנות הרלוונטיות ומבהירה מהן הדרישות המשפטיות בהעברת מידע אישי מחוץ לתחום השיפוט של מדינת ישראל.

מטרות חובת הרישום ותכליתה: הזכות לפרטיות כערך חוקתי

הגנה על הפרטיות באמצעות רגולציה ופיקוח

חובת רישום מאגרי מידע לפי סעיף 8 לחוק הגנת הפרטיות, התשמ”א–1981, נושאת אופי מהותי ונועדה לשרת עקרונות יסוד בדיני הגנת הפרטיות. בראשן, עקרון השקיפות והאחריותיות (Accountability) בעיבוד מידע אישי. חובת הרישום מחייבת כל גורם הכפוף לה למסור לרשם מאגרי המידע פרטים מהותיים על אודות המאגר, לרבות מטרות העיבוד, סוגי המידע הנכללים בו, זהות בעל המאגר ומנהלו, אופן קבלת המידע, ואופן השימושים המותרים בו.

נתונים אלו נרשמים בפנקס מאגרי המידע – מרשם פומבי שמנוהל על-ידי הרשות להגנת הפרטיות ונגיש לציבור הרחב. קיומו של פנקס זה נועד לאפשר בקרה ציבורית ומשטר של פיקוח עצמי, בכך שנושאי מידע יכולים לברר האם קיים מידע אודותיהם במאגר מסוים, ולעמוד על אופיו והשימושים המוצהרים בו. בכך מהווה פנקס המאגרים כלי אכיפה רך, המעודד שמירה על כללי הדין ומאפשר מימוש זכויות הפרט, לרבות זכות העיון, התיקון, ההתנגדות לשימוש מסוים או הדרישה להסרה, בהתאם להוראות החוק.

חובת הרישום ככלי להרתעה, ציות, והטמעת שיקולי פרטיות

חובת הרישום של מאגרי מידע אינה רק מנגנון רישומי-פורמלי, אלא כלי רגולטורי מרכזי המעודד הרתעה וציות אפקטיביים להוראות החוק. עצם הידיעה כי על הארגון לרשום את המאגר ולפרט במסגרתו את מטרותיו, סוגי המידע הכלול בו, זהות הגורמים הגורמים המעבדים את המידע, והאופן שבו ייעשה שימוש במידע – מחייבת בחינה מוקדמת ומושכלת של שיקולי פרטיות כבר בשלבי התכנון וההקמה של מערכות איסוף המידע.

בהקשר זה, חובת הרישום מקדמת אפקט יישומי של Privacy by Documentation – דוקטרינה המעודדת תיעוד מראש של השימושים המותרים במידע ושל מטרותיו, ובכך כופה על הארגון משטר פנימי של אחריותיות (Accountability) ומצמצמת את האפשרות לשימוש שרירותי, מנוגד למטרה, או בלתי מידתי במידע אישי.

יתרה מכך, עצם הרישום יוצר “עקבות רגולטוריות” – תשתית מידע המאפשרת לרשות להגנת הפרטיות לבצע פיקוח ואכיפה אפקטיביים. ניהול מאגר הכפוף לחובת רישום מבלי שנרשם כדין מהווה עבירה הן במישור הפלילי והן במישור המנהלי, ומזכה את הרשות באמצעים אכיפתיים, לרבות הטלת עיצומים כספיים משמעותיים. לפיכך, חובת הרישום משמשת כתמריץ פרואקטיבי לעמידה בדרישות הדין, וליישום נאות של מדיניות פרטיות ארגונית.

בנוסף, החוק מסמיך את רשם מאגרי המידע לסרב לרשום מאגר אשר מטרותיו סותרות את הוראות הדין, אינן ראויות או עשויות להביא לפגיעה בלתי מידתית בזכויות הפרט. בכך מתפקדת חובת הרישום גם כמנגנון סינון מקדים – המונע מראש הקמה של מאגרי מידע המיועדים לשימושים פסולים או בלתי חוקיים, ובכך מחזק את ההגנה הציבורית מפני פגיעות פוטנציאליות בזכות החוקתית לפרטיות.

הזכות לפרטיות כזכות חוקתית

הזכות לפרטיות בישראל אינה אך ערך חברתי נורמטיבי, אלא זוכה למעמד של זכות חוקתית מכוח סעיף 7 לחוק-יסוד: כבוד האדם וחירותו, הקובע כי “כל אדם זכאי לפרטיות ולצנעת חייו”. חוק הגנת הפרטיות, התשמ”א–1981, ובתוכו חובת רישום מאגרי מידע, מהווים את אחת מהתשתיות החקיקתיות המרכזיות שנועדו להעניק תוקף אופרטיבי לזכות זו ולהבטיח את מימושה הלכה למעשה.

בהצעת החוק המקורית, עמד המחוקק על כך שהתפתחות טכנולוגיות המחשוב והיכולת לאגור, לעבד ולנתח מידע אישי בהיקפים נרחבים, מחייבות הסדרה ייחודית שתאזן בין צורכי השוק והניהול הציבורי לבין ההגנה על פרטיות הפרט. חובת רישום מאגרי מידע, כמנגנון פוזיטיבי, נועדה ליצור שקיפות, לקדם עקרון החוקיות ולאפשר פיקוח אפקטיבי על השימוש במידע אישי. מעבר לכך, חובת הרישום ממלאת תפקיד חשוב במימוש עקרון הגבלת הכוח השלטוני. באמצעות פנקס המאגרים, כל אדם יכול לברר אילו גופים ציבוריים או פרטיים מחזיקים מידע אודותיו, מהם השימושים המוצהרים, ומהן דרכי הפיקוח והפנייה. מנגנון זה מהווה נדבך מרכזי בהגנה החוקתית מפני פגיעות לא מידתיות או שרירותיות בזכות לפרטיות מצד רשויות המדינה או גופים בעלי עוצמה מוסדית.

תהליך רישום מאגר מידע – מיפוי, הגשה, שינויים וביטול

• מיפוי וזיהוי המאגרים בארגון. השלב הראשון ברישום הוא זיהוי קיומם של מאגרי מידע המחייבים רישום. על הארגון למפות את כל המאגרים שבבעלותו או בהחזקתו – כגון מאגרי לקוחות, משתמשי אתר, עובדים, ספקים וכו’. יש לקבוע האם אותם מאגרים מהווים “מאגר מידע” כמשמעותו בחוק (לפי ההגדרה שפורטה לעיל) והאם חלות חובת הרישום לאור התנאים החוקיים. בשלב זה נבדקים סוג ואופי המידע הנאסף, היקפו, מטרות השימוש, קיום מידע רגיש וכדומה.
• הכנת פרטי המאגר לרישום. עבור כל מאגר המיועד לרישום, יש להכין את המידע הנדרש לצורך טופס הרישום. סעיף 9 לחוק מפרט שורה של פרטים שחובה לכלול בבקשת הרישום, ביניהם: שם וזיהוי בעל המאגר, המחזיק בו ומנהל המאגר, וכתובותיהם בישראל; מטרות הקמת המאגר והמטרות שלשמן נאסף המידע ומשמש; סוגי המידע שיוכנסו למאגר (למשל פרטי זיהוי, פרטי התקשרות, נתונים פיננסיים, מידע רפואי וכו’); האם המידע יועבר מחוץ לגבולות ישראל (לדוגמה שימוש בשירותי ענן בחו”ל); וכן האם המאגר מקבל דרך קבע מידע מגוף ציבורי, בציון שם אותו גוף וטיב המידע המתקבל ממנו. פרטים אלו נועדו לתאר תמונה ברורה של המאגר. בנוסף, הטופס כולל סימון האם המאגר משמש לדיוור ישיר, והאם יש בו מידע רגיש. יש לצרף גם כתב מינוי של מנהל מאגר המידע – אדם מטעם הארגון שנושא באחריות ניהול המאגר, החתום בידי המנכ”ל.
• הגשת הבקשה לרשם ותהליך האישור. לאחר מילוי הטופס והכנת הנספחים, מוגשת בקשת רישום לראש הרשות להגנת הפרטיות. את הבקשה ניתן להגיש באופן מקוון דרך אתר הרשות, בצירוף תשלום אגרת הרישום הקבועה בתקנות. עם קבלת הבקשה, על הרשם לרשום את המאגר בפנקס המאגרים בתוך 90 יום מיום הגשת הבקשה, אלא אם יש לו יסוד סביר להניח שאותו מאגר נועד לשמש לפעולות בלתי חוקיות או כפיסוי להן, או שהמידע בו נאסף בניגוד לחוק. אם הרשם לא הודיע דבר ולא רשם את המאגר בתוך 90 יום, והמקרה אינו חריג, החוק מתיר למבקש להמשיך ולהחזיק או לנהל את המאגר כאילו נרשם. אם הרשם הודיע על סירוב לרשום את המאגר, או על השהיית הרישום מטעמים מיוחדים, אזי אסור לבעל המאגר להפעילו אלא אם ביהמ”ש מתיר זאת. הסמכות לסרב או לעכב מאפשרת לרשם לחסום מאגרים בעייתיים מראש, כאמור. בפועל, רוב הבקשות התקינות זוכות לאישור ונרשמות בפנקס. הרישום מקבל מספר מזהה, ופרטי המאגר הופכים חלק מהמרשם הציבורי.
• אישור הרישום, שינויים וביטול. לאחר רישום המאגר, על בעל המאגר לקיים את החובות השוטפות הנוגעות לניהולו (ראו בהמשך פרקי האבטחה והזכויות). אם חל שינוי מהותי בפרטי המאגר כפי שנמסרו לרשם – למשל שינוי בעלות במאגר, שינוי במטרות השימוש במידע, הוספת סוגי מידע רגיש חדשים וכדומה – יש לעדכן את הרשם. החוק מחייב לדווח על שינויים בפרטי הרישום כדי שהפנקס ישקף נאמנה את מצב הדברים. בעקבות תיקון מס’ 13, ארגונים שמאגריהם כבר רשומים אך הם כבר לא חייבים ברישום (למשל, מאגר “לקוחות” שנרשם בעבר, שכיום אינו עונה על התנאים החדשים) – יכולים לפנות לרשות ולבקש מחיקה שלהם מהמרשם. עד לפנייה יישאר הרישום בתוקף.
• אכיפה במקרה של אי-רישום. בעבר, ניהול מאגר חייב-ברישום שלא נרשם היווה עבירה פלילית. כיום, עם צמצומה של החובה, מיקוד האכיפה עובר אל המסלול המנהלי: ראש הרשות להגנת הפרטיות מוסמך להטיל עיצומים כספיים משמעותיים על הפרת הוראות החוק, בכלל זה על אי-רישום מאגר שחובה לרושמו או אי-דיווח על מאגר רגיש כנדרש, לפי חומרת ההפרה והיקפה. בנוסף, הרשות תוכל לנקוט סנקציות כגון צווי הפסקת שימוש במידע אם לא נרשם כדין. לכן, ארגון שהחובה חלה עליו חייב לוודא שמילא את הליך הרישום כדין, על מנת להימנע מחשיפה פלילית או מנהלית, לצד פגיעה במוניטין האמון של לקוחותיו.

רמת אבטחת המידע

תקנות הגנת הפרטיות (אבטחת המידע), שנכנסו לתוקף בחודש מרץ 2018, מגדירות שלוש רמות אבטחה, המבוססות על סיכוני האבטחה שהם מייצרים: “מאגר שחלה עליו רמת אבטחה בסיסית“, “רמת אבטחה בינונית“, ו”רמת אבטחה גבוהה“. בנוסף, הגדירו התקנות “מאגר מידע המנוהל על ידי יחיד”, קרי מאגר מידע שמנהל יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד ולכל היותר שני בעלי הרשאה נוספים רשאים לעשות בו שימוש.

רמת אבטחה בסיסית

בכל אחד מהמקרים הבאים תחול על המאגר רמת האבטחה הבסיסית:

• מאגר הכולל מידע רפואי או מידע על מצבו הנפשי של אדם, מידע על עבר פלילי, מידע על נתוני תקשורת ומידע ביומטרי אם מדובר בתמונות פנים בלבד, או: מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי וכו’, בתנאי שהמידע מתייחס רק למועסקים או הספקים של בעל מאגר המידע, ומשמש לניהול העסק בלבד, ואינו כולל את המידע הבא: צנעת חייו של אדם; מידע גנטי; מידע על דעות פוליטיות; מידע ביומטרי לעניין מידע שאינו
  תמונת פנים והרגלי צריכה של אדם.
• מספר בעלי ההרשאה אצל בעל מאגר המידע אינו עולה על עשרה.

זוהי ברירת המחדל למאגר שאינו נופל לאף קטגוריה אחרת (כלומר, מאגר שלא חלה עליו רמת האבטחה הבינונית או הגבוהה, ואינו מאגר המנוהל בידי יחיד).

רמת אבטחה בינונית

רמה זו חלה על מאגרים מסוגים המפורטים בתוספת הראשונה לתקנות, דהיינו על מאגר מידע שמטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדרך עיסוק, לרבות –

• שירותי דיוור ישיר;
• מאגר מידע שבעליו הוא גוף ציבורי (משרדי הממשלה, רשות מקומית וכו’);
• מאגר מידע הכולל מידע על צנעת חייו האישיים של אדם, מידע רפואי, מידע גנטי, מידע על דעות פוליטיות, מידע על עבר פלילי, נתוני תקשורת, מידע ביומטרי, מידע על נכסיו של אדם וכו’, הרגלי צריכה.

רמת אבטחה גבוהה

בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, ולהנחיות הרשות להגנת הפרטיות, רמת אבטחה גבוהה חלה על מאגרי מידע המקיימים את שני התנאים המצטברים הבאים:

1. המאגר נדרש מלכתחילה לעמוד בדרישות של רמת אבטחה בינונית. כלומר הוא עומד לפחות באחד מהתנאים שקובעים חובת רמת אבטחה בינונית (כגון: כולל מידע רגיש, מוחזק על-ידי גוף ציבורי, או מאגר שנועד למסירת מידע לאחרים כדרך עיסוק);

2. המאגר כולל מידע על לפחות 100,000 נושאי מידע או מספר בעלי ההרשאה לעשות בו שימוש עולה על 100.

כלומר, רמת אבטחה גבוהה אינה חלה על כל מאגר המכיל מידע על יותר מ-100,000 אנשים, אלא רק אם המאגר עומד גם בתנאים של רמת אבטחה בינונית. מדובר ברף כפול – תוכני וכמותי – שנועד למקד את הדרישות המחמירות למאגרים גדולים או רגישים במיוחד, שבהם הסיכון לפגיעה בפרטיות משמעותי יותר.

חובת אבטחת מידע, הרשאות גישה וכללי ניהול ושמירה

החובה החוקית לאבטחת מידע אישי במאגרי מידע

הדין הישראלי קובע חובה מפורשת ומחייבת על בעלי מאגרי מידע, מחזיקים ומנהלי מאגרים, לנקוט אמצעים סבירים ונאותים לשם הבטחת אבטחת המידע האישי הכלול בהם. סעיף 17 לחוק הגנת הפרטיות, התשמ”א–1981, אוסר שימוש או גילוי של מידע שלא למטרה שלשמה נאסף, ומטיל חובה להגן עליו מפני כל פגיעה, שיבוש, דליפה או שימוש בלתי מורשה. הפרה של הוראות אלו עשויה להוות עבירה פלילית, ולצדה קמה גם אחריות נזיקית.

האחריות להגנה על המידע מוטלת באופן מקביל על שלושת הגורמים המרכזיים: בעל המאגר, המחזיק בו בפועל (כגון ספק חיצוני), ומנהל המאגר מטעם הארגון. שלושתם חבים בחובת זהירות מוגברת, המחייבת נקיטת כלל האמצעים ההולמים כדי למנוע פגיעה בפרטיות. כשל באבטחת מידע, לרבות מחדל בהגנה מספקת, עלול להיחשב כפגיעה בפרטיות ולהקים עילה לתביעת פיצויים מצד נושאי המידע.

תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017

ביום 8 במאי 2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, אשר מהוות רגולציה מפורטת לאופן שבו יש לנהל את אבטחת המידע במאגרים. התקנות מבוססות על גישת ניהול סיכונים, ומתאימות את רמת האבטחה הנדרשת לרגישות המידע ולהיקפו. הוראות התקנות חלות על כל מי שמנהל או מחזיק מאגר מידע, בין אם המאגר רשום ובין אם לאו.

התקנות מסווגות את המאגרים לארבע רמות אבטחה: מאגר המנוהל בידי יחיד, מאגר בסיסי, מאגר בינוני ומאגר ברמת אבטחה גבוהה. לכל רמה נקבע סט דרישות מינימליות, הן במישור הארגוני והן במישור הטכנולוגי. כך, למשל, כל מאגר מחויב במינוי מנהל אבטחת מידע, בגיבוש מדיניות ארגונית ונהלי עבודה, בניהול הרשאות גישה ובהגנה מפני סיכוני סייבר. מאגרים ברמות בינונית וגבוהה כפופים לדרישות נוספות, ובהן הצפנת מידע רגיש, בקרות גישה מחמירות (כגון אימות דו-שלבי ותיחום הרשאות לפי עקרון הצורך לדעת), ניהול יומני גישה (Audit Logs), ביצוע סקרי סיכונים שנתיים ובחינות חדירות תקופתיות.

בנוסף, קיימת חובה לקבוע נהלים למניעת חדירה פיזית למתקנים בהם מאוחסן המאגר, ולוודא כי תשתיות החומרה והתוכנה שמפעילות את המאגרים מנוהלות תחת פיקוח הדוק ומתמשך.

הסדרת הרשאות גישה והכשרת עובדים

התקנות מחייבות קביעת מדיניות פרטנית להסדרת הרשאות גישה למידע. מנהל המאגר מחויב לתעד מי מורשה לגשת לאילו חלקים מהמאגר, לוודא כי ההרשאות מתאימות לתפקידי העובדים, ולבצע ביקורת תקופתית לשם עדכון או ביטול הרשאות שאינן נחוצות עוד.

עובדים ובעלי תפקידים להם ניתנת גישה למידע נדרשים לחתום על התחייבות לשמירת סודיות ולעבור הכשרות תקופתיות בתחום אבטחת המידע. הדרכות אלו נועדו לטפח תרבות ארגונית של הקפדה על פרטיות, במטרה להפוך את השמירה על המידע לחלק אינהרנטי בפעילות השוטפת של הארגון.

כן נדרשת התייחסות למקרים של סיום העסקה, באופן שבו נמנעת גישה עתידית של עובדים שחדלו מלמלא תפקידם. התקנות אף כוללות הוראות באשר לשמירה על אמצעי אחסון ניידים, ביצוע גיבויים שוטפים ועדכון תוכנות ומערכות כדי להתמודד עם איומי סייבר מתחדשים.

התמודדות עם אירועי אבטחה ודיווח לרשות

חובת אבטחת המידע אינה מתמצה במניעה בלבד, אלא כוללת גם התמודדות עם מקרים של כשלי אבטחה. התקנות מגדירות “אירוע אבטחה חמור” במאגרים ברמות בינונית וגבוהה – בין אם מדובר בגישה לא מורשית למידע, ובין אם בפגיעה בשלמותו.

בהתרחשות אירוע כזה, קיימת חובה לדווח על כך לרשות להגנת הפרטיות בתוך 24 שעות מגילויו, באמצעות טופס מקוון ייעודי. הדיווח כולל תיאור האירוע והצעדים שננקטו בעקבותיו. הרשות רשאית להורות על פעולות נוספות, כגון מסירת הודעה לנושאי המידע או פתיחה בהליכי אכיפה, לרבות עיצומים כספיים משמעותיים.

יתרה מכך, גם אירועים שאינם מוגדרים כחמורים דורשים תיעוד פנימי ובחינה של השלכותיהם, כחלק ממנגנון בקרה ושיפור מתמיד. כשל בעמידה בדרישות התקנות עלול לחשוף את הארגון לא רק לפגיעות אבטחתיות אלא גם לאחריות רגולטורית ואף נזיקית.

מדיניות שמירה וגריעה של מידע

היבט נוסף, שאינו פחות מהותי, הוא מדיניות שמירה, ניהול וגריעת מידע לאורך מחזור חייו. החוק אינו קובע מועד מוגדר למחיקת מידע, אך מחייב שמירה על מידע מדויק, שלם ועדכני. מידע שהתברר כשגוי או שאינו רלוונטי עוד, יש לתקן או להסיר, לרבות לבקשת נושא המידע. אחזקה רשלנית במידע שגוי עשויה להוות פגיעה בפרטיות.

בהתאם לעקרון “צמצום המידע למינימום הנדרש” (Data Minimization), על הארגון למחוק מידע שנאסף למטרה מסוימת ברגע שהתכלית הושגה, בהיעדר הצדקה חוקית או עסקית להמשך שמירתו. תקנות האבטחה מחייבות קביעת נהלים ברורים לשם גיבוי מאובטח, שחזור, וכן מחיקה והשמדה של מידע באמצעים ראויים, לרבות מחיקה פיזית או לוגית של אמצעי אחסון.

חובות מהותיות בניהול מאגרי מידע: יידוע, עדכון וזכויות נושאי המידע

חובת יידוע בעת איסוף מידע אישי (סעיף 11 לחוק)

אחת החובות המרכזיות והראשוניות המוטלות על בעל מאגר מידע היא חובת היידוע בעת איסוף מידע אישי ישירות מנושא המידע. בהתאם להוראות סעיף 11 לחוק הגנת הפרטיות, כאשר גוף אוסף מידע מאדם – עליו למסור לו הודעה הכוללת פרטים חיוניים, ובהם: האם מסירת המידע היא חובה חוקית או וולונטרית; מהי מטרת איסוף המידע; מיהם הגורמים שיקבלו את המידע ולשם מה; ומהן ההשלכות האפשריות אם יסרב למסור את פרטיו.

תיקון מס’ 13 לחוק הרחיב את היקף חובת היידוע, כך שכיום נדרש לכלול בהודעה גם את זהות בעל השליטה במאגר, אמצעי יצירת קשר עמו, וכן פירוט זכויותיו של נושא המידע – ובראשן הזכות לעיון ולתיקון. חובה זו מהווה ביטוי לעקרונות של שקיפות והגינות בעיבוד מידע אישי, ומטרתה לאפשר לפרט לקבל החלטה מושכלת אם למסור את פרטיו, תוך מודעות להשלכות. הפרת חובת היידוע אינה רק פגם פרוצדורלי – היא עשויה לגרום לפגם בהסכמה (אם נדרשה) ואף להיחשב כהפרה עצמאית של החוק, על כל המשתמע מכך במישור המנהלי והאזרחי.

עיקרון הגבלת השימוש במידע למטרותיו המקוריות

אחד מעקרונות היסוד בדיני הגנת הפרטיות הוא עקרון הגבלת המטרה. סעיף 2א לחוק קובע כי אין לעשות שימוש במידע הכלול במאגר אלא למטרה שלשמה הוא נמסר או שנקבעה בעת רישומו בפנקס המאגרים. סעיף 9 לחוק מחייב לציין את המטרות הללו כבר בשלב הרישום, וממילא הן חלק מהתחייבות בעל המאגר כלפי נושאי המידע וכלפי הרגולטור.

שימוש במידע למטרה שונה מזו שהוצהרה ונרשמה – ללא הסכמת נושא המידע או הסמכה מפורשת בדין – מהווה חריגה אסורה, העלולה להוביל לא רק לאחריות אזרחית, אלא גם לעבירה פלילית. כך לדוגמה, ארגון שהקים מאגר לניהול קשרי לקוחות אינו רשאי לעשות שימוש באותו מאגר לצרכים שיווקיים, אלא אם השימוש האמור הוגדר מראש במטרות המאגר והובא לידיעת הלקוחות.

הוראה זו אוכפת את עקרון ה-“Purpose Limitation”, שהוא אבן יסוד בגישה האירופית (והישראלית) להגנת מידע אישי, ונועדה להבטיח כי מידע אישי לא ישמש לרעה או למטרות זרות. היא משתלבת הדוקות עם חובת היידוע ועם חובת רישום המידע, ויחד הן מבססות את מסגרת ההגינות והאמון שבין הפרט למחזיקי מידע אישי.

הזכות לעיון במידע אישי (סעיף 13 לחוק)

לכל נושא מידע מוקנית זכות עיון במידע אישי שנשמר לגביו במאגר, בהתאם לסעיף 13 לחוק. מדובר בזכות יסוד בדיני הגנת הפרטיות, אשר נועדה להבטיח שקיפות, לאפשר לפונים לברר אילו נתונים מוחזקים עליהם, ולזהות מידע שאינו מדויק או שעשוי להיגרר לשימוש פסול.

העיון יכול להינתן באמצעים סבירים – לרבות עותק מן המידע או אפשרות לצפות בו בפועל. על פי החוק, ניתן לגבות תשלום סביר עבור מתן עותק מן המידע, אך לא עבור עצם קיומה של הזכות לעיון. קיימים חריגים מוגדרים בצמצום, כגון מאגרים שבשל טיבם חושפים סודות מקצועיים או מסחריים, או מאגרים של רשויות ביטחוניות אשר חוסים תחת פטור מטעמי ביטחון המדינה.

במקרה של סירוב לבקשה לעיון, על בעל המאגר למסור לנושא המידע הודעה מנומקת בכתב תוך 30 ימים, תוך יידועו בזכותו לעתור לבית המשפט, אשר מוסמך להורות על גילוי המידע ככל שלא מתקיים חריג לגיטימי.

הזכות לתיקון מידע שגוי, חסר או מיושן (סעיף 14 לחוק)

נושא מידע אשר עיין במידע המוחזק עליו במאגר, ומצא כי הוא שגוי, אינו מלא, בלתי ברור או אינו מעודכן, רשאי לפנות לבעל המאגר ולבקש את תיקונו. סעיף 14 לחוק קובע כי על בעל המאגר להשיב לבקשה זו תוך 30 ימים – ואם נעתר לה, עליו לעדכן את המידע ולמסור לנושא המידע הודעה על כך.

במקרה של דחייה, יש להודיע על כך בכתב ובמועד, והמבקש זכאי לפנות לבית משפט השלום, המוסמך להכריע אם יש להורות על תיקון המידע. זכות זו נועדה להבטיח את איכות המידע ואת תקינות השימוש בו, במיוחד כאשר מדובר במידע שעל פיו מתקבלות החלטות מהותיות כלפי הפרט – כגון במגזר הפיננסי, התעסוקתי או הציבורי.

יצוין כי החוק אינו מקנה זכות כללית למחיקת מידע (“הזכות להישכח”), למעט כאשר המידע שגוי או אינו מעודכן. אף על פי כן, הרשות להגנת הפרטיות ממליצה, בפרקטיקה, שלא להמשיך ולהחזיק מידע שאין לו עוד תכלית רלוונטית, גם אם הוא נכון עובדתית – וזאת כחלק מהשקפת העולם של Privacy by Design ו-Purpose Limitation.

זכות להתנגד לשימוש במידע לצרכי דיוור ישיר (סעיף 17 לחוק)

בהתאם להוראות סעיף 17 לחוק, כאשר מידע אישי כלול במאגר המשמש לדיוור ישיר – קרי, פנייה יזומה לאדם על סמך מאפיינים אישיים – קמה לנושא המידע הזכות לדרוש את הסרתו מהמאגר. על כל פנייה שיווקית לכלול הודעה מפורשת על זכות זו, וכן את זהות בעל המאגר וכתובת מענה להסרה. סירוב לציית לדרישת הסרה מהווה עבירה, שעונשה קנס, וזאת נוסף על הסנקציות המנהליות או התביעות האפשריות במישור האזרחי. החוק דורש סימון ברור של דבר הדיוור כ”דיוור ישיר”, וזיהוי של הגורם המפרסם – כחלק מהשקיפות הנדרשת כלפי הציבור.

יש להבחין בין חוק הגנת הפרטיות לבין סעיף 30א’ לחוק התקשורת (בזק ושידורים) תשמ”ב – 1982, הקובע איסור בשליחת הודעה ובה ‘דבר פרסומת’ לנמען שלא הביע את הסכמתו לכך (“חוק הספאם”), אשר קובע מנגנון Opt-In. קרי, איסור שליחת הודעות שיווקיות באמצעים אלקטרוניים ללא הסכמה מפורשת מראש מצד הנמען. לעומת זאת, חוק הגנת הפרטיות עוסק בהסדרת המאגרים עצמם ובזכות להפסיק קבלת פרסומים בעת שימוש במידע אישי קיים.

חובת עדכון שוטף של מידע במאגר

על בעל מאגר מידע מוטלת חובה מתמשכת לוודא כי המידע שבמאגר עדכני, מדויק ורלוונטי למטרות שלשמן הוא מוחזק. אף שהחוק אינו קובע מנגנון קונקרטי לעדכון יזום, מתפרשת חובה זו מעקרונות יסוד של ההגנה על פרטיות – ובמיוחד מההשלכות האפשריות של שימוש במידע שגוי, שעלול לפגוע בזכויות הפרט או להביא לקבלת החלטות שגויות.

ארגונים נדרשים לקיים מדיניות פנים-ארגונית שמטרתה שמירה על איכות המידע, לרבות ביקורת פנימית תקופתית. הדבר מקבל משנה תוקף במאגרים רגישים – כגון נתוני אשראי, מידע רפואי או נתוני לקוחות פיננסיים – אשר אי-דיוק בהם עלול להוביל לנזקים של ממש. עקרון זה בא לידי ביטוי גם בהמלצות הרשות להגנת הפרטיות, אשר הדגישה את חשיבות מחזור החיים של המידע – הכולל בין היתר איסוף מדויק, אחסון מאובטח, עדכון שוטף ומחיקה עם תום הצורך.

אחריותיות ומתן מענה לזכויות נושאי מידע (Accountability)

ניהול תקין של מאגר מידע מחייב את בעל המאגר לא רק לעמוד בדרישות החוק, אלא גם להטמיע מנגנונים אפקטיביים ליישומן בפועל. בפרט, נדרשת אחריותיות (Accountability) – כלומר, מחויבות ארגונית להבטיח שכל בקשה מצד נושא מידע תטופל כהלכה: בין אם מדובר בבקשה לעיון, לתיקון, להסרה או לשאלות כלליות.

בהתאם להוראות תיקון 13, גופים מסוימים נדרשים למנות ממונה על הגנת פרטיות (DPO), אך גם גופים שאינם מחויבים פורמלית נדרשים למנות בעלי תפקיד אחראים לנושא זה. תיעוד הטיפול בפניות, שמירת רישום של ההחלטות, והקפדה על מתן תשובות בתוך המועדים הקבועים בחוק – כל אלה הם חלק בלתי נפרד מניהול מאגר מידע בהתאם לדין.

בעת העברת מידע אישי לגורם שלישי – בין אם מכוח חוזה עסקי, שינוי שליטה או מיזוג – נדרש הארגון לוודא כי ההעברה נעשתה בהתאם להוראות הדין, וכי נושאי המידע עודכנו כדין. כך למשל, אם עסק נמכר יחד עם בסיס הנתונים שלו, יש להודיע ללקוחות על שינוי זהות בעל המאגר, והמשך עיבוד המידע ייעשה בהתאם לתנאים המקוריים או להסכמה מחודשת.

בתמצית: מהן החובות החלות על בעל מאגר מידע?

1. שימוש במידע רק למטרה לשמה הוא נמסר. סעיף 8(ב) לחוק אוסר על שימוש במידע, אלא למטרה המוצהרת לשמה הוקם ונרשם המאגר בפנקס. נוסיף, כי הוראות סעיף 2(9) לחוק אוסרות גם על שימוש בידיעה על ענייניו האישיים של אדם, שלא למטרה לשמה נמסר המידע מאת נושא המידע. הפרת סעיף 2(9) מהווה עוולה אזרחית ואף עבירה פלילית שהעונש הקבוע בצידה עומד על 5 שנים.
2. חובת רישום. סעיף 8(א) מחייב בעל מאגר מידע העונה על אחד התנאים המנויים בסעיף 8(ג), לרשום את מאגר המידע שברשותו בטרם הקמתו. חובת הרישום חלה על המאגרים הבאים: מספר נושאי המידע עליהם נמצא מידע במאגר עולה על 10,000 או: יש במאגר מידע רגיש (כהגדרתו לעיל) או: המאגר מכיל מידע שלא נמסר על ידי נושאי המידע, מטעמם או בהסכמתם או: המאגר הוא בבעלות גוף ציבורי (כהגדרת ס’ 23) או: המאגר משמש לשירותי דיוור ישיר (ס’ 23). ס’ 9 מתייחס לאופן שבו יש להגיש בקשה לרישום.
3. חובת אבטחת המידע. סעיף 17 לחוק מטיל אחריות לאבטחת המידע במאגר על בעל המאגר, המנהל והמחזיק. תקנות הגנת הפרטיות (אבטחת מידע) אשר נכנסו לתוקף בחודש מאי 2018 קובעות חובות מפורטות החלות על בעל מאגר המידע. יוער, כי המחזיק בחמישה מאגרי מידע, או יותר, החייבים ברישום; גוף ציבורי; בנק, חברת ביטוח וחברה העוסקת בדירוג או בהערכה של אשראי- חייבים במינוי ממונה על אבטחת המידע שגם הוא נושא באחריות לאבטחת המידע במאגר.
4. חובת הסודיות. לפי סעיף 16 לחוק, בעל מאגר המידע, המנהל, המחזיק וכן עובדיהם מחויבים בשמירת סודיות המידע אליו נחשפו אגב ביצוע עבודתם. אי שמירה על סודיות המידע מהווה עבירה פלילית שהעונש עליה הוא 5 שנים.
5. חובת מתן הודעה. סעיף 11 לחוק קובע כי חובה למסור הודעה לנושא המידע אם יש כוונה לכלול מידע אודותיו במאגר ובה הפרטים הבאים: האם חלה על נושא המידע חובה חוקית למסור המידע; המטרה לשמה מתבקש המידע; למי נמסר המידע ומהן מטרות מסירתו.
6. החובה לאפשר עיון במידע. סעיף 13 לחוק קובע כי חובתו של בעל מאגר מידע לאפשר לנושא המידע לעיין במידע המצוי אודותיו בשפה העברית, הערבית או האנגלית. זאת, למעט במקרים הבאים: מדובר בעניין רפואי או נפשי, שמסירתו עלולה לגרום נזק לנושא המידע; או שחל על המידע חסיון; או שהמידע מוחזק בידי רשויות ביטחון או גופים הנזכרים בסעיף 13(ה) לחוק.
7. החובה לאפשר תיקון. לפי סעיף 14, נושא המידע רשאי לדרוש תיקון של מידע אודותיו ככל שהמידע במאגר אינו נכון.
8. פיקוח ובקרה על מחזיק. בעל מאגר רשאי בדרך כלל להסתייע בקבלן חיצוני (“מחזיק”) לשם אחסון המידע או עיבודו, אבל נותר אחראי על פעולות הקבלן ונדרש לפקח עליו ולבצע בקרה על עמידתו בהוראות החוק. חובותיו של בעל המאגר ביחס למחזיק מפורטות בהנחיית רשם מאגרי המידע בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.

שרשרת האספקה – עיבוד מידע בידי צד שלישי, הסכמי עיבוד ו-Privacy by Design

מהי שרשרת אספקה?

שרשרת אספקה היא מושג המתאר את מכלול התהליכים, הגורמים, הפעולות והמשאבים המעורבים ביצירת מוצר או שירות והעברתו מהיצרן ועד לצרכן הסופי. ניהול שרשרת האספקה כולל תכנון, ביצוע ובקרה על כל השלבים הללו במטרה להבטיח יעילות, חסכון בעלויות, איכות גבוהה, עמידה בזמנים ואמינות לאורך כל הדרך. בתחום הגנת הפרטיות ואבטחת מידע, המונח “שרשרת אספקה” מתייחס גם לאופן שבו מידע אישי נאסף, מאוחסן ומועבר בין הארגון לבין ספקים חיצוניים שונים. הדבר רלוונטי במיוחד כאשר חברות וארגונים נעזרים בשירותי מיקור חוץ כגון ספקי שירותי ענן, שירותי תמיכה, או ניתוח נתונים חיצוני. במקרים אלה, כל חוליה בשרשרת האספקה חייבת לעמוד בדרישות משפטיות וטכניות קפדניות כדי לשמור על אבטחת מידע ופרטיות המשתמשים.

לפיכך, ניהול נכון של שרשרת האספקה בהיבטי פרטיות דורש שימוש בהסכמים ברורים, בקרות נאותות ובדיקות תקופתיות, לצד מנגנוני פיקוח ואכיפה אפקטיביים. יישום נכון של עקרונות אלו מסייע לארגונים להימנע מסיכונים משפטיים, רגולטוריים ותדמיתיים, ולהבטיח את אמון לקוחותיהם בטיפול במידע אישי.

אחריות על המידע בעיבוד חיצוני

הדין בישראל מבחין הבחנה מהותית בין “בעל מאגר מידע” – שהוא הגורם הקובע את מטרות המאגר ואופני השימוש בו – לבין “מחזיק במאגר מידע”, המוגדר כמי שהמידע מצוי ברשותו דרך קבע והוא מוסמך לעשות בו שימוש. הבחנה זו קיבלה חיזוק ותוספת פרשנית משמעותית במסגרת תיקון מס’ 13 לחוק הגנת הפרטיות, אשר הבהיר כי “מחזיק” כולל גם גורמים חיצוניים המעבדים מידע מטעמו של בעל המאגר.

למעשה, התיקון מרחיב את תחולת החוק כך שהיא משתרעת גם על קבלני משנה, ספקי שירותי מחשוב, חברות המספקות שירותי ענן, נותני שירותי גיבוי, חברות ניתוח נתונים וכיוצא באלו – כולם ייחשבו כמחזיקים במידע, גם אם אינם מפעילים שליטה ישירה במאגר. בכך מוסר כל ספק משפטי שהיה קיים קודם לכן באשר להחלת ההוראות גם על גורמים מעבדים שאינם צד ישיר להסכם ההתקשרות עם נושא המידע.

השלכה מרכזית של הרחבה זו היא שבעל המאגר אינו יכול להשתחרר מהאחריות החוקית לאבטחת המידע, על דרך העברתו לצד ג’. על הארגון לדאוג לכך שכל עיבוד חיצוני יעשה בכפוף לדרישות הדין, ובפרט תוך שמירה על רמת אבטחה נאותה, שימוש מוגבל למטרות המאגר בלבד, עיגון התחייבויות מפורשות לשמירת סודיות, וביצוע בקרה שוטפת על עמידת הגורם החיצוני בכללי הציות הנדרשים. מחדל בפיקוח על פעילות המעבד החיצוני עלול להוביל לאחריות ישירה של בעל המאגר, הן במישור האזרחי והן במישור המנהלי.

הסכם עיבוד מידע (Data Processing Agreement – DPA): מסגרת חוזית לעיבוד חיצוני של מידע אישי

כאשר ארגון מוסר גישה למידע אישי שבמאגריו לגורם חיצוני לצורך מתן שירות, נדרש לעגן את ההתקשרות בהסכם עיבוד מידע (Data Processing Agreement – DPA), בהתאם לעקרונות שנקבעו בהנחיה שפרסמה הרשות להגנת הפרטיות בשנת 2011 בנושא עיבוד מידע במיקור חוץ. ההנחיה מדגישה את החשיבות שבשמירה על שליטתו של בעל המאגר במידע ככל הניתן, גם כאשר קיימת התקשרות עם ספק חיצוני, וממליצה – ככל שהדבר מתאפשר טכנית – להותיר את המידע בשרתי הארגון ולהסתפק בגישה מרחוק על-ידי הגורם המעבד, במקום העברת המידע לידי הספק.

במקרים בהם נדרש להעביר את המידע או להעניק לספק גישה ישירה אליו – כגון בהתקשרויות עם ספקי שירותי ענן, מוקדי שירות, חברות ניתוח נתונים, קבלני שיווק וכיו”ב – יש לערוך הסכם בכתב בין הצדדים, אשר יסדיר את מערכת ההתחייבויות החוזיות בין בעל המאגר למעבד מטעמו. ההסכם נדרש לכלול לפחות את הסעיפים הבאים:

1. הגבלת השימוש במידע. המעבד יתחייב לעשות שימוש במידע האישי אך ורק לצורך מתן השירותים המוגדרים בהסכם ובמועדים שנקבעו, ולא לכל מטרה אחרת, מסחרית או אחרת.

2. איסור על העברה לצדדים שלישיים. התחייבות מצד המעבד שלא להעביר את המידע לגורם כלשהו ללא אישור מראש ובכתב של בעל המאגר.

3. שמירת סודיות. התחייבות רחבה של המעבד לשמור על סודיות המידע, לרבות חיוב עובדיו ונותני שירות מטעמו לחתום על התחייבות אישית לשמירת סודיות.

4. הפרדה בין מאגרים. דרישה להפרדה פיזית ו/או לוגית בין מידע השייך ללקוחות שונים, כך שלא תתאפשר גישה או חשיפה הדדית בין נתונים של גורמים נפרדים.

5. יישום אמצעי אבטחה. המעבד יידרש להחיל אמצעים ארגוניים וטכנולוגיים לשם שמירה על שלמות, סודיות וזמינות המידע, בהתאם לרמת האבטחה החלה על המאגר לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017.

6. חובת דיווח על אירועי אבטחה. המעבד חייב להודיע לבעל המאגר, ללא דיחוי, על כל אירוע אבטחה או חשד לפגיעה במידע, באופן שיאפשר התמודדות מידית ודיווח לרשות ככל שנדרש.

7. השבת מידע עם סיום ההתקשרות. עם סיום מתן השירות, על המעבד להתחייב להשיב את המידע לידי בעל המאגר או למחוק אותו לחלוטין, בהתאם להנחיותיו ובאופן שלא יותיר עקבות הניתנות לשחזור.

הסכם העיבוד הוא רכיב מהותי בניהול סיכונים משפטיים וטכנולוגיים הכרוכים בהעברת מידע אישי לגורמים חיצוניים, ומהווה חלק בלתי נפרד מהאחריות הכוללת של בעל המאגר כלפי נושאי המידע. אי-הקפדה על עריכתו ויישומו עלולה להיחשב כהפרה של חובת הזהירות וחובת הציות לדין, ואף לחשוף את הארגון לסנקציות רגולטוריות ואזרחיות כאחד.

למידע נוסף >> בעלי מאגרי מידע? אתם אחראים גם לפעולות שמתבצעות במיקור חוץ

פיקוח ובקרה על ספקי מידע

עריכת הסכם עיבוד מידע כתוב בין בעל המאגר לבין המעבד מטעמו אינה מספיקה כשלעצמה כדי לעמוד בדרישות הדין. על הארגון החתום על ההסכם ליישם אמצעים פרקטיים, עקביים ויעילים אשר יבטיחו כי הספק החיצוני מקיים בפועל את התחייבויותיו החוזיות והרגולטוריות. יישום עקרון ה-Accountability מחייב מעבר להצהרות כלליות – יש לפקח על מימושן הלכה למעשה. בין הצעדים שעל הארגון לשקול ולהטמיע:

• בחינה מוקדמת (Due Diligence) של ספק השירות. לפני התקשרות בפועל או העברת מידע, יש לבצע בדיקה מקדימה של מערך האבטחה, נהלי הפרטיות, הרקע המקצועי ואופן ההתמודדות של הספק עם מידע אישי. תהליך זה נדרש כדי לוודא שהספק מסוגל לעמוד ברמת ההגנה הנדרשת בהתאם לדין ולתקנות.

• עיגון זכות לביצוע ביקורת (Audit Rights). בהסכם ההתקשרות יש לקבוע את זכותו של בעל המאגר, או נציג מטעמו, לבצע ביקורת תקופתית אצל הספק, לרבות גישה למסמכים, נהלים, מערכות ותשתיות רלוונטיות, לשם בחינת עמידתו בפועל בהוראות ההסכם והחוק.

• דו”חות תקופתיים ומנגנוני בקרה. הארגון צריך לדרוש מהספק מסירת דיווחים סדירים בנוגע לאירועי אבטחה, ביקורות פנימיות, תוצאות סקרי סיכונים, וביצועי מערכות ההגנה. דיווחים אלה מספקים אינדיקציה שוטפת לאיכות עמידת הספק בהתחייבויותיו.

• מינוי גורם ממונה על הקשר עם הספק. מומלץ לקבוע באחריותו של נציג (DPO או קצין אבטחת מידע פנים-ארגוני) את ניהול ההתקשרות עם הספקים המעבדים מידע, לרבות מעקב אחר הביצוע והפעלת סמכויות פיקוח.

נקיטת צעדים אלו תורמת לא רק לעמידה בדין, אלא אף לצמצום חשיפה לסיכונים תפעוליים, טכנולוגיים ומשפטיים הכרוכים בהעברת מידע אישי לצדדים שלישיים, ומבססת את אחריותו המתמשכת של בעל המאגר כמי שאמון על הגנה על פרטיות נושאי המידע גם בעת מיקור חוץ.

העברת מידע לחו”ל (שרשרת אספקה בינלאומית)

אחד ההיבטים המורכבים והרגישים ביותר בתחום הגנת המידע נוגע להעברת מידע אישי אל מחוץ לגבולות המדינה. סעיף 8 לחוק הגנת הפרטיות מסמיך את שר המשפטים להתקין תקנות שיסדירו את התנאים להעברת מידע כאמור, ובמסגרת זו נתקנו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס”א–2001.

התקנות מקבעות עקרונות משפטיים הדומים לאלה הנהוגים במשפט האירופי, ובפרט לעקרונות ה-GDPR, ומעמידות דרישה מרכזית: העברת מידע אישי אל מדינה זרה תותר אך ורק כאשר אותה מדינה מעניקה רמת הגנה על פרטיות המידע שאינה נופלת מרמת ההגנה הנוהגת בישראל. לצורך כך, פורסמה רשימת מדינות אשר הוכרו כ”מדינות יעד מאושרות”, ובהן מדינות האיחוד האירופי, מדינות נוספות בעלות חקיקה מתקדמת בתחום, וכן ארצות הברית – בכפוף למנגנונים משפטיים ייחודיים, כגון הסדרי Privacy Shield (לפי הרלוונטיות העדכנית). יחד עם זאת, התקנות מאפשרות חריגים מסוימים להעברה גם אל מדינות שאינן מאושרות, וזאת בהתקיים תנאים מוגדרים מראש, וביניהם: קבלת הסכמה מדעת ומפורשת מאת נושא המידע, צורך בהעברה לצורך קיום חוזה עמו או לטובתו, או כאשר קיימת חובה חוקית או אינטרס חיוני המצדיק את ההעברה.

בעל מאגר מידע בישראל, המבקש להעביר מידע לחו”ל, נדרש להבטיח כי לאורך כל שרשרת העיבוד – ובכלל זה כל גורם זר המעורב בהחזקה, עיבוד או גישה למידע – קיימות התחייבויות חוזיות ואמצעים מעשיים המבטיחים שמירה על רמת ההגנה הנדרשת. היעדר עמידה בדרישות אלו עלול להפוך את עצם העברת המידע לפעולה בלתי חוקית, העלולה לחשוף את בעל המאגר לסנקציות רגולטוריות ולתביעות אזרחיות מצד נושאי המידע.

Privacy by Design: עקרון ההטמעה המוקדמת של פרטיות במערכות מידע

עיקרון “פרטיות לפי תכנון” (Privacy by Design) מהווה אבן יסוד בגישות המודרניות להגנת מידע אישי, ומבוסס על התפיסה כי שמירה על פרטיות אינה תוצר נלווה של מערכת או שירות – אלא רכיב אינהרנטי שיש לשלבו כבר בשלב התכנון הארגוני, ההנדסי והתהליכי. אף על פי שהמשפט הישראלי טרם הכיר בעיקרון זה כחובה סטטוטורית מפורשת, הרשות להגנת הפרטיות קוראת לגופים המאחזים מידע אישי לאמץ גישה זו באופן וולונטרי, ובמיוחד בהקשרים רגישים או עתירי מידע, כגון שירותים דיגיטליים, אפליקציות ומערכות מידע ארגוניות.

על פי עקרון זה, בעת אפיון, תכנון ופיתוח של מערכות לאיסוף או עיבוד מידע אישי, נדרש הארגון לבחון מראש שיקולי פרטיות מהותיים. דוגמות לכך כוללות: עקרון צמצום הנתונים (Data Minimization) – הקובע כי יש לאסוף אך ורק את המידע ההכרחי למטרה הלגיטימית המוצהרת; קידום אפשרויות שימוש אנונימיות או מבוססות כינויים, כאשר אין הכרח בזיהוי מלא; תכנון מערך הרשאות מדורג, על פי עקרון הצורך לדעת (Need to Know), תוך הגבלת גישה רק לגורמים רלוונטיים; יישום הגנה מתקדמת כברירת מחדל (Privacy by Default), כך שהמערכת תפעל מראש במצב השומר על פרטיות מרבית; וקביעת מנגנוני אבטחה מבניים – כגון הצפנה, סיווג מידע והפרדה לוגית בין סוגי מידע רגיש.

יישום גישה זו מחייב חשיבה אינטגרטיבית על פרטיות לאורך כל מחזור החיים של המידע – משלב איסופו, דרך השימוש, השמירה וההעברה, ועד למחיקתו או השמדתו בתום תקופת הרלוונטיות (Data Lifecycle Management). בכך מבטיחה הגישה לא רק עמידה בתנאי החוק הקיים, אלא גם רמה אתית ומקצועית גבוהה יותר של אחריותיות ארגונית, התואמת את הסטנדרטים הבינלאומיים המובילים ובפרט את תפיסת ה-GDPR.

סיכום ביניים

בניית שרשרת אספקה של מידע, הכוללת ספקים וקבלנים, מצריכה ניהול קפדני כדי שזכויות הפרט לא “יפולו בין הכיסאות”. בעל המאגר נשאר האחראי הראשי על המידע – הן בעיני החוק והן בעיני הציבור שאת פרטיו הוא מחזיק. באמצעות חוזים מחייבים, בחירה קפדנית של שותפים, ופיקוח מתמיד, ניתן להקטין את הסיכון שבטיפול חיצוני. בשילוב עם אימוץ תרבות ארגונית של Privacy by Design – בה כל פרויקט או שינוי מובלים תוך מחשבה על פרטיות – יבטיח הארגון כי הגנת הפרטיות אינה רק “קופסה לסימון” אלא חלק אינטגרלי מניהול המידע בעסק. בכך שרשרת העיבוד כולה, מקצה לקצה, תפעל תחת סטנדרטים אחידים של שמירה על פרטיות המידע, כפי שהחוק מבקש להבטיח.

סמכויות האכיפה החדשות של הרשות להגנת הפרטיות לאחר תיקון 13

תיקון מס’ 13 הקנה לרשות להגנת הפרטיות כלי אכיפה מתקדמים המתאימים למציאות הדיגיטלית המודרנית. בעוד שבעבר התמקדו סמכויות הרשות בעיקר בפיקוח והסברה, הרי שכיום מדובר בגוף רגולטורי בעל סמכויות שיפוטיות ומנהליות אפקטיביות, המסוגל להטיל סנקציות ממשיות גם ללא צורך בהליך פלילי. במרכז הסמכויות מצויה היכולת להטיל עיצומים כספיים בגין הפרות של הוראות החוק, לרבות אי-רישום מאגר מידע, שימוש לא חוקי במידע אישי, והפרת חובת היידוע. גובה העיצומים נקבע בהתאם להיקף ההפרה, מספר הנפגעים, מידת הרגישות של המידע, וחומרת הכשל – ויכול להגיע למאות אלפי שקלים, ואף יותר במקרים חמורים.

בנוסף, הוענקה לראש הרשות הסמכות להוציא צווים מנהליים, לרבות הוראות להפסקת פעילות, מחיקת מידע, או תיקון התנהלות בלתי חוקית – גם כאשר לא הוגשה תלונה קונקרטית. סמכות זו מאפשרת לרשות לפעול במהירות ובגמישות מול גופים מפרים, גם באופן יזום.

עוד נקבעה בחוק האפשרות לפרסום שמות של מפרים, בין אם מדובר בתאגידים ובין אם ביחידים, כחלק מתפיסת השקיפות והרתעה ציבורית. פרסום זה עשוי לכלול את תוכן ההפרה, סכום העיצום שהוטל, וזהות הגורם המפר – למעט במקרים חריגים של הפרות קלות מצד תאגידים קטנים, בהם הרשות רשאית לשקול אי-פרסום.

סמכויות הפיקוח והחקירה של הרשות הורחבו אף הן, וכיום מפקחי הרשות מוסמכים לדרוש מידע ומסמכים, לבצע ביקורות פתע, להיכנס למשרדים בהם מתבצע עיבוד מידע אישי, ואף לבקש צווי חיפוש או תפיסת חומר מחשב מבית המשפט.

התיקון אף הוסיף עבירות פליליות חדשות, לרבות עבירה של הטעיית נציג הרשות, הפרעה לביצוע תפקידו, או מסירת מידע כוזב לנושאי מידע. עניינים אלה מטופלים ישירות על ידי הרשות, ועשויים להוביל להליכים פליליים, בהתאם לחומרת המעשה.

להלן טבלה המרכזת את סמכויות האכיפה המרכזיות שהוקנו לרשות להגנת הפרטיות בעקבות תיקון 13:

סיכום ומסקנות

רישום מאגרי מידע בישראל, והרגולציה הנלווית לו, מהווים את אחד מעמודי התווך של הגנת הפרטיות בעידן הדיגיטלי. כפי שנסקר לעיל, חובת הרישום היא הרבה מעבר לדרישה פורמלית – היא חלק ממנגנון רחב של אחריותיות, שקיפות ופיקוח, אשר מטרתו לאזן בין יעילות עיבוד המידע לבין ההגנה על זכויות יסוד, ובראשן הזכות לפרטיות.

תיקון 13 לחוק הגנת הפרטיות, אשר עתיד להיכנס לתוקף באוגוסט 2025, משנה את פני הרגולציה הישראלית ומחייב כל בעל מאגר מידע להכיר את גבולות החובה, את חובות האבטחה, את תהליכי הניהול השוטף, ואת סמכויות האכיפה החדשות של הרשות להגנת הפרטיות.

ארגונים, עסקים ורשויות ציבוריות נדרשים כיום לא רק לציית לחוק, אלא גם להטמיע תרבות של פרטיות ואבטחת מידע, בין אם דרך תיעוד ומיפוי, אימוץ תקנים בין-לאומיים, או ניהול נכון של שרשרת אספקה דיגיטלית. כשל ברמת ציות זו עלול לחשוף את הארגון לסנקציות חמורות, אך לא פחות חשוב – לפגיעה באמון הציבור.

משרד עורכי דין וולר ושות’ מתמחה בליווי משפטי כולל ומקיף בתחומי פרטיות, סייבר, רגולציה של מידע, והטמעת מדיניות פרטיות בגופים ציבוריים ופרטיים. צוות המשרד כולל עורכי דין בעלי הכשרה טכנולוגית וניסיון מוכח בייעוץ לגופים פיננסיים, רשויות מקומיות, משרדי ממשלה וחברות טכנולוגיה. אנו מספקים ייעוץ רגולטורי, עריכת הסכמי עיבוד מידע (DPA), הטמעת תקנות אבטחת מידע, טיפול באירועי אבטחה, והיערכות לתיקון 13 והשלכותיו – בשילוב ראייה משפטית, עסקית וטכנולוגית כאחד. לייעוץ משפטי, ליווי רגולטורי או הטמעת נהלי פרטיות בארגון, ניתן לפנות אלינו בכל עת.