top image

סקר ציות בתחום הגנת הפרטיות

טופס סקר ציות לפרטיות עם סימני ביקורת, עט, ואייקונים המייצגים עין, מחשב, שרשרת אספקה, מסמכים מאובטחים וטאבלט – על רקע כהה מקצועי.

סקר ציות (Privacy Compliance Survey) הוא כלי חיוני בניהול אפקטיבי של מדיניות הגנת הפרטיות בארגונים ציבוריים ופרטיים כאחד. מטרתו העיקרית היא לאמוד את רמת ההתאמה של הארגון לדרישות הדין הרלוונטי – לרבות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), הנחיות הרשות להגנת הפרטיות, מיטב הפרקטיקה המקצועית, ולעיתים גם רגולציות בינלאומיות כגון ה-GDPR, במטרה לזהות פערים מהותיים המחייבים תיקון.

הצורך בסקר ציות נובע מהעובדה שהיבטי פרטיות, הגנה על מידע אישי ואבטחת מידע הפכו בשנים האחרונות לא רק לחובות רגולטוריות, אלא גם למרכיב מהותי באמון הציבור והלקוחות בארגון. הארגון מחויב לא רק לשמור על שלמות, סודיות וזמינות המידע שברשותו, אלא גם להוכיח כי הוא פועל בהתאם לחוק. הפעלת סקר ציות תקופתי מהווה אפוא חלק בלתי נפרד מהחובות של “בעל מאגר מידע” לפי הדין בישראל.

 

אופן ביצוע סקר ציות

ההליך כולל בחינה שיטתית של מכלול ההיבטים הרלוונטיים להבטחת עמידה בדין, בראש ובראשונה –

המסגרת הארגונית

האם מונה ממונה על הגנת הפרטיות (DPO)? האם קיימת מדיניות הגנת הפרטיות? והאם קיימים נהלים פנימיים להבטחת פרטיות, וביניהם נהלי איסוף, עיבוד, שימוש, מסירה ומחיקה של מידע אישי?

רמת אבטחת המידע בהיבט הטכנולוגי

סיווג המאגרים, רישום מאגרי מידע, בקרות גישה, מערכות גיבוי והתאוששות, שימוש בהצפנה, תיעוד אירועים חריגים וניהול הרשאות משתמשים.

ממשק הארגון עם גורמים חיצוניים

  • קיומם של הסכמים מתאימים עם ספקים המעבדים מידע אישי, הכוללת רמת אבטחת המידע אצל הספקים, לניהול שרשרת האספקה.
  • האם קיימות הרשאות להעברת מידע לגורמים חיצוניים (ובפרט מחוץ לישראל).
  • תיעוד של הסכמות מצד נושאי המידע.

רמת המודעות וההדרכה בקרב העובדים

זהו היבט שלעיתים מוזנח למרות שהוא מהותי. ארגון שהעובדים בו אינם מבינים מהו מידע אישי, מתי מותר לחשוף אותו, ומהם כללי השמירה עליו, עלול להיקלע להפרות חמורות – אף אם קיימות מערכות טכנולוגיות מתקדמות.

המלצות ותכנית עבודה לתיקון ליקויים.

על בסיס הממצאים, נבנית מפת סיכונים הכוללת המלצות קונקרטיות: עידכון נהלים, שדרוג מערכות, הטמעת מדיניות מחודשת, הכשרות עובדים, בחינה מחדש של מאגרים, ועוד.

 

מדריך לעריכת סקר ציות בתחום הגנת הפרטיות

עריכת סקר ציות (Privacy Compliance Survey) היא משימה מקצועית הדורשת שילוב של ידע משפטי, הבנה טכנולוגית ויכולת לנתח את המבנה הארגוני והנהלים הפנימיים של הגוף הנבדק. להלן פירוט שיטתי של שלבי העבודה המרכזיים בעריכת סקר ציות, כפי שמומלץ לבצעו לפי פרקטיקה מקצועית בישראל ובהתאם להנחיות הרשות להגנת הפרטיות:

שלב 1: הגדרת מטרות, היקף והמסגרת הארגונית

בשלב הראשון יש להגדיר בצורה מדויקת את מטרות הסקר: האם מדובר בביקורת כוללת על כלל מערכות הארגון? האם מדובר בבחינה של תהליך מסוים (למשל איסוף נתונים מאפליקציה או ניהול מאגר לקוחות)? בנוסף, יש להבהיר את מסגרת הסקר: אילו יחידות ייבחנו, האם מדובר בארגון עם סניפים, תאגידים קשורים או שותפים עסקיים.

בשלב זה גם ממונה “רכז סקר” מטעם הארגון – לרוב סמנכ”ל תפעול, DPO, יועץ משפטי פנימי או ממונה על אבטחת מידע. מתקיים מפגש פתיחה ראשוני בין הצוות המשפטי והטכנולוגי לבין נציגי ההנהלה, לצורך מיפוי כללי והסכמה על לוחות זמנים וגישה למסמכים.

שלב 2: איסוף מידע ומסמכים רלוונטיים

השלב הבא כולל איסוף מסמכים קיימים, כדוגמת: מדיניות פרטיות (פנימית וחיצונית); נהלי אבטחת מידע; חוזים עם ספקים שמעבדים מידע אישי; תקנון; טפסי הסכמה לעיבוד מידע; רישום מאגרי מידע; תרשימי זרימת מידע; דו”חות מבקרים קודמים (אם קיימים). האיסוף נערך, בין היתר, באמצעות ראיונות עומק עם בעלי תפקידים.

שלב 3: מיפוי תהליכי עיבוד מידע אישי

בשלב זה נעשה מיפוי מלא של כל זרימות המידע האישי (Data Flow) בארגון. בין היתר, ממופה מהו מקור המידע; סוגי המידע (מידע רגיש, מידע רגיש במיוחד); מה המטרות לשמן נאסף המידע, ושמירה על עיקרון צמידות המטרה; מהו הבסיס המשפטי לעיבוד (חוק, הסכמה, חובה חוזית וכו’); הגורמים ששותפים לעיבוד; האם יש העברת מידע מחוץ לישראל; משך שמירת המידע; וכיצד נושא המידע מממש את זכות כיצד ניתנת האפשרות לעיון ולתיקון.

שלב 4: ניתוח פערים ובחינה משפטית-טכנולוגית

בשלב זה עובר צוות סקר הציות מהשלב התיאורי-עובדתי לשלב האנליטי. במסגרת הניתוח מתבצעת השוואה שיטתית ומעמיקה בין המצב הקיים בפועל – כפי שנלמד מהמסמכים, הראיונות והצפייה בתהליכי העבודה – לבין הדרישות הנורמטיביות החלות על הארגון לפי הדין הישראלי, הנחיות המאסדר (הרשות להגנת הפרטיות), ולעיתים גם רגולציות בין־לאומיות רלוונטיות. הבחינה נעשית בשני מישורים משולבים – מישור משפטי ומישור טכנולוגי – תוך תשומת לב לשאלות הבאות:

  • רישום מאגרי מידע: האם קיימת רשימה מלאה, מדויקת ועדכנית של כל מאגרי המידע האישי המנוהלים על ידי הארגון? האם המאגר נרשם כדין (במקרים בהם חלה חובת רישום לפי סעיף 8 לחוק הגנת הפרטיות)? האם נוהל הרישום משקף נאמנה את מטרות העיבוד וסוגי המידע?

  • נהלים פנימיים: האם קיימים נהלים כתובים בנוגע לניהול המידע האישי, כגון: נוהל איסוף מידע, שמירה, שיתוף, מחיקה, העברת מידע לצדדים שלישיים? האם נהלים אלו הופצו ויושמו בפועל? האם יש תיעוד ליישומם?

  • מדיניות אבטחת מידע: האם קיימת מדיניות ארגונית ברורה ומעודכנת העומדת בדרישות תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017? האם המדיניות כוללת סיווג של המאגרים לפי רמת רגישות, הגדרה של רמות הרשאה, בקרות גישה, הצפנה, ניהול סיסמאות ואימות דו-שלבי?

  • אמצעי הגנה טכנולוגיים: האם הותקנו אמצעי אבטחה נאותים, לרבות תוכנות אנטי-וירוס, חומות אש, מערכות לגילוי חדירות, גיבויים אוטומטיים, וכלים להצפנת מידע רגיש במעבר ובמנוחה?

  • מימוש זכויות נושאי המידע: האם קיימת תשתית ארגונית שמאפשרת לנושאי מידע לממש את זכויותיהם לפי החוק – עיון, תיקון, מחיקה, עדכון והסרה? האם יש טופס מתאים באתר? האם קיימת מדיניות מענה לפניות ומעקב אחרי בקשות שבוצעו?

  • הדרכה והסמכת עובדים: האם קיימת תוכנית הדרכה סדורה בכל הנוגע להגנת פרטיות? האם העובדים מודעים להוראות הדין, לנוהלי הארגון ולסנקציות האפשריות בגין הפרה?

  • היערכות לאירועי אבטחת מידע: האם קיימת מדיניות תגובה מסודרת לאירועים (Incident Response Plan)? האם נערכו תרגילים או סימולציות? האם ידוע מי האחראי לאירוע ומהם שלבי הדיווח?

  • הסכמים עם צדדים שלישיים: האם נחתמו הסכמים עם ספקים, קבלני משנה ושירותי ענן, הכוללים הוראות מחייבות לעניין הגנת פרטיות ואבטחת מידע, בהתאם לתקנות ולמדריכים הרגולטוריים?

  • עמידה בהנחיות פרטניות: האם הארגון פועל בהתאם להנחיות המפורשות של הרשות להגנת הפרטיות בתחומים ייחודיים – כגון מצלמות אבטחה, מערכות נוכחות ביומטריות, ניהול מאגרי עובדים, יישומים דיגיטליים, ואיסוף מידע רפואי או סוציאלי?

ניתוח הפערים נעשה בטבלת השוואה בין המצב הרצוי (normative benchmark) לבין המצב בפועל (as is), תוך דירוג הפערים לפי חומרתם ומשמעותם – פערים קריטיים (בעלי פוטנציאל להפרה חמורה או סנקציה רגולטורית), פערים משמעותיים (הדורשים תיקון בטווח הקצר), ופערים טכניים או תפעוליים (שניתן לתקן במסגרת תחזוקה שוטפת).

שלב 5: הכנת דוח סקר ציות והמלצות אופרטיביות

עם סיום שלבי האיסוף והניתוח, מגבש הצוות המקצועי דוח סופי מפורט, המהווה מסמך מדיניות ומפת דרכים יישומית כאחד. הדוח כולל:

  • מבוא ומתודולוגיה: תיאור מתומצת של מסגרת הסקר, שלבי העבודה, מקורות המידע ושיטת הניתוח שנבחרה.

  • מפת מאגרי מידע ותהליכי עיבוד: תרשים עדכני של כלל מאגרי המידע בארגון, סוגי המידע, מקורותיו, מטרות השימוש, שיתופים עם צדדים שלישיים, ואופן השמירה והמחיקה.

  • טבלת פערים מפורטת: סיכום הפערים שנמצאו, תוך הצגת הסעיף הרלוונטי בדין, תיאור המצב בפועל, דרגת חומרת הפער, והשלכות אפשריות (רגולטוריות, תדמיתיות, תביעתיות).

  • דירוג סיכונים: סיווג הסיכונים לפי רמות חומרה (גבוה / בינוני / נמוך), בהתחשב בסבירות להתרחשות ובהשפעה האפשרית על הארגון ונושאי המידע.

  • המלצות לתיקון: רשימת צעדים אופרטיביים ומעשיים שנועדו לסגור את הפערים – כגון ניסוח נהלים חדשים, עדכון מדיניות הפרטיות באתר, מינוי ממונה על פרטיות, ביצוע סקר אבטחת מידע טכנולוגי נוסף, חתימה על הסכמים חדשים מול ספקים, פתיחת ערוץ פניות לנושאי המידע, וכיו”ב.

  • לוחות זמנים ליישום: טבלת מעקב המפרטת מתי יבוצע כל צעד, מי אחראי לביצועו, ומהן נקודות הבקרה והביקורת.

  • המלצה לתוכנית בקרה עתידית: הצעה למסגרת של סקרי ציות תקופתיים – אחת לשנה או שנתיים – כדי לוודא שהשיפורים מוטמעים לאורך זמן וכי הארגון ממשיך לפעול בהתאם לדין גם עם שינויים בטכנולוגיה, בכוח האדם ובממשקי הפעולה.

בשלב הסיום נערכת ישיבת הצגת ממצאים להנהלה הבכירה, במסגרתה מדגישים את הפערים הקריטיים, מסבירים את השלכותיהם, וממליצים על סדר עדיפויות מיידי. חלק מהארגונים אף מבקשים שהדוח ישמש כבסיס לדיווח שנתי פנימי או חיצוני.

 

סיכום

עריכת סקר ציות מחייבת הבנה משפטית מקיפה, הבנת אופי ומטרות הארגון, גישה טכנולוגית מעשית, ויכולת לתרגם דרישות רגולטוריות למציאות ארגונית. זהו תהליך שמאפשר לארגון לעבור מביקורת מגיבה – לניהול פרטיות פרואקטיבי.

משרד עורכי הדין וולר ושות’ מלווה ארגונים, רשויות ציבוריות וחברות פרטיות בבניית תשתיות רגולטוריות בתחום הגנת הפרטיות, תוך התמחות ייחודית בביצוע סקרי ציות מותאמים אישית. צוות המשרד משלב מומחיות משפטית עמוקה עם הבנה טכנולוגית, במטרה לספק ללקוחותיו ניתוח מדויק של הפערים, מפת סיכונים מבוססת, ותוכנית עבודה יישומית וברת-ביצוע.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign