top image

זכויות נושאי מידע במיקור חוץ: המדריך המלא 

זכויות נושאי מידע מיקור חוץ

עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, מפת הסיכונים של תאגידים, חברות וארגונים בישראל השתנתה מהקצה אל הקצה. בעוד שבעבר ניהול מאגרי מידע נתפס לעיתים כמשימה טכנית או פרוצדורלית, הרי שהתיקון החדש מעניק שיניים אכיפתיות חסרות תקדים לרשות להגנת הפרטיות, ומטיל סנקציות כספיות ופליליות כבדות על ארגונים שאינם עומדים בהוראות החוק.

בתוך פאזל הרגולציה החדש, אחת הנקודות המורכבות, הרגישות והנפיצות ביותר בניהול מערכות במיקור חוץ היא הממשק המקצועי והאופרטיבי מול נושאי המידע. כלומר, אותם אנשים פרטיים – בין אם מדובר בלקוחות הקצה שלכם, בעובדי הארגון, או בספקים חיצוניים – שהמידע האישי שלהם מעובד אומנם במסגרת הפעילות העסקית של הארגון שלכם, אך מוחזק פיזית או לוגית "בענן", על שרתים של ספק מיקור חוץ חיצוני (SaaS, IaaS או PaaS).

החוק בישראל מעניק לפרט זכויות רחבות, מהותיות ובלתי מתפשרות לפנות לארגון לצורך עיון, העתקה ותיקון של המידע שלו. אולם, הניסיון המעשי שלנו כמשרד מראה כי היכולת המעשית של הארגון שלכם לממש זכויות אלו אינה תלויה רק ברצון טוב או בכוונות טובות של מחלקת שירות הלקוחות שלכם; היא תלויה בראש ובראשונה בתשתית הטכנולוגית, בטיב ההסכמים המשפטיים ובשיתוף הפעולה מול ספק השירות במיקור חוץ.

 

הפרדוקס המשפטי: האחריות המלאה אצלכם, הנתונים הפיזיים אצלם

כאן טמון "כאב הראש" הניהולי, הטכנולוגי והמשפטי הגדול ביותר של מנהלים כיום: פרדוקס השליטה.

מבחינת הרגולציה, דיני הגנת הפרטיות והרשות להגנת הפרטיות, בעל השליטה במאגר (הארגון שלכם) הוא האחראי הבלעדי, הישיר והראשוני כלפי נושאי המידע. החוק אינו מתעניין בשאלה האם השרתים יושבים במשרדים שלכם בתל אביב, בחוות שרתים בפתח תקווה או בענן הציבורי של AWS באירלנד. אתם אלו שחתמתם מול הלקוח, אתם אלו שאספתם את המידע, ולפיכך – אתם אלו שחייבים לספק לו תשובות מלאות ומדויקות בתוך לוחות זמנים קשיחים וקצרים הקבועים בחוק.

בפועל, המציאות האופרטיבית הפוכה לחלוטין: המידע האישי נמצא פיזית ב"חצר האחורית" של צד שלישי, נעול בתוך בסיסי הנתונים והארכיטקטורה הדיגיטלית של הספק החיצוני שלכם.

ללא הגדרה חוזית מדויקת, קפדנית ויורדת לפרטים של נספח עיבוד מידע (DPA – Data Processing Agreement), הארגון שלכם מוצא את עצמו בעמדת נחיתות מובהקת וחשוף באופן קבוע לסיכון כפול:

1. הסיכון הרגולטורי והמשפטי

הפרה ישירה של הוראות חוק הגנת הפרטיות בשל אי-מתן מענה בזמן לנושא המידע, או מתן מענה חלקי ומטעה. במצב כזה, הטענה "רצינו לענות ללקוח, אבל הספק החיצוני לא שלף לנו את הנתונים מהשרתים שלו בזמן" אינה מהווה הגנה משפטית. הרשות להגנת הפרטיות תראה בכך מחדל ישיר שלכם כבעלי השליטה במאגר, מה שעלול להוביל לעיצומים כספיים כבדים, תביעות ייצוגיות של צרכנים ופגיעה קשה במוניטין העסקי.

2. תלות טכנולוגית וסחיטה כלכלית

מצב שבו הארגון הופך ל"בני ערובה" של הספק החיצוני. כאשר מגיעה דרישת עיון או מחיקה מורכבת, הספק עלול לדרוש תשלום מופקע ומחוץ לחוזה עבור כל שאילתת שליפת מידע, ביצוע "מחיקה לוגית" או הפקת דוח. חמור מכך, ארגונים רבים מגלים מאוחר מדי שהספק שלהם פשוט אינו ערוך טכנולוגית לבצע פעולות מורכבות, כגון מחיקה סלקטיבית של מידע על משתמש ספציפי מבלי לפגוע או לערער את יציבות מאגר המידע המשותף כולו (במיוחד בסביבות רב-דייריות – Multi-tenant).

 

 

מודל שיתוף הפעולה

הסכם DPA מודרני בעידן תיקון 13 אינו יכול להסתפק עוד בהצהרות כלליות, אמורפיות או בניסוחים מכובסים כגון "הצדדים ישתפו פעולה בהתאם לחוק". הוא חייב להגדיר מנגנון סדור, ברור ורמת שירות (SLA) מוגדרת לממשק האופרטיבי בין הצדדים. חוזים מעודכנים מקפידים להגדיר במדויק גבולות גזרה: הן מתחייבות לספק שיתוף פעולה טכנולוגי וסיוע סביר ללקוח (בעל השליטה), אך במקביל הן אוסרות על עצמן באופן מוחלט מתן מענה ישיר או תקשורת עצמאית מול נושאי המידע ללא אישורו וניהולו המפורש של הארגון.

 

טבלת חלוקת אחריות במימוש זכויות הפרט

כדי להבין כיצד נראה הממשק הזה הלכה למעשה, פיתחנו במשרד מודל חלוקת אחריות ברור, המפריד בין התפקיד המשפטי והניהולי, לבין התפקיד הטכנולוגי של הספק:

שלב בתהליך האופרטיבי אחריות בעל השליטה (הארגון / הלקוח) אחריות מעבד המידע (הספק החיצוני)
אימות זהות  אחריות בלעדית: ביצוע זיהוי חד-ערכי של נושא המידע הפונה, אימות מסמכים (כגון תעודת זהות) ווידוא שהפנייה לגיטימית ואינה ניסיון הנדסה חברתית. חובת הימנעות ואבטחה: איסור מוחלט על חשיפת מידע או אישור עצמי של פניות ללא הנחיה בכתב מבעל השליטה.
זכות העיון  ניהול הפנייה: הגדרת סוג המידע המבוקש, תיחום תקופת הזמן הרלוונטית והעברת הוראת שליפה רשמית לספק. ביצוע טכנולוגי: איתור וריכוז המידע מכלל בסיסי הנתונים, השרתים והגיבויים, והעברתו לארגון בפורמט נפוץ וקריא.
תיקון  החלטה משפטית: בחינה האם המידע אכן שגוי או האם קיימת חובה חוקית לשמור אותו (למשל, מכוח דיני מס). מתן הוראת ביצוע לספק. ביצוע בשטח: מחיקה פיזית או לוגית של המידע, החלת הפעולה על גיבויים, והנפקת תצהיר/אישור ביצוע חתום
ניוד נתונים  אפיון דרישה: הגדרת היעד הטכנולוגי, הפורמט הנדרש והיקף המידע ייצוא נתונים: הפקת המידע האישי מתוך המערכות בפורמט מובנה, נפוץ, מובטח טכנולוגית וקריא-מכונה
ניהול עלויות ותקציב מימון חריגים: שיפוי ופיצוי הספק עבור פניות בהיקפים חריגים, קנטרניים או כאלו הדורשים פיתוח טכנולוגי ייעודי ומוכח מראש. תפעול שוטף: ביצוע פעולות שליפה, מחיקה ותיקון סטנדרטיות כחלק בלתי נפרד מדמי הרישיון והתחזוקה השוטפים.

 

שלוש זכויות הליבה שחייבות לקבל ביטוי מפורש ומעשי ב-DPA

כאשר אנחנו מנסחים או בוחנים נספחי הגנת פרטיות עבור לקוחות המשרד, אנו מתמקדים בשלושה צירי זכות מרכזיים שאי אפשר להשאיר בהם מקום לעמימות:

1. זכות העיון

בעידן שבו לקוח יכול בלחיצת כפתור לדרוש "את כל המידע שיש לכם עליי", אתם לא יכולים להרשות לעצמכם תהליכים ידניים שנמשכים שבועות. הספק החיצוני חייב להעמיד לרשותכם כלים שיאפשרו לכם לשלוף את המידע באופן עצמאי. יש להתחייב בחוזה לספק את הנתונים תוך חלון זמנים קצר במיוחד. בנוסף, אנו מוודאים בתוך ה-DPA שהפורמט שבו המידע מועבר מהספק אליכם (וממכם ללקוח) לא יהיה קובץ קוד גולמי ולא מובן, אלא קובץ שימושי, קריא וברור לגולש הממוצע.

2. הזכות לתיקון

זהו ללא ספק האתגר הטכנולוגי והתפעולי הגדול ביותר בעולם הענן. כאשר לקוח מבקש למחוק את חשבונו ואת המידע המשויך אליו, עולות מיד שאלות קשות:

  • האם הספק מסוגל למחוק את המידע גם מתוך הגיבויים התקופתיים, או שהמידע ישוחזר בטעות באירוע של קריסת מערכות?

  • מה קורה עם המידע שהספק עצמו העביר לצדדים שלישיים – אותם מעבדי-משנה (Sub-processors) המספקים לו שירותי אנליטיקה, סליקה או דיוור?

ניסוח נכון ומקצועי של ה-DPA מחייב את הספק הראשי לא רק למחוק את המידע אצלו, אלא להעביר את הוראת המחיקה הלאה ולשרשר אותה לאורך כל שרשרת העיבוד, תוך פיקוח הדוק וקבלת אישורי ביצוע מכל קבלני המשנה שלו.

3. מניעת מענה ישיר – הגנה מפני דלף מידע

אחת הטעויות החוזיות והאופרטיביות הנפוצות ביותר מתרחשת כאשר ספק המחשוב מנסה "להיות נחמד ויעיל", ומשיב ישירות ללקוח הקצה של הארגון שלכם שפנה אליו בטעות. מדובר בפרצת אבטחה חמורה ובפתח לאירועי אבטחת מידע קטסטרופליים (כגון חשיפת מידע של לקוח א' בפני לקוח ב' עקב אימות זהות שגוי).

ה-DPA חייב לאסור כל תקשורת ישירה כזו באופן מוחלט, ולהגדיר פרוטוקול נוקשה של העברת פנייה. כל פנייה שמגיעה לספק מצד נושא מידע מועברת מיד ובאופן דיסקרטי לצוות הגנת הפרטיות של הארגון שלכם.

 

הפתרון של וולר ושות': הפיכת ה-DPA לכלי עבודה 

כמשרד מוביל המשלב ייעוץ משפטי יחד עם מומחיות יישומית בניהול סיכונים תאגידיים וניהול הגנת הפרטיות (DPO), אנחנו מאמינים שהפתרון ל"כאב הראש" הרגולטורי אינו מסתכם בהעתקת סעיפים משפטיים יבשים מחוזים מחו"ל. הפתרון האמיתי הוא בניית מנגנון הפעלה ארגוני אקטיבי המונע חיכוך, חוסך בעלויות ומגן עליכם בשטח:

  • קביעת SLA קשיח ותחום בזמן לתגובה: אנחנו מגדירים בחוזה פרקי זמן קשיחים וספציפיים (למשל, חובת מענה ותגובה של הספק בתוך 48-72 שעות מרגע הפנייה שלנו). המטרה היא להבטיח מרווח ביטחון שיאפשר לכם לבחון את המידע מבחינה משפטית לפני שתעבירו אותו ללקוח, מבלי להפר את לוחות הזמנים של החוק.

  • פרוטוקול אימות ודיווח: יצירת נתיב דיווח מאובטח ומוצפן בין הספק לארגון.

  • הסדרה ומניעת "סחיטה" כספית מראש: החוזה מוגדר כך שכל הפעולות הסטנדרטיות והנפוצות כלולות במחיר הרישיון השוטף, ועבור פעולות מורכבות וחריגות במיוחד נקבע מחירון קבוע, ידוע ושקוף מראש.

 

צ'ק ליסט לבדיקת ה-DPA שלכם: האם אתם באמת מוגנים?

לפני שאתם חותמים על הסכם מסחרי או נספח פרטיות מול ספק מערכת SaaS, שירותי ענן, או בית תוכנה חיצוני, קחו את הרשימה הבאה ווודאו שהסעיפים הללו מופיעים בצורה חקוקה בכתב:

  • זמן תגובה מוגדר (SLA): האם מוגדר חלון זמנים ברור וספציפי (בשעות) שבו הספק מחויב להמציא לכם את המידע מרגע דרישתכם?

  • חובת סודיות ואיסור מענה ישיר: האם קיים איסור גורף וחד-משמעי על הספק או מי מטעמו ליצור קשר ישיר עם נושאי המידע שלכם ללא אישורכם המוקדם בכתב?

  • סיוע אקטיבי ברגולציה וב-DPIA: האם מוגדרת חובתו הסטטוטורית של הספק לספק לכם נתונים ארכיטקטוניים לצורך ביצוע הערכת השפעה על הפרטיות (DPIA) במידת הצורך?

  • שקיפות עלויות מוחלטת: האם עלויות התמיכה, השליפה, המחיקה והניוד מוגדרות ומתומחרות, או שהן נותרו כ"סעיף פתוח" שעלול לעלות לכם עשרות אלפי שקלים בעתיד?

  • פיקוח על שרשרת מעבדי-משנה: האם הספק מחויב חוזית להחיל את אותן חובות שיתוף פעולה, אבטחת מידע וצייתנות גם על קבלני המשנה וספקי המשנה שלו, והאם יש לכם זכות וטו על זהותם?

  • גיבויים ושחזורים: האם מפורט מנגנון המבטיח כי מחיקת מידע לוגית מבוצעת ומחלחלת גם אל קובצי הגיבוי המרוחקים של המערכת בתוך זמן הגיוני?

 

צריכים עזרה מקצועית בניסוח או בבדיקת נספחי ה-DPA שלכם?

משרד וולר ושות' מביא עמו ניסיון עשיר, מוכח וארוך שנים בליווי חברות הייטק, ארגונים פיננסיים, רשויות מקומיות ותאגידי ענק אל מול ספקי טכנולוגיה ומחשוב מקומיים ובין-לאומיים.

השילוב הייחודי שהמשרד מציע – מומחיות משפטית ברמה הגבוהה ביותר, יחד עם הסמכות DPO מעשיות וראייה מערכתית וקרה של מנהלי סיכונים בכירים (CRO) – מאפשר לנו לבנות עבור הארגון שלכם מערך הגנה חוזי ואופרטיבי שהוא לא רק "נייר משפטי יפה למגירה", אלא כלי עבודה אמיתי שעובד עבורכם בשטח, חוסך משאבים ומונע חשיפות רגולטוריות מיותרות.

אל תשאירו את הגנת הפרטיות של העסק שלכם, ואת זכויות הלקוחות שלכם, בידיים של ספקים חיצוניים ללא פיקוח, בקרה ומעטפת חוזית הולמת.

לתיאום פגישת ייעוץ מקצועית עם עו"ד רועי וולר – לחצו כאן

עו"ד רועי וולר

עורך דין ושותף בכיר | הגנת פרטיות, DPO – וולר ושות'

עו"ד רועי וולר, שותף בכיר במשרד וולר ושות׳ בחיפה. M.A במשפטים, DPO מוסמך ומנהל סיכונים ראשי (CRO). מתמחה בחוק לחוק הגנת הפרטיות ובאבטחת מידע. מלווה חברות ממשלתיות, רשויות מקומיות, חברות פרטיות, ציבוריות ומלכ"רים.

← לפרופיל המלא

שתפו עם חברים
צרו איתנו קשר
  • שדה זה מיועד למטרות אימות ויש להשאיר אותו ללא שינוי.

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

אני מאשר/ת*
כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין