סקר ציות בתחום הגנת הפרטיות

מהו סקר ציות?

סקר ציות (Privacy Compliance Survey) הוא כלי חיוני בניהול אפקטיבי של מדיניות הגנת הפרטיות בארגונים ציבוריים ופרטיים כאחד, והוא מהווה חלק בלתי נפרד מחובות של “בעל מאגר מידע”. מטרתו העיקרית של הסקר היא לאמוד את רמת ההתאמה של הארגון לדרישות הדין הרלוונטי, לרבות חוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע), הנחיות הרשות להגנת הפרטיות, מיטב הפרקטיקה המקצועית, תקני ISO רלוונטיים (27001/27701), רגולציית GDPR וכו’.

הצורך בסקר ציות נובע מהעובדה שהיבטי פרטיות, הגנה על מידע אישי ואבטחת מידע הם אינם רק חובה רגולטורית, כאמור, אלא מרכיב מהותי בניהול הממשל התאגידי, כלי לצמצום סיכונים כספיים ומשפטיים, וכלי להגדלת אמון הציבור והלקוחות בארגון. הארגון מחויב לא רק לשמור על שלמות, סודיות וזמינות המידע שברשותו, על פי הצהרותיו, אלא גם להוכיח כי הוא פועל להגנה על הפרטיות באופן אקטיבי ואפקטיבי.

אופן ביצוע סקר ציות

ההליך כולל בחינה שיטתית של מכלול ההיבטים הרלוונטיים להבטחת עמידה בדין, בראש ובראשונה –

המסגרת הארגונית

האם מונה ממונה על הגנת הפרטיות (DPO)? האם קיימת מדיניות הגנת הפרטיות? והאם קיימים נהלים פנימיים להבטחת פרטיות, וביניהם נהלי איסוף, עיבוד, שימוש, מסירה ומחיקה של מידע אישי?

רמת אבטחת המידע בהיבט הטכנולוגי

סיווג המאגרים, רישום מאגרי מידע, בקרות גישה, מערכות גיבוי והתאוששות, שימוש בהצפנה, תיעוד אירועים חריגים וניהול הרשאות משתמשים.

ממשק הארגון עם גורמים חיצוניים

• קיומם של הסכמים מתאימים עם ספקים המעבדים מידע אישי, הכוללת רמת אבטחת המידע אצל הספקים, לניהול שרשרת האספקה.
• האם קיימות הרשאות להעברת מידע לגורמים חיצוניים (ובפרט מחוץ לישראל).
• תיעוד של הסכמות מצד נושאי המידע.

רמת המודעות וההדרכה בקרב העובדים

זהו היבט שלעיתים מוזנח למרות שהוא מהותי. ארגון שהעובדים בו אינם מבינים מהו מידע אישי, מתי מותר לחשוף אותו, ומהם כללי השמירה עליו, עלול להיקלע להפרות חמורות – אף אם קיימות מערכות טכנולוגיות מתקדמות.

המלצות ותכנית עבודה לתיקון ליקויים

על בסיס הממצאים, נבנית מפת סיכונים הכוללת המלצות קונקרטיות: עידכון נהלים, שדרוג מערכות, הטמעת מדיניות מחודשת, הכשרות עובדים, בחינה מחדש של מאגרים, ועוד.

מדריך לעריכת סקר ציות בתחום הגנת הפרטיות

עריכת סקר ציות (Privacy Compliance Survey) היא משימה מקצועית הדורשת שילוב של ידע משפטי, הבנה טכנולוגית ויכולת לנתח את המבנה הארגוני והנהלים הפנימיים של הגוף הנבדק. להלן פירוט שיטתי של שלבי העבודה המרכזיים בעריכת סקר ציות:

שלב 1: הגדרת מטרות, היקף והמסגרת הארגונית

בשלב הראשון יש להגדיר בצורה מדויקת את מטרות הסקר: האם מדובר בביקורת כוללת על כלל מערכות הארגון? האם מדובר בבחינה של תהליך מסוים? בשלב זה גם ממונה “רכז סקר” מטעם הארגון – לרוב סמנכ”ל תפעול, DPO, יועץ משפטי פנימי או ממונה על אבטחת מידע.

שלב 2: איסוף מידע ומסמכים רלוונטיים

השלב הבא כולל איסוף מסמכים קיימים, כדוגמת: מדיניות פרטיות; נהלי אבטחת מידע; חוזים עם ספקים; רישום מאגרי מידע; תרשימי זרימת מידע וראיונות עומק.

שלב 3: מיפוי תהליכי עיבוד מידע אישי

בשלב זה נעשה מיפוי מלא של כל זרימות המידע (Data Flow) בארגון: מקורות המידע, סוגי המידע, מטרות האיסוף, הבסיס המשפטי לעיבוד, משך השמירה ומימוש זכויות עיון ותיקון.

שלב 4: ניתוח פערים ובחינה משפטית-טכנולוגית

השוואה שיטתית בין המצב הקיים בפועל לדרישות הדין והנחיות הרשות להגנת הפרטיות:

• רישום מאגרי מידע: האם קיימת רשימה מלאה ומדויקת? האם המאגר נרשם כדין לפי סעיף 8 לחוק הגנת הפרטיות?
• נהלים פנימיים: האם קיימים נהלים כתובים בנוגע לניהול המידע האישי, שיתוף ומחיקה?
• מדיניות אבטחת מידע: האם קיימת מדיניות מעודכנת העומדת בדרישות תקנות אבטחת מידע (התשע”ז-2017)?
• אמצעי הגנה טכנולוגיים: האם הותקנו חומות אש, הצפנה וניהול הרשאות?
• מימוש זכויות נושאי המידע: האם קיימת תשתית למתן אפשרות לעיון ובקשה לתיקון?
• הדרכה והסמכה: האם קיימת תוכנית הדרכה שנתית לעובדים?
• היערכות לאירועי אבטחה: קיום מדיניות תגובה (Incident Response Plan).
• הסכמים עם צדדים שלישיים: קיום הסכמי עיבוד מידע (DPA) לפי תקנה 15.

שלב 5: הכנת דו”ח סקר ציות והמלצות אופרטיביות

גיבוש דו”ח סופי מפורט הכולל מבוא, מפת מאגרים, טבלת פערים, דירוג סיכונים ותוכנית פעולה יישומית עם לוחות זמנים.