לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), העברת מידע אישי לספק חיצוני מחייבת הסכם כתוב הכולל חובות אבטחת מידע, בקרה ואיסור שימוש נוסף/חורג. האחריות המשפטית והרגולטורית נותרת תמיד על בעל השליטה במידע. אי עמידה בתקנה עלולה לחשוף את הארגון לעיצומים כספיים, אחריות אישית ואף פלילית לפי חוק הגנת הפרטיות.
מה הצורך בתקנה 15
העמדת מידע אישי ממאגרי הארגון לרשות ספק חיצוני מייצרת חשיפה משפטית וסיכוני סייבר משמעותיים, שכן הפיקוח הישיר על הנתונים מוגבל. בהיבטי אבטחת המידע, מרבית הסיכונים טמונים בסוגיות של גישת הספק למידע האישי בארגון, העברת מידע בין הספק לארגון וסיום ההתקשרות ביניהם.
כדי להסדיר זאת, קובעת תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) חובות קפדניות על בעלי מאגרים בעת התקשרות עם ספקים. נוכח הגידול באירועי דליפת מידע ומתקפות סייבר על שרשראות אספקה, הרשות להגנת הפרטיות פרסמה הנחיות מחייבות ליישום התקנה. משרדנו מלווה חברות וארגונים בגיבוש הסכמי הגנת פרטיות, בחינת הציות של ספקי המשנה ויישום מדריך הפעולה של הרשות, במטרה להבטיח הגנה מקסימלית על המידע ומניעת עיצומים כספיים ותביעות נזיקין.
התשתית הנורמטיבית: תקנה 15
תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, קובעת את חובותיו של בעל מאגר מידע בעת התקשרות עם גורם חיצוני (מיקור חוץ) לצורך קבלת שירות הכרוך בגישה למאגר המידע, לרבות בחינת סיכונים, קביעת תנאים מפורשים בהסכם, פירוט בנוהל האבטחה ונקיטת אמצעי בקרה ופיקוח. התקנה מייצרת, למעשה, מנגנון ציות המתחיל בבחינה טרם ההתקשרות ונמשך לאורך כל תקופת היחסים עם הספק. החובות כוללות בדיקה מקדמית מעמיקה, קביעת אמצעי פיקוח ובקרה, ועריכת הסכם מפורט הכולל את כל ההוראות הנדרשות ליצירת ממשק מאובטח בין הארגון לבין הספק.
בפועל, התקנה מעגנת תפיסה רגולטורית המזהה את הספק כ”חוליה חלשה” מבחינה מבצעית: גורם שאינו חלק מהארגון, שמקבל גישה למידע ולעתים אף מעבדו, ולכן דורש פיקוח מוגבר, בדיקות תקופתיות, ספציפיקציה של נהלים, ותיעוד נרחב של פעולותיו. חשיבותה של תקנה 15 מתעצמת נוכח תיקון 13 לחוק הגנת הפרטיות, המחיל דרישות מחמירות יותר על בעלי מאגרים ועל מחזיקים, ובפרט חובת דיווח על אירועי אבטחה חמורים, דרישות שקיפות, וצורך בתיעוד סביר של כל מנגנוני עיבוד המידע.
בדיקה מקדמית: בחינת סיכונים כתנאי סף להתקשרות עם הספק
שלב הבדיקה המקדמית מהווה נדבך יסוד בהתקשרות עם ספקי מיקור חוץ. מטרתו לבחון האם השירות שמבקש בעל המאגר לקבל מחייב גישה למידע אישי, מהו סוג המידע, מה רמת הרגישות, ומהם הסיכונים הנלווים לגישה זו. רק על בסיס הערכה מודעת ומקצועית של סיכונים ניתן להחליט אם נכון להתקשר עם הספק ואם נדרשים סייגים או אמצעי זהירות נוספים.
מדריך הרשות מציע שאלון בדיקה מפורט המהווה כלי עזר בלבד, אולם הוא מדגים את היקף הבדיקה המצופה מבעל המאגר: בחינת נהלי אבטחת המידע של הספק, קיום תקנים (כגון ISO 27001), נוהלי התמודדות עם אירועי אבטחה, היסטוריית אירועים, קיומם של מנגנוני תיעוד, מערכי גיבוי, מנגנוני זיהוי דו־שלבי, אמצעי הפרדה בין לקוחות, מבנה תחנות הקצה והאם קיימת תשתית מיגון אפליקטיבית.
המשמעות המשפטית היא כפולה: ראשית, ללא בדיקה מקדמית נאותה ההתקשרות עלולה להיחשב כתרשלנות רגולטורית; שנית, בדיקה זו היא שמאפשרת התאמה של תנאי ההסכם לנסיבות הספציפיות. היא גם מאפשרת לבעל המאגר להוכיח בעת ביקורת כי פעל בהתאם לסעיפי החוק ולתקנות, וכי החליט על־יסוד שיקולים מקצועיים ולא בהתבסס על נוחות תפעולית בלבד.
תחולת תקנה 15 בהתקשרות עם פרילנסר (יחיד)
תחולת תקנה 15(ג) לתקנות הגנת הפרטיות (אבטחת מידע)
תקנה 15(ג) לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, קובעת כי הוראות תקנה 15 אינן חלות על התקשרות של בעל מאגר עם יחיד. הנחת המוצא היא כי כאשר בעל מאגר מתקשר עם יחיד המשולב בשגרת העבודה של הארגון, פועל כחלק אינטגרלי ממערך הפעילות השוטפת וכפוף בפועל למנגנוני הניהול, האבטחה והבקרה הפנימיים של הארגון, הרי שסיכוני אבטחת המידע הנובעים מהתקשרות זו מטופלים במסגרת מעטפת האבטחה הארגונית הקיימת.
בנסיבות אלה, היחיד אינו מהווה גורם סיכון חיצוני עצמאי, אלא נתפס, לעניין אבטחת המידע, כגורם המצוי בשליטתו הארגונית והתפעולית של בעל המאגר. פעילותו נעשית תחת נהלי הארגון, בהתאם למדיניות אבטחת המידע והפרטיות שאושרה, תוך כפיפות להוראות בדבר הרשאות גישה, עקרון צמצום הגישה למידע, חובת סודיות, שימוש במערכות הארגון בלבד, ופיקוח שוטף על פעולותיו. מנגנונים אלה, החלים ממילא על בעלי הרשאה פנימיים, מספקים מענה מספק לסיכוני דלף מידע, שימוש חורג, גישה בלתי מורשית או פגיעה בשלמות ובזמינות המידע. לפיכך, אין הצדקה רגולטורית להטלת חובות התקשרות ייעודיות נוספות, המיועדות במקור להתקשרויות עם גורמים חיצוניים עצמאיים, אשר אינם כפופים למערך הבקרה הארגוני ואינם פועלים במסגרת שליטה ישירה של בעל המאגר.
תקנה 15 נועדה להתמודד עם סיכון ייחודי הנובע מהעברת עיבוד מידע אישי לגורם חיצוני הפועל באופן עצמאי, בעל תשתיות, נהלים ומערכות נפרדים, אשר רמת האבטחה בהם אינה נתונה לשליטה ישירה ומתמשכת של בעל המאגר. לעומת זאת, בהתקשרות עם יחיד המשולב בארגון באופן מלא, סיכון זה מצטמצם באופן מהותי, שכן אמצעי האבטחה אינם מבוזרים או חיצוניים, אלא חלק ממערך אבטחת המידע הכולל של הארגון.
על כן, החרגת התקשרות מסוג זה מתחולת תקנה 15 משקפת איזון רגולטורי. יסוד ההחרגה אינו טכני או פורמלי, אלא מהותי ותכליתי, ונשען על ההנחה כי ככל שהשליטה הארגונית והפיקוח האפקטיבי על פעילות היחיד גבוהים יותר, כך פוחת הצורך בהחלת מנגנון ההתקשרות החיצונית הקבוע בתקנה 15.
הסכם התקשרות בין בעל המאגר לבין הספק
הסכם ההתקשרות מהווה את העוגן המשפטי המרכזי של תקנה 15. ההסכם עם הגורם החיצוני צריך לכלול פירוט של המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו, מערכות המאגר שהגורם החיצוני רשאי לגשת אליהן, סוג העיבוד או הפעולה המותרים, משך ההתקשרות, אופן השבת המידע או השמדתו בסיום ההתקשרות ודיווח על כך. כמו כן, יש לפרט את אופן יישום חובות אבטחת המידע, חובת הגורם החיצוני להחתים את בעלי ההרשאות שלו על התחייבות לסודיות ושימוש במידע לפי ההסכם, וחובתו לדווח לבעל המאגר על ביצוע חובותיו ועל אירועי אבטחה. אם הותרה התקשרות עם גורם נוסף, על ההסכם לכלול את כל הנושאים המפורטים בתקנה זו גם לגביו.
במרכז ההוראות נמצאת החובה להגדיר בדיוק את סוגי המידע אליהם יוכל הספק לגשת, את המטרה שלשמה הוא רשאי להשתמש בכל סוג מידע, ואת מערכות המאגר בהן יקבל הרשאות. נדרש תיאור של מורשי הגישה מטעם הספק, לרבות שמות, תפקידים, רמת הרשאה, והאופן שבו תנוהל גישתם. כמו כן יש להגדיר מה רשאי הספק לעשות בנתונים: עיון בלבד, עיבוד מוגבל, יצירת מידע חדש, או בשילוב נתונים עם מערכותיו. לאחרונה, נוכח הוראות נוספות של הרשות להגנת הפרטיות, יש לכלול גם התייחסות לשימוש בנתונים לצורך בינה מלאכותית ואימון AI.
עוד מחייבת התקנה פירוט מלא של הליך סיום ההתקשרות: כיצד יושבו או יושמדו הנתונים (וכאן הרחבה), היכן מצויים גיבויים, כיצד יימחק מידע ממערכות דיוור, תיבות דוא”ל, תיקיות משותפות והתקנים חיצוניים. בעל המאגר מחויב לקבל מהספק דיווח חתום המאשר כי כל המידע הושב או הושמד, לרבות מידע המצוי אצל ספקי משנה.
כאשר הספק מוגדר כ”מחזיק” (במילים אחרות, כאשר עיבוד המידע נעשה דרך קבע במאגר המצוי בשליטתו של הספק), ההסכם חייב לכלול הוראות המפורטות בתקנות, לרבות חובת דיווח לרשות להגנת הפרטיות על אירועי אבטחה חמורים.
פיקוח ובקרה: אחריות מתמשכת של בעל המאגר
מדריך הרשות מחדד כי ביצוע בדיקה מקדמית והסדרת ההסכם אינם מספקים. בעל המאגר מחויב לקבוע בנוהל אבטחת המידע שלו הוראות מפורטות לגבי אופן הפיקוח על הספק, תדירות הבקרה, ובחינת עמידתו בהסכם. הפיקוח נדרש להתבצע בהתאם לרמת הסיכון שהספק יוצר וביחס למטרה שלשמה ניתנה לו גישה.
בקרה שנתית יזומה
חשיבות מיוחדת ניתנת לשאלון הבקרה התקופתית שהרשות מציעה לשלוח לספק אחת לשנה. השאלון נועד לבחון שינויים בתשתיות המחשוב, תקפות תקני אבטחת המידע, קיום הדרכות, היקף אירועי סייבר, מגעים עם רגולטורים, עדכוני נהלים והתמודדות עם תקלות. באמצעות שאלון זה מבטיח בעל המאגר תיעוד סדור של מכלול פעולות הספק, תיעוד שהינו חיוני בעת ביקורת, בעת אירוע אבטחה, ובעת הצורך להוכיח עמידה בהוראות הדין.
מדי שנה, החל ממועד תחילת ההתקשרות עם הספק החיצוני, יידרש הספק להשיב על שאלון בקרה תקופתי, כפי שייקבע ויעודכן מעת לעת על ידי בעל המאגר. מטרת השאלון היא לבחון את המשך התאמתו של הספק לדרישות אבטחת המידע, את יציבות מערך האבטחה, ואת קיומם של מנגנוני בקרה פנימיים אפקטיביים.
במסגרת הבקרה השנתית יידרש הספק, בין היתר, להתייחס לנושאים הבאים:
-
האם בוצעו שינויים מהותיים בתשתיות המחשוב, במערכות המידע או בארכיטקטורת האבטחה. ככל שבוצעו שינויים כאמור, האם נערכה בדיקה על ידי גורם חיצוני בלתי תלוי לבחינת תקינות, עמידות ואבטחת התשתיות.
-
האם התקיימו הדרכות לעובדים ולבעלי הרשאה מטעמו של הספק בתחום אבטחת מידע והגנת הפרטיות, לרבות העלאת מודעות לאופן השימוש התקין במאגרי מידע ולעקרונות צמצום הגישה.
-
האם בוצעו בדיקות תקופתיות לצורך תיקוף, חידוש או הארכת תוקפו של תו תקן בתחום אבטחת מידע או הגנת סייבר, ככל שקיים בידי הספק תו תקן תקף, והאם לא חלו שינויים במעמדו.
-
האם התרחשו אצל הספק אירועי אבטחת מידע, אירועי סייבר, חשיפה, דליפה או פגיעה בזמינות, בשלמות או בסודיות המידע, לרבות אירועים שלא הבשילו לכדי חובת דיווח סטטוטורית.
-
האם ננקטו צעדים מתקנים בעקבות ממצאי ביקורת, אירוע אבטחת מידע או שינוי בסיכון, והאם צעדים אלה הוטמעו בפועל.
שימוש הספק בספקי משנה
במקרים בהם הספק עושה שימוש בספק משנה (כקבלן משנה ובין בכל מתכונת אחרת), נדרש בעל המאגר לוודא כי קיים הסכם תקין בין הספק הראשי לבין ספק המשנה, וכי כל הוראות תקנה 15 חלות גם עליו. הסתייעות זו כפופה לאישור מראש ובכתב של בעל המאגר, וכי יחולו על הגורם הנוסף כל ההוראות, החובות והבקרות החלות על הספק עצמו, בהתאם לדין ולהסכם.
היעדר בקרה על שרשרת הספקים מייצר חשיפה רגולטורית ופוטנציאל להטלת עיצומים מנהליים.
שאלוני בדיקה
הרשות מציגה במדריך שני נוסחים משלימים של שאלוני בדיקה: שאלון מקדמי לבחינת יכולותיו של הספק טרם ההתקשרות, ושאלון בקרה תקופתית לצורך בחינה שוטפת של עמידתו בהוראות הדין ובדרישות אבטחת המידע. נדגיש כי הרשות מצהירה כי השאלונים מהווים כלי עזר בלבד, ואינם מהווים תחליף לניתוח עצמאי, להטמעת נהלים מקיפים או לעמידה מלאה בחובות המעוגנות בחוק הגנת הפרטיות ותקנותיו. היקף השאלונים, כפי שפורטו בנספחי המדריך, מקיף תשתיות ונהלים מרכזיים של הספק, ובהם: בחינת מדיניות האבטחה ויישומה בפועל, נוכחות תקני אבטחת מידע מקובלים, נהלי תיעוד ובקרת גישה, ביצוע הדרכות לעובדים, והיערכות לניהול אירועי אבטחת מידע לרבות איתור, תחקור ודיווח.
חובת הדיווח של הספק
הספק החיצוני מחויב בדיווח מיידי וללא דיחוי לבעל המאגר, בכל אחד מהמקרים הבאים:
-
פתיחה של הליך פיקוח, בירור, חקירה או פניה מכל סוג שהוא מצד הרשות להגנת הפרטיות, או מצד כל רגולטור אחר, בנושאים הנוגעים לפרטיות, אבטחת מידע או הגנת סייבר.
-
קבלת מכתב תלונה, מכתב התראה לפני נקיטת הליכים משפטיים, או הגשת תביעה אזרחית, הנוגעים לפגיעה בפרטיות או לאבטחת מידע, בין אם ההליך מופנה כלפי הספק ובין אם הוא נוגע לשירות הניתן לבעל המאגר.
-
כל אירוע או חשש לאירוע העלול להשפיע באופן מהותי על עמידת הספק בהתחייבויותיו לפי הדין או לפי ההסכם.
המשמעויות המשפטיות והרגולטוריות של המדריך ליישום תקנה 15
הפרשנות שמעניקה הרשות להגנת הפרטיות לתקנה 15 אינה טכנית בלבד. היא מכוננת למעשה משטר ציות חדש ומורכב, המחייב את בעלי המאגרים להפעיל תהליכי בקרה, תיעוד ושיקול דעת מהותיים בכל הקשור להסתייעות בספקי מיקור חוץ. המשמעויות המרכזיות הן אלה:
1. החמרת חובת הזהירות של בעל המאגר
בעל המאגר – משרד ממשלתי, חברה ממשלתית, יחידת סמך, רשות מקומית, תאגיד עירוני, גוף סטטוטורי, חברה פרטית או מלכ”ר – נדרש להוכיח כי פעל בהתאם לחוק ולהוראות הרגולטור. האחריות אינה מועברת לספק ואינה מתחלקת עמו. בעל המאגר ממשיך להיות הגורם המרכזי האחראי לאבטחת המידע. המשמעות: כל כשל של הספק, לרבות דליפה, תקלה, או שימוש בלתי מורשה – מיוחס בראש ובראשונה לבעל המאגר, שלא פיקח כראוי.
2. הפיכת נוהל אבטחת המידע למסמך מחייב
אם בעבר נהלי אבטחת המידע שימשו מסגרת כללית בלבד, המדריך ליישום תקנה 15 מחייב כי נוהל האבטחה יכלול התייחסות מפורטת להתקשרויות עם ספקים: אופן הבחינה, שיטת הפיקוח, טבלת הרשאות, נהלי סיום התקשרות, תיעוד ועוד. המשמעות: נוהל שאינו כולל הסדרה פרטנית של תקנה 15 ייחשב כחסר ובלתי תואם לדרישות הדין.
3. שינוי נקודת המבט: מהסכם שירות להסכם עיבוד מידע
הרשות מצפה כי ארגונים יפסיקו לראות בספק “נותן שירותים טכנולוגיים” בלבד. ההסכם הופך בפועל להסכם עיבוד נתונים, המקביל להסכמי DPA הנהוגים באירופה. ההנחה היא שהספק הוא חלק ממנגנון עיבוד המידע של הארגון, והפיקוח עליו חייב להיות הדוק וממוסמך. המשמעות: כל הסכם עם ספק, גם אם הוא ספק תמיכה, ספק תוכנה, חשב שכר, מוקד שירות, חברת מצלמות, חברת אבטחה, ספק IT או ענן – חייב לכלול את הוראות תקנה 15.
4. החמרת חשיפת הארגון לעיצומים מנהליים
אי־עמידה בתקנה 15 עלולה להיחשב כהפרה של חובת האבטחה בתקנות, ובמקרים מסוימים כהפרה של תיקון 13. הפרות אלה עשויות להוביל לעיצומים בסכומים ניכרים, לביקורת ולחשיפה משפטית מול נושאי מידע. המשמעות: רף האכיפה עלה משמעותית, והיעדר תיעוד נחשב כהיעדר ציות.
5. אחריות מוגברת לגבי ספקי משנה
הספק הראשי אינו “מגן” על בעל המאגר מפני ספק המשנה. בעל המאגר חייב לוודא שבין הספק הראשי לספק המשנה יש הסכם מלא העומד בדרישות התקנות. הנמקה כללית אינה מספיקה. המשמעות: גם ספק משנה בחו”ל, או ספק משנה של ספק ענן, חייב להיות מכוסה משפטית ובקרתית.
6. התבססות על תיעוד כראיה מרכזית
בביקורת פרטיות, הרשות להגנת הפרטיות תבחן, בראש ובראשונה:
- האם הבחינה המקדמית מתועדת?
- קיום שאלונים חתומים?
- ביצוע בדיקות תקופתיות?
- אסמכתאות למחיקת מידע בסיום ההתקשרות?
📋 צ’ק-ליסט ליישום תקנה 15: ניהול התקשרות עם גורם חיצוני (מיקור חוץ)
תקנה 15 לתקנות הגנת הפרטיות מטילה אחריות ישירה על בעלי מאגרי מידע בבחירת, בהתקשרות ובפיקוח על ספקים במיקור חוץ. כדי לסייע למנהלים, יועצים משפטיים וממוני הגנת פרטיות (DPO) לוודא עמידה מלאה בהוראות החוק, ריכזנו בטבלה הבאה את דרישות הציות המרכזיות:
| סטטוס | נושא הבדיקה (תקנה 15) | הדרישה המשפטית |
|---|---|---|
| שלב א: בחינה מקדמית (Due Diligence) | ||
| ☐ | בדיקת נאותות ספק | בחינת רמת אבטחת המידע אצל הספק והתאמתה לרגישות המאגר. |
| ☐ | הצהרות ותקינה | קבלת אישורי תקן (ISO 27001) או הצהרה חתומה על עמידה בתקנות. |
| שלב ב: עיגון חוזי (חובה רגולטורית) | ||
| ☐ | הגדרת פעולות מותרות | הסכם בכתב המגדיר במפורש את הנתונים המועברים ופעולות העיבוד. |
| ☐ | מנגנון דיווח (Breach) | התחייבות הספק לדווח מיידית על כל אירוע אבטחה או חשש לדלף. |
| שלב ג: סיום התקשרות | ||
| ☐ | השמדה או השבת מידע | מחיקה מוחלטת או החזרת המידע בסיום השירות ללא הותרת עותקים. |
סיכום: תקנה 15
מדריך הרשות להגנת הפרטיות מציג תפיסה רגולטורית סדורה, המזהה במדויק את נקודות הסיכון הגלומות בממשקי ספקים חיצוניים. תקנה 15 יוצרת משטר ציות מפורט ואופרטיבי, כזה שאינו מאפשר עוד הסתפקות בחתימה על סעיף כללי בהסכם שירות, אלא דורש ניהול שיטתי ושקוף של כל שלב בעיבוד המידע. ארגונים נדרשים כיום לנהל מאגרי מידע באופן מקצועי ומבוקר, ולדאוג כי ספקי מיקור חוץ, לרבות ספקי משנה, עומדים בכל היבטי החוק, התקנות, הנחיות הרשות וכללי אבטחת המידע המקובלים. אי עמידה בחובות עשויה להוביל להליכים מנהליים, לעיצומים כספיים משמעותיים, לנזקים תדמיתיים ולפגיעה ממשית בנושאי המידע.
משרד וולר ושות’ מלווה ארגונים בהטמעת תקנה 15, בסקר ציות, בגיבוש הסכמי עיבוד (DPA), בביצוע בדיקות מקדמיות, בהובלת תהליכי ציות ובהתמודדות עם דרישות הרשות להגנת הפרטיות בהתאם לתיקון 13. אנו מעמידים לרשות לקוחותינו תשתית משפטית־טכנולוגית מלאה, המשלבת ידע רגולטורי עדכני וניסיון רב־שנים ביישום הפרקטיקות הנדרשות, תוך ניהול מדויק ומקצועי של הסיכונים הנלווים לעיבוד מידע אישי.
קישור למדריך – כאן.
