אף שהשניים משתלבים זה בזה בפועל, הם משרתים מטרות שונות, כפופים לעקרונות רגולטוריים שונים ומטילים חובות משפטיות וטכנולוגיות ייחודיות. הבחנה זו חיונית לגופים פרטיים וציבוריים כאחד, הן לצורך עמידה ברגולציה, והן לשם בניית אמון עם הציבור. נסביר.
אבטחת מידע (Information Security): תשתית טכנולוגית לאבטחת כלל המידע
אבטחת מידע מתייחסת לאמצעים טכנולוגיים, ארגוניים ופרוצדורליים שנועדו להגן על כלל המידע המוחזק בידי הארגון — בין אם מדובר במידע אישי, מסחרי, טכנולוגי או אחר. היא יוצרת את התשתית הטכנית לשמירה על מידע. הגדרת אבטחת המידע מתמקדת בשלושה עקרונות מרכזיים (המכונים מודל CIA):
- סודי (Confidentiality) – מוגן מפני גישה לא מורשית;
- שלם (Integrity) – מוגן מפני שינוי או השחתה;
- זמין (Availability) – נגיש בעת הצורך לגורמים המורשים.
אבטחת מידע כוללת מגוון אמצעים, כגון הצפנת מידע, ניהול הרשאות וגישה, התקנת מערכות זיהוי ותגובה לאיומי סייבר, ביצוע סקרי סיכונים תקופתיים ובדיקות חדירות (Penetration Tests), ועוד.
מבחינה רגולטורית, בישראל, תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז–2017, קובעות סטנדרטים מחייבים לאופן ניהול ואבטחת מאגרי מידע בהתאם לרמות סיכון שונות. לצידו, ISO/IEC 27001 – תקן בינלאומי לניהול אבטחת מידע.
הגנת פרטיות: הזכות לשלוט במידע האישי
לעומת זאת, הגנת פרטיות (Privacy Protection) מתמקדת במידע מסוג אחד בלבד — מידע אישי, כלומר מידע הנוגע לאדם פרטי שניתן לזהותו דרכו. הגנת פרטיות קובעת את המסגרת החוקית לשימוש במידע. היא מבוססת על עקרונות משפטיים ואתיים, שנועדו לאזן בין האינטרסים העסקיים של הגופים המאגרים מידע לבין הזכות החוקתית של האדם לפרטיות. כך, בתמצית, העקרונות המרכזיים כוללים:
-
תכלית איסוף המידע: איסוף מידע רק לתכלית ראויה, ובמידה שאינה עולה על הנדרש.
-
שקיפות (Transparency): יידוע נושא המידע באופן מלא וברור.
-
הסכמה מדעת (Informed Consent): קבלת הסכמה חופשית ומודעת לשימוש במידע.
-
שמירה על זכויות נושאי המידע: זכות לעיין, לתקן, למחוק ולהתנגד לשימוש במידע.
המשמעות היא שהגנת פרטיות עוסקת בשאלות כמו מה הבסיס המשפטי לאיסוף המידע? האם ניתן להעביר את המידע לגוף שלישי? אילו זכויות יש לנושא המידע מול הגוף המחזיק בו?
בישראל, חוק הגנת הפרטיות, התשמ”א–1981 (לאחר תיקון 13, התשפ”ד–2024), מעגן עקרונות אלו ומוסיף עליהם מנגנוני אכיפה וסנקציות משמעותיות. החקיקה תואמת חקיקה בינלאומית, דוגמת ה-GDPR האירופי (General Data Protection Regulation).
מדוע אבטחת מידע אינה תחליף להגנת פרטיות?
קל לטעות ולחשוב כי הגנה טכנית על מידע (באמצעות מערכות אבטחה מתקדמות) מהווה גם עמידה בדרישות דיני פרטיות. זוהי טעות. אבטחת מידע אינה מפצה על אי-קיום חובות יסוד כמו שקיפות, קבלת הסכמה, פגיעה במידה הפחותה ביותר האפשרית, הבטחת זכויות נושאי המידע, וכו’. לדוגמה, חברה שמאבטחת את מסד הנתונים שלה בהצפנה מתקדמת – אך אוספת מידע אישי מלקוחות מבלי לקבל את הסכמתם או ליידע אותם כיאות. החברה מפרה את דיני הפרטיות, למרות אבטחת המידע הגבוהה.
טבלה מסכמת: אבטחת מידע מול הגנת פרטיות
| 🛡️ אבטחת מידע | 🔒 הגנת פרטיות | |
|---|---|---|
| מהות התחום | הגנה על כל סוגי המידע | הגנה על מידע אישי בלבד |
| מטרה | סודיות, שלמות, זמינות | זכויות ושליטה על מידע אישי |
| עקרונות | טכנולוגיים וארגוניים | משפטיים ואתיים |
| דוגמת כשל | פריצה למאגרי מידע | עיבוד מידע אישי ללא הסכמה |
| רגולציה | תקנות הגנת הפרטיות (אבטחת מידע) | חוק הגנת הפרטיות (תיקון 13) |
השלכות רגולטוריות ואחריות אישית
מבחינת רגולציה, כשל באבטחת מידע וכשל בהגנת פרטיות עלולים להוביל לסנקציות שונות. לדוגמה, הליכים פליליים קנסות מנהליים (למשל, אי רישום מאגרי מידע לפי דרישת חוק הגנת הפרטיות, היעדר הסכם עיבוד מידע (DPA), וכו’); ותביעות אזרחיות, לרבות תובענות ייצוגיות.
בנוסף, דירקטורים ונושאי משרה בחברות עלולים להימצא אחראים אישית על מחדלי אבטחת מידע או פגיעות בפרטיות, בהתאם להנחיית הרשות להגנת הפרטיות מחודש ינואר 2024.
סיכום: שילוב בלתי נפרד
כל ארגון חייב לא רק לאבטח את המידע שברשותו, אלא גם לוודא שעיבוד המידע עומד בעקרונות דיני הפרטיות, תוך יישום מנגנוני שקיפות, קבלת הסכמות והגנה על זכויות נושאי המידע. יישום נכון של שני התחומים גם יחד הוא מפתח לעמידה ברגולציה, שמירה על אמון הלקוחות ומניעת סיכונים משפטיים כבדים.
משרד וולר ושות’ עורכי דין מתמחה בליווי משפטי בתחומי הגנת פרטיות, אבטחת מידע ורגולציה טכנולוגית. המשרד מספק פתרונות מותאמים אישית לעמידה בדרישות החוק, ניהול סיכוני סייבר ושמירה על אמון הציבור, תוך הקפדה על מקצועיות, זמינות וחדשנות משפטית.
