כך תימנעו מתביעות בנושאי הגנת פרטיות ואבטחת מידע

מהו תהליך PBD וכיצד תוכלו לצמצם את החשיפה שלכם בפני תביעות בנושאי הגנת פרטיות ואבטחת מידע

מאת עו”ד ניר פיינברג, מתמחה בסייבר, אבטחת מידע והגנת הפרטיות

אנו חיים בעידן המידע; החברות הגדולות והחזקות ביותר בעולם כיום הן חברות שהנכס העיקרי שלהן, ה- crown jewels, הוא המידע שהן מחזיקות.

בעידן שבו הכל נהיה מקושר, מרושת ודיגיטלי החשיבות לאיסוף מידע רב על המשתמשים גדלה בעשרות מונים. בעל המידע הוא בעל המאה. ככל שברשותנו מידע רב ואיכותי יותר על המשתמשים, כך נוכל להציע להם שירותים ומוצרים שמעניינים אותם יותר וכפועל יוצא – להגדיל את הכנסות החברה.

לצד ההתפתחות הטכנולוגית, קיימת מגמה הולכת וגוברת של אסדרת מימד הסייבר; אנו רואים יותר ויותר מחוקקים, בארץ ובעולם, המסדירים את גבולות הגזרה במימד הסייבר, את כללי העשה ואל תעשה, בחוקים ובתקנות.

המודעות לסיכונים השונים במרחב הסייבר עלתה משמעותית, ודאי שבקרב הרגולטורים השונים, אך גם במגזר העסקי ובקרב הלקוחות, עליהם נאסף המידע. חברות שמעוניינות לגייס כספים נשאלות ביתר פירוט לגבי העמידה שלהן בדרישות החוק בתחומי הסייבר, הגנת המידע והפרטיות ומן העבר השני – משתמשים רבים לא מהססים לנקוט בהליכים משפטיים נגד חברות שלא אבטחו כראוי את המידע שברשותן או עשו בו שימוש למטרות אסורות. המודעות ההולכת וגוברת מחייבת היערכות קפדנית.

מסעיף בודד לחקיקה מקיפה

בארץ, עד עתה, החובה להגן על מידע אישי דיגיטלי הייתה כללית למדי. חוק הגנת הפרטיות קבע שבעל מאגר מידע, המחזיק במאגר ומנהל המאגר חייבים לאבטח את המידע שבמאגר. מלבד סט הוראות למנהל מאגר המידע, החוק לא פירט כיצד יש לאבטח את המידע ומי יחשב כבעל מאגר מידע שמגן על המידע שלו בצורה ראויה.

כעת, עם אישור תקנות הגנת הפרטיות (אבטחת מידע), המחוקק הישראלי הבהיר מה הן הציפיות (או ליתר דיוק – החובות) מארגון שאוסף ומעבד מידע אישי, וכיצד מצופה ממנו להגן על המידע מהסיכונים הרבים והשונים שצצים במרחב הסייבר.

התקנות החדשות יוצרות חובות חדשות על בעלי מאגרי מידע וכפועל יוצא – מקנות ללקוחות החברות, לאנשים שעליהם המידע נאסף, זכויות חדשות מול החברות שמחזיקות את המידע. אם ניתן לסכם את הזכויות החדשות בקצרה, אזי שמדובר בזכות שהמידע שלנו יישמר בצורה בטוחה יותר, שיעשה בו שימוש אך ורק למטרה שלשמה מסרנו את המידע ושאירועי דליפת מידע ידווחו לגורמים הרלוונטיים ולציבור הרחב.

התקנות החדשות אינן פשוטות להטמעה ודורשות ניתוח מעמיק של תהליכים ארגוניים וטכנולוגיים בחברה. על החברה להכין מסמכי מדיניות ונהלים כתובים, למנות בעלי תפקידים רלוונטיים, למפות את מבנה הרשתות ודרכי איסוף המידע ולהיערך לאירועי אבטחת מידע. לעיתים, בעיקר אצל חברות גדולות וותיקות, הטמעת הוראות התקנות דורשת שינוי של ממש בפעילות הארגון ובתהליכיו העסקיים.

מן העבר השני, חברות סטארט-אפ וחברות צעירות, יכולות לראות ברגולציה החדשה בשורה חיובית, אשר מכתיבה תהליך שבסופו החברה תהיה מוגנת יותר, תנהל את המידע שלה בצורה הולמת והוגנת ותגדיל את אמון המשתמשים ולקוחותיה הפוטנציאליים.

תכנון לפרטיות

אחת החובות המרכזיות ברגולציות השונות שעוסקות בפרטיות ואבטחת מידע עוסקת ב”תכנון לפרטיות” (Privacy By Design – PBD) הוא מתודת תכנון מערכות מידע בהן הגנת הפרטיות והמידע האישי נלקחים בחשבון באופן אינהרנטי בכל שלבי תכנון ופיתוח המערכת. התוצאה המתקבלת כתוצאה מיישום של PBD הינה מערכת מידע ותהליכים בהם ההגנה על הפרטיות והמידע הינה שורשית ויעילה יותר, ולמשל המידע הפרטי המעובד במערכת המידע יהיה אך ורק זה הנדרש לצורך מתן השירות. בתהליך זה, נלקחים בחשבון שיקולי פרטיות בכל שלבי מחזור החיים של מערכת המידע – החל משלב הייזום ועד יציאת המערכת משימוש, באופן שיוביל לפגיעה מינימאלית – אם בכלל – בפרטיות.

תכנון מוצר או שירות בהתאם למתודולוגיית PBD תקל על הטמעת כלל החובות הרגולטוריות שחלות על החברה בתחומי אבטחת המידע והפרטיות וכן תאפשר לחברה להוכיח – לרגולטורים, למשקיעים וללקוחות – ביתר קלות, שהחברה דואגת לפרטיות משתמשיה ומגנה על המידע בצורה בטוחה.

כיצד מתחילים תהליך PBD? ראשית, בונים צוות אינטגרטיבי שכולל נציגים מהצוותים הטכניים ומדרג קבלת ההחלטות וכן מומחים בתחומי הפרטיות ורגולציית אבטחת המידע, אשר יפעלו בצוותא בתהליך הגדרת החובות והסיכונים שחלים על החברה. התוצר של התהליך לעיל הוא נוהל שמורכב מדרישות, איסורים או תנאים שיש לפעול לאורם בשלבי תכנון המוצר או השירות ולאורך כל מחזור החיים שלו.

תכנון לפרטיות בשלבי תכנון המוצר או השירות יוביל להטמעה קלה ונכונה יותר של הרגולציות הרלוונטיות וכפועל יוצא להפחתת הסיכון להפרת החוק ולחשיפה לתביעות וקנסות.

הכתבה בחסות משרד עו"ד שבלת

משרד עו"ד שבלת הוא אחת מפירמות עורכי הדין המובילות והבולטות בתחום המסחרי-בינלאומי. המשרד מתמחה בייצוג חברות ותאגידים מחו"ל הפועלים בישראל ובסיוע ללקוחות ישראליים בפעילויותיהם ברחבי העולם, לרבות ייצוגם בעסקאות בינלאומיות מורכבות. בנוסף למשרד בישראל, לשבלת משרד בניו יורק ודסק ישראלי בסין.

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

5 תגובות על "כך תימנעו מתביעות בנושאי הגנת פרטיות ואבטחת מידע"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אאא
Guest

איך האמור חל על מישהו שרוצה לפתח אפליקציה שבה משתמשים מזינים מידע והשרת הוא בעצם בשירות אחסון אתרים/azure/aws? והברזלים בעצם לא בשליטתו…

Gil
Guest

מצטרף לשאלה

Ido
Guest
יש להפריד בין שאלות של פרטיות לשאלות של אבטחת מידע (על אף שהנושאים קשורים). ראשית, מבחינת אבטחת מידע, מידע אישי של משתמשים, כגון שם משתמש, סיסמא, שם פרטי ושם משפחה, וכו׳, יש לשמור בצורה מוצפנת בשרתים. AWS מאפשרים לך לעשות זאת בקלות, וככל שתעשה זאת מוקדם יותר בשלב הפיתוח יהיה לך קל יותר. שנית, כניסה לשרתים צריכה להיות מבוססת הרשאות, ורק בהתאם לנדרש. כמו כן, יש להשתמש ב-multi-factor authentication. כל אלה נתמכים בקלות על ידי AWS, ויש חברות חיצוניות (OneLogin למשל) שנותנות שירותים בתחום. כמו כן, תקשורת לשרתים צריכה להתקיים באופן מוצפן. זה באמת המינימום של המינימום והעלות לא אמורה… Read more »
יאץ
Guest

עצוב שכל עורך דין שקרא את חוק הגנת הפרטיות… הוא כבר מומחה סייבר.

יאץ
Guest

עצוב שכל עורך דין שקרא את חוק הגנת הפרטיות… הוא כבר מומחה סייבר.

wpDiscuz

תגיות לכתבה: