"התקפות הסייבר נעשו חלק מעולמנו הדיגיטלי, והניעו רגולטורים לנקוט צעדים כדי להגן על המידע האישי שלנו המצוי במאגרי מידע דיגיטליים", מתאר עו"ד ליאור אתגר (טולצ'ינסקי, שטרן, מרציאנו, כהן, לויצקי ושות'), העוסק בתחום הגנת הפרטיות.

חייבים לאבטח את המידע. צילום המחשה: שאטרסטוק

על רקע החקיקה האירופית בתחום (General Data Protection Regulation), הותקנו בישראל "תקנות הגנת הפרטיות - אבטחת מידע", שנכנסו לאחרונה לתוקף, והצטרפו ל"חוק הגנת הפרטיות" הוותיק משנת 1981.

"החוק", מסביר עו"ד אתגר, "מגדיר מאגר מידע כאוסף של קבצים דיגיטליים נתונים המוחזקים באופן מגנטי או אופטי ומיועדים לעיבוד ממוחשב. כך למשל יכול מאגר מידע להיות בגדר רשימת חברים עם מספרי הזהות שלהם, שנת הלידה ותאריך הצטרפותם לקיבוץ, נתוני שכר של חברים, רכוש חברים, נתונים אישיים על אודות עובדים.

"כך גם אישורי מחלה בעניינם, פרטים אישיים של ילדים במסגרת רשומות של מסגרות חינוכיות, נתוני גבייה מהורים, רשימות חברים המעידות על עמדות פוליטיות, סוגיות הנוגעות לצנעת הפרט שלהם וכיוצא בזה. ממש בימים אלו פרסמה הרשות להגנות הפרטיות כי מבחינתה גם אוסף של כתובות דואר אלקטרוני לצד שמות בעליהן הוא מאגר מידע".

הדין החדש הגביר את הפיקוח על שוק המידע האישי, והרחיב את מעגל האחריות על בעל המאגר, על מנהלו וגם על מי שמחזיק בו מטעמם.

נקבע כי מאגרי מידע בעלי מאפיינים מסוימים - למשל מידע רגיש המוגדר בחוק ככולל "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו" - יירשמו אצל רשם מאגרי המידע ברשות להגנת הפרטיות.

"אי־רישום מאגר מידע שהיה צורך לרשמו", מציין עו"ד אתגר, "הוא עבירה פלילית".
הרישום נועד לתת לרשות כלי אפקטיבי לאכיפה, ואולי בעיקר לגרום לארגונים להסדיר את הטיפול במידע האישי שהם מעבדים.

"ככלל, ניתן לומר שקיבוץ המחזיק מאגר מידע שבו נתונים אישיים על חברים, לא זו בלבד שהוא חייב לרשום את המאגר שלו, אלא שהוא גם חייב גם באבטחת המידע שבו בהתאם לרמת האבטחה הקבועה באשר לו בתקנות. כך למשל, במקרה שבו מספר בעלי ההרשאה למאגר אינו עולה על עשרה, נדרשת רמת אבטחה "בסיסית" (לעומת "בינונית" למשל).

עו"ד אתגר מציע למפות את מערכות המידע בקיבוץ לצורך זיהוי ואיתור של מידע אישי החייב בהגנה לפי הדין.

אם יש בקיבוץ מאגר מידע, יש לבחון למי יש זיקה או גישה אליו, מי הבעלים של המידע, וכמה בעלי הרשאות כאלה קיימים. "מומלץ", אומר אתגר, "לבצע סקר באמצעות איש מקצוע כדי לבדוק אם הקיבוץ עומד בדרישות הדין לעניין אבטחה, וכדי לבצע הסדרה פורמלית של המאגר, רישומו וניהולו. חבל להיתפס לא מוכנים אם תגיע לקיבוץ ביקורת של הרשות, או חמור מכך - אם המאגר ייפרץ והמידע שבו ייגנב או ידלוף לגורמים בלתי רצויים.

"הפרה של הדין עלולה להביא להטלת קנסות של עד 25 אלף שקלים לכל הפרה, קנסות אישיים על נושאי משרה בארגון המפר, ואפילו הרשעה בדין פלילי שדינה עד חמש שנות מאסר.

"באשר לשאלה שנשאלה", אומר עו"ד אתגר, "אם רשימות החברים מכילות מידע העשוי להיחשב רגיש לפי הדין, אז הן כנראה חלק ממאגר המידע של הקיבוץ, החייב ברישום. המאגר יכול להיות מורכב מהמחשב האישי שלי וגם של חברים נוספים שאצלם מוחזקות הרשימות על בסיס קבוע. אם מדובר במידע אישי שחייב בהגנה, אז אסור לשלוח אותו למי שאינו מורשה לראותו".