תיעוד

מדריך: המסמכים הנדרשים לפי ה-GDPR ותקנות הגנת הפרטיות (אבטחת מידע)

יורם ליכטנשטיין עורך דין 10.06.2018 עודכן ב-16.08.2023

רגולצית הגנת הפרטיות האירופיות (ה-GDPR) ותקנות הגנת הפרטיות (אבטחת מידע) הישראליות מחייבות הכנת מספר לא מבוטל של מסמכים ותיעוד נרחב.

במאמר זה אנסה להסביר לכם מונחים משמעותיים בענייני הגנת הפרטיות בארץ ובאירופה, על מנת שייקל עליכם לבצע את הנדרש מכם ולהתאים את העסק שלכם לדרישות הדין.

טרם אתחיל, חשוב להסביר כי התאמה לתקנות הישראליות והאירופיות כאחד, היא תהליך מורכב ומלא בפרטים.

האמור מטה אינו מחליף יעוץ משפטי. זה הוא רקע כללי שבהכרח אינו יכול למצות את כל ההוראות הקבועות בדברי החקיקה השונים. אין להסתמך עליו לפתרון בעיה ספציפית, אלא לקרוא אותו כמבוא והשכלה כללית, שבהכרח חסר פירוט לטיפול בנושא ספציפי.

  1. הודעת פרטיות תואמת (סעיפים 12, 13, 14 ל-GDPR) וכן נוסח הסכמה מסודר ותואם (סעיפים 6, 7, ו-9 ל-GDPR)

המדובר למעשה בהודעה המופיעה על גבי עמוד אישור מדיניות הפרטיות, שלפי הרגולציה האירופית צריכה לפרט מידע רב אודות המידע הנמסר, מה מטרת המסירה, למי הוא נמסר, למי יועבר, מה השימושים שייעשו בו, מתי ימחק, הודעה על זכויות הפרט במידע (לרבות הזכות להתלונן) וכדומה.

הודעה זו הינה השלב המקדמי של מדיניות הפרטיות, שבשלב מתקדם יותר הופכת להיות המדיניות המפורטת עצמה.

לאחר מכן, עליכם לוודא שגם נוסח ההסכמה עצמה עונה לדרישות הרגולציה. לדוגמא – שהוא ברור וקריא, נפרד מהטקסט המקיף אותו, בולט, חד משמעי, לא מותנה בדבר, לא מסומן מראש וכדומה דרישות הרגולציה.

יש לשים לב במיוחד להסכמה הנוגעת לילדים (בני 16 ומטה או 13 ומטה) ולהסדיר את הסכמת האפוטרופוס שלהם.

בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ, אם כי יתכן שניתן לצמצם מעט.

  1. מדיניות פרטיות מפורטת ומותאמת (סעיפים 12, 13, 14 ו-24 ל-GDPR).

לאור כמות המיילים הבלתי נגמרת שאנחנו מקבלים על תיקוני מדיניות פרטיות של אתרים אליהם אנחנו רשומים, נדמה שהצורך במסמך זה ברור לכולם. עם זאת, צריך להסביר, שלא מדובר באיזה מסמך גנרי שניתן להכין ולכסות את העסק, אלא שמדיניות זו צריכה להיות מוכנה לאחר שהעסק הפנים את הדרישות של חקיקת הגנת הפרטיות ויישם אותן לתוך המודל המסחרי שלו.

ללא התאמתם של הנהלים עצמם, מדיניות כזו לא תוכל לסייע. לכן למשל הפנינו בסעיף 24 לרגולציה האירופית שאמנם אינו קובע חובה ליצור מדיניות כאמור, אך קובע את אחריות האחראי למידע לעמידה בתקנות.

בישראל אמנם אין חובה חוקית ישירה כזו, אך לאור ניסוח החוק והנחיות הרשות להגנת הפרטיות, מומלץ מאוד לאמץ זאת גם בארץ שכן דרישת ה"הסכמה מדעת" בחוק הגנת הפרטיות לא תתמלא אם לא היתה שקיפות, ניתן המידע הנדרש, הוגדרו המטרות והשימושים ונעשה שימוש לפיהם.

עוד חשוב להדגיש, שנדרשת גם התייחסות ספציפית, במרבית המקרים במסמך נפרד, לקוקיות (Cookies) הנאספות על ידיכם או על ידי שירותים המגולמים באתר שלכם, וכן התייחסות לכל אמצעי הניטור והטרגוט מחדש ("ריטרגטינג") בהם אתם עושים שימוש.

  1. הסכמי ספקי שירות תואמים (סעיפים 28, 32 ו-82 ל-GDPR ותקנה 15 לתקנות הגנת הפרטיות הישראליות)

יש לבדוק את כל ההסכמים עם כל אותם גופים הנוגעים, נחשפים או מבצעים פעולה כלשהי במידע שלכם (אמאזון AWS, פייסבוק, גוגל, חוות השרתים שלכם, נותני שירותי פרסום כמו משרד הפרסום הדיגיטלי שלכם וכדומה). בפועל, כל עסק יהיה אחראי לכל הנעשה במידע שאסף – גם אם לא הוא ביצע את הפעולה. לכן, חשוב להסדיר זאת במערך ההסכמים ביניכם, מראש.

יש להסדיר את החובות של הצדדים ותחומי אחריותם בהסכמים, יש להפנות לחובות הספציפיות שקבועות ברגולציה האירופית ובתקנות הישראליות ולוודא עמידה בהן וכמובן יש לקבוע נהלי ביקורת ופיקוח ולעמוד בהם.

המלצה דומה קיימת גם בארץ, על אף שקיימים הבדלים מסויימים בין הישראלית לאירופית.

  1. נהלי פרטיות לעובדיכם (סעיפים 12, 13, 14 ל-GDPR)

עליכם להסביר לעובדיכם מה נהלי הגנת הפרטיות שיש לאמץ בעת עבודתם בחברה, על החשיבות בשמירה על אבטחת מידע ופרטיות וכדומה. שימו לב שמדובר בעובדים ישראליים. ככל שמדובר בעובדים הנמצאים באירופה עליכם להתייחס אליהם כפי שאתם מתייחסים למידע אודות לקוחות הנמצאים שם.

  1. נוהל, תגובה ותיעוד פרצות אבטחת מידע (סעיפים 33 ו-34 ל-GDPR וסעיף 11 לתקנות הישראליות)

יש להסדיר כיצד אתם בודקים באופן שוטף את חשיפת המידע שלכם לפרצות אבטחת מידע (פאסיביות או אקטיביות), מה הנוהל לפעולה במקרה של פרצת אבטחת מידע, כיצד ולמי מדווחים עליה (חובה הקיימת גם בארץ וגם באירופה). כמו כן כדאי להכין נוסח דיווח לרשויות או לפרטים, על מנת שבשעת הצורך הכל יהיה מוכן ומסודר ולא ייעשה במהירות וללא בקרה ומחשבה.

בישראל קיימת חובה דומה, אם כי שונה טכנית במאפייניה.

  1. מסמך הגדרות המאגר (סעיף 30 ל-GDPR ותקנה 2 לתקנות הגנת הפרטיות הישראליות)

אמנם מסמך דומה אינו נדרש לכאורה לפי תקנות הגנת הפרטיות האירופיות, אולם גם שם נדרש, למשל, תיעוד פעולות העיבוד ובכלל – התיעוד הנדרש באירופה כולל חלקים מהותיים מהפרטים הנדרשים בתקנות הישראליות (בין אם כתיעוד ובין אם כהודעה לפרטים).

נקודות המוצא בארץ ובאירופה שונות מעט, שכן בארץ הדגש הוא על אבטחת מידע והרכיבים התומכים בה, בעוד שבאירופה הדגש הוא על הגנת הפרטיות במידע (שאבטחת מידע היא אך חלק ממנו).

  1. קביעת נוהל אבטחת המידע במאגר (תקנה 4 לתקנות אבטחת המידע הישראליות)

גם כאן, לא נדרש מסמך דומה במדוייק לאירופי, אולם המסמך הנדון כולל רכיבים שונים מהחובות המוטלות על "שליטים במידע" באירופה שחייבים אף הם לקבל החלטות ביחס לשאלות אבטחת המידע ולתעד את השיקולים והמסקנות.

  1. מדיניות שמירת ומחיקת מידע (סעיפים דוגמת 5, 13, 17 ו-30 ל-GDPR)

מסמך שאינו ארוך, אבל אחרי שתחליטו איזה מידע נאסף ולאילו מטרות, עליכם להחליט גם מתי כל רכיב מידע ימחק, וכמובן – להודיע זאת לנשואי המידע, המשתמשים שלכם למשל.

  1. הערכת השפעת הסיכונים על הגנת הפרטיות, DPIA (סעיף 35 ל-GDPR וסעיפים 5 ו-16 לתקנות אבטחת המידע הישראליות)

יש לבצע סקירה כאמור ולתעד את תוצאותיה.

חשוב לשים לב שלוחות הזמנים לביצוע בישראל ובאירופה שונים. בארץ, מדובר על חובת ביצוע תקופתית, בעוד שבאירופה – הביצוע נדרש בכל עת בה מתקיים שינוי במאגר המחייב את ביצוע הבדיקה.

גם במסמכים דוגמת אלו, בעוד שהמסמך הישראלי מתמקד בעיקר בשאלות של אבטחת מידע טכנולוגית הרי שהמסמך האירופי מתמקד בעיקר במידע עצמו ובאופן עיבודו העלול לגרום לסיכוני פרטיות ולכן תוכן המסמכים בארץ ובאירופה יהיה שונה.

  1. רישום מעודכן של הרשאות הגישה למאגר (תקנה 8 לתקנות אבטחת המידע הישראליות)

דומה שהסיבה שב-GDPR אלי נדרש במפורש מסמך שכזה, הינה פשוט בגלל נקודת המבט "במעוף הציפור" של תקנות הגנת הפרטיות ואבטחת המידע האירופיות מול הישראליות (כשהאחרונות ממש פורטות את הדרישות מאוספי ומנהלי המידע בעוד הראשונות קובעות את העיקרון ומצפות מהעסקים לממש אותו כנדרש).

לכן, גם ללא חובה אירופית חד משמעית בנושא זה, המדובר במסמך שראוי שינוהל תחת שני דברי החקיקה.

  1. תיעוד נתוני האבטחה (תקנות 17 ו-19 לתקנות הגנת הפרטיות הישראליות וסעיף 5 ל-GDPR)

כל אותם נתונים הנצברים במסגרת הפעלת התקנות – יש לשמור תיעוד שלהם. למעשה, תיעוד כאמור נדרש גם מכוח עקרון האחריות (Accountability) לפי ה-GDPR.

 

מקווה שהמפורט מעלה יעזור לכם ויקל עליכם עמידה בתקנות, הישראליות והאירופיות.

 

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-22.12.2022.

 

חשוב: שימו לב!
טקסט זה נכתב ביוני 2018 ונבדק לאחרונה באוגוסט 2023 בידי עורך הדין יורם ליכטנשטיין, אלא ככל שנאמר בו אחרת.
האמור במאמרים השונים באתר הינו הסבר כללי, אינו מהווה ייעוץ משפטי מחייב ואין להסתמך עליו בכל צורה שהיא.
בכל מקרה ספציפי יש להעזר בבעל מקצוע המתמצא בתחום והאמור באתר אינו יכול לספק פתרון לבעיה ספציפית.