האם דאגתם לפרטיות לקוחותיכם כאשר אתם מקבלים שרתים בענן?

לפעמים לקוחות שמתייעצים עם עורך דין מומחה לפרטיות אומרים לו משהו כמו "מה אני יכול לעשות אם ספק שלי מפר את הפרטיות של לקוחותי. זה לא אני מפר. זו אחריותו" (אלו אף פעם אינם לקוחות שלי. כל לקוחותי הם קדושים).

אלא שגם הפסיקה וגם הרשות להגנת הפרטיות כבר שמעו הסברים כאלו וקבעו שהם לא יוכלו לעמוד. אחריותו של העסק לדאוג לכל פעולה במידע אישי המוחזק על ידו או עבורו.

פעמים רבות עסקים נעזרים בעסקים אחרים לצרכים כלשהם, ובמסגרתם הם גם חושפים בפני אותו ספק מידע אישי אודות לקוחותיהם. למשל – ספק ששולח עבורכם הודעות עדכון סלולאריות ללקוחות, ספק שמעבד חשבונות, משרד פרסום שמקיים עבורכם מסעות פרסום דיגיטאליים ורבים אחרים.

הרשות להגנת הפרטיות כבר פרסמה בעבר הנחיות בנושא זה והנה ממש בימים אלו חזרה ופרסמה הנחיות נוספות המיועדות למקרה ספציפי מתוך אלו והוא רכישת שירותי מחשב על דרך של "שירות ענן".

במצב כזה, שירותי המחשוב של העסק (ממש אלו המצויים בליבתו המסחרית) מפסיקים להתנהל בעסק עצמו (inhouse) אלא מוצאים לספק מחשוב חיצוני ופועלים על בסיס טכנולוגיות של שירותי ענן כשירות (IaaS). במקום לרכוש מחשבים ולהפעיל שרתים, רוכש העסק מקום בשרתיו של ספק מחשוב חיצוני.

התקשרות זו כוללת בחובה רכיבים רבים מתוך ההנחיות הכלליות להתקשרויות עם ספקים חיצוניים, אולם יש לה גם מאפיינים יחודיים ואף חובה להתייחס אליה במפורש בעת ניהול הסיכונים העסקי של העסק שלכם.

כך למשל, פעמים רבות בעקבות תקלה אצל הספק, המידע העסקי שלכם עלול להפגע, לזלוג, להחשף, להמחק או להיות מועבר ללא בקרה מתאימה.

נכון הדבר שככל שאלו נעשו עקב הפרת חוק הגנת הפרטיות ותקנותיו (למשל תקנות הגנת הפרטיות (אבטחת מידע) הרי שהדבר מעניק לנפגעים עילה ישירה כנגד הספק, אולם בפועל – הכתובת לתלונה תהיה העסק שלכם, ועליכם יהיה להתמודד מול אותו ספק.

כיוון שכך, חשוב להסדיר את המערך ההסכמי ואת מכלול ההתחייבויות של אותו ספק מראש, כשבבוקר יום הארוע תוכלו להעזר בהתחייבויות שהוא נטל על עצמו כדי להגן על העסק שלכם.

רשות הגנת הפרטיות מפרטת רשימת נושאים שחשוב יהיה לכלול בהתקשרויות מול ספקים שכאלו ואני רוצה להציגם בפניכם:

• יש להבהיר בהסכמים מה הוא המידע המועבר אליו ומה הן המטרות לשמן המידע מועבר והעיבוד מתבקש. לתניה כזו יש חשיבות למשל כאשר הספק יחרוג מרשימה זו, ועליכם יהיה להגן על המידע.
• מה הן המערכות האוחזות במידע שהספק יהיה רשאי לגשת אליהן ולמשוך מהן את המידע.
• כשהמידע בידיו – מה רשאי (או אף חייב) הספק לבצע בו. מטבע הדברים, פעולות עיבוד שלא אושרו – אינן מותרות ככל שניסחתם נכון את ההסכם.
• מה יהיו הנהלים לטיפול, השמדה או השבת המידע לעסק שלכם בסיום ההתקשרות. כיצד משמידים את המידע ומוודאים את אותה השמדה וכיצד אתם מקבלי אישור על ביצוע פעולות אלו.
• מה היקף עמידת הספק בתקנות הגנת הפרטיות (אבטחת מידע), בחקיקה דוגמת דיני הגנת הפרטיות באירופה (ה-GDPR) והנחיות אחרות נוספות בחקיקה או בהסכם מולכם. יש לוודא גם קיומו של דיווח תקופתי אליכם המאפשר לכם לבחון זאת.
• חובת הסודיות של הספק עצמו וכן של כל נציגיו, עובדיו וספקיו שלו. מעבר לכך חשוב להבהיר את החובות הטכנולוגיות לאבטחת מידע המוטלות עליו.
• חובתו של הספק לפעול בצורה אקטיבית בעת אירוע אבטחה – פרצת מידע: הן החובה להתכונן מראש למצבים כאלו ולקבוע נהלים לטיפול בהם, הן החובה לטפל באירוע אבטחה בזמן אמת עת הוא מתרחש ולפעול בצורה אקטיבית על מנת לצמצם את היקפו והנזק הנגרם ממנו והן החובה בדיעבד לדווח לעסק שלכם כנדרש ובמועד שנדרש לכל ארוע כזה, על מנת שאתם תוכלו לעמוד בחובותיכם שלכם לדווח על כך לרשות הרלוונטית או לנשואי המידע.
• החובה לוודא שכל צד שלישי הפועל בשמו, כפוף לאותן התחייבויות כפי שהוא כפוף להן – כלפיכם.
• מקום בו הספק החיצוני עשוי להחשב כמחזיק במאגר המידע על פי חוק הגנת הפרטיות יש לוודא כי הוא עומד בחובותיו שבחוק (למשל מכוח תקנות 2 ו-15(א).

רשות הגנת הפרטיות הוסיפה והציגה המלצות אותן יש לעגן בהסכם ההתקשרות בין העסק שלכם לבין אותו ספק (פעמים רבות הן חופפות לאמור מעלה):

• לוודא קיומו של נוהל אבטחת מידע.
• לוודא קיומה של התחייבות מתאימה לסודיות (NDA).
• לוודא קיומו של הסדר ברור לזמני מענה ושירות במקרי תקלה (SLA).
• לוודא הקשחתן הטכנית של מערכות הספק החיצוני המותקנות ברשת הארגונית, וזאת לאור קביעת נהלי אבטחת מידע וניהול סיכונים.
• לוודא שמירה מתאימה של נתוני האבטחה הנצברים אצל הספק החיצוני (כגון קבצי ה"לוגים") ומסירתם לכם לכשתבקשו זאת.
• במקרים המתאימים יש לוודא כי הספק עצמו מתנהל בצורה אבטחתית נאותה, עורך מבחני חדירה, סקרי סיכונים ובדיקות אבטחה ובקרות ואף מטפל בתוצאותיה.
• לוודא שהספק מוודא שעובדיו הרלוונטיים עברו מבדקי מהימנות.
• לוודא שהספק קובע נהלים מתאימים וממנה נושאי תפקיד מתאימים לאבטחת מידע והגנת הפרטיות.
• לוודא שהעסק שלכם מודע לכל ספקי המשנה הנחשפים למידע שלכם ומסכים להם.
• לוודא קיומו של הסדר מתאים למחיקת נתונים והשמדתם במועדים הרלוונטיים.
• ככל שרלוונטי יש לוודא הפרדה פיזית וטכנולוגית בין סביבת העבודה של העסק שלכם לבין עסקים אחרים.
• יש לוודא קיומם של דיווחים מתאימים על ארועי אבטחה, בנוסחים ובמועדים הנדרשים על פי החוק בארץ וה-GDPR באירופה.

סיכום: די ברור שזה "נושא משעמם", די ברור שזה נושא טכנולוגי במידה רבה וכמובן הדין הוא רק חלק קטן ממנו, אולם בפועל – תמיד מומלץ לבדוק עצמכם מראש מאשר להצטער ולכאוב בדיעבד.

תוכלו לקרוא עוד על נושאי משפט ביחס למשחקים, אפליקציות ומסחר אלקטרוני בקישור.

שימו לב שהאמור מעלה הוא חומר רקע בלבד, הוא אינו מחליף ייעוץ בנושא, אינו ממצה ואין להסתמך עליו אלא לגשת למומחה לייעוץ ספציפי.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-19.1.2022.