האחריות שלכם להפרת הפרטיות של אחרים – איך מתכוננים?

הרבה מאוד פעמים כל עסק מוצא את עצמו מוציא עבודה לצד שלישי (ספק או קבלן). בין שאר הדברים אותו צד שלישי מקבל או נחשף גם למידע אישי, שמוגן בחקיקת הגנת הפרטיות, בארץ ובחו"ל.

הבעיה העיקרית היא, שאם אותו ספק יפגע בפרטיות של נשואי המידע – אנחנו עשויים להיות אחראים לכך, אם לא נתמודד עם תקלה זו מראש.

במאמר הזה אנסה להאיר כמה נקודות לתשומת ליבכם. זו אינה רשימה ממצה ומלאה והיא אינה מחליפה יעוץ משפטי. אל תסמכו עליה בכל בעיה ספציפית. למרות זאת, התחשבות בה בוודאי שתשפר את מצבכם ביחס להגנת הפרטיות של כל מידע אישי אודות עובדיכם, לקוחותיכם, ה"לידים" שלכם ואחרים. אם תרצו לקרוא עוד על הגנת הפרטיות וה-GDPR לחצו על הלינק.

• כדי להתמודד עם כמות חשיפת המידע יש להכין טבלת זרמי מידע מלאה ומסודרת

אם תנסו לארגן טבלה מסודרת של זרמי מידע ותבדקו בפני מי נחשף אותו מידע או למי הוא מועבר, תגלו להפתעתכם כמות גדולה הרבה יותר מהמצופה גם של מידע אישי וגם של חשיפתו בפני אחרים.

למשל, בהרבה מאוד תיקיות במערכת שלכם אין הגבלת גישה וכל עובדיכם יכולים לגשת אליהן (גם אם הם אינם נדרשים לכך). כשאתם מעבירים לספק המנתח אותו עבורכם (למשל ספק שירותי שכר), אינכם יודעים מי אצלו נחשף לאותו מידע ולמי הוא עלול להעביר אותו בעצמו.

לכן, המטלה הראשונה שלכם היא לדעת!

צרו טבלת זרמי מידע מלאה ומסודרת, בחנו את כל פריטי המידע, מהיכן הם מגיעים, מה השימוש שנעשה בהם, למי הם מועברים ובפני מי הם נחשפים, מתי הם נמחקים וכל מידע נוסף הנדרש ביחס לכך.

רק לאחר יצירת טבלה כזו תוכלו לנסות ולהתמודד עם הגנת הפרטיות בעסק שלכם.

• הטלת האחריות על צד שלישי לא תפטור את העסק מהאחריות לפרטיות

זו נקודה שחוזרת על עצמה כל פעם מחדש וחשוב להבהיר אותה – אם מסרתם אחריות לביצוע עבודה מסויימת לקבלן חיצוני, אתם עלולים להחשב כאחראים לתקלות שהוא עשה, גם בתחומי הגנת הפרטיות.

המונחים בארץ (בעל המאגר) ובאירופה (CONTROLLER – השולט במאגר) שונים, אבל האחריות לעניין הגנת פרטיות המידע זהה. מידע שהגיע אליכם – אתם אחראים לו, גם אם ההפרה בוצעה בפועל על ידי אחר (כמובן שגם לכך יש חריגים אבל תניחו את הרע מכל).

לכן, חשוב ליצור הגנת על הפרטיות והמידע לכל אורך שרשרת השימוש והעיבוד שלו, הן טכנולוגית, הן ארגונית והן הסכמית.

• חשוב לדעת מה תפקידכם בשרשרת המידע והגנת הפרטיות

בעת בחינת האחריות שלכם, עליכם להבין מנה תפקידכם ביחס למידע. האם אתם בעלי המאגר או רק מחזיקים בו (ישראל)? האם אתם DATA CONTROLLERS או "רק" DATA PROCESSORS (אירופה)? האם אתם "עסק" (CCPA הקליפורני)?

לכל אבחנה כזו יש חשיבות רבה, גם בארץ וגם בחו"ל. כך או אחרת, בעל המאגר, השולט, יהיה במרבית המקרים אחראי לכל תקלה שתקרה במידע הפרטי לאורך הדרך, ולכן אם זה מעמדכם – חשוב שתהיו מודעים לו ותתמודדו עימו.

שימו לב שמעמדכם ביחס לכל זרם מידע שונה בעסק עשוי להיות שונה. לכן, חשוב לכלול ניתוח רכיב זה בטבלת זרמי המידע שתערכו.

• ניתן לצמצם את האחריות להפרות הפרטיות של קבלנים וספקים

ככל שקבעתם שאתם השולט במידע או בעל המאגר, אין זה סוף הסיפור.

רשות הגנת הפרטיות הפיקה למשל הנחיות לשימוש בשירותי מיקור מידע חוץ (OUTSORCING) ביחס למידע אישי. כך גם ביחס ל-GDPR נקבעו הנחיות שלמעשה מחייבות את השולט במידע לפקח (חוזית וניהולית) על התחייבויות ספק השירות ואופן הביצוע שלהן. אל תזלזלו בכך.

חשוב להסדיר את המערכת ההסכמי שלכם עם כל מי שמעביר אליכם או מקבל מכם מידע אישי אודות אחרים, ואלו יכולים להיות עובדיכם, ספקיכם וגם הלקוחות שלכם. כל הסכם כזה חייב לכלול את ההתייחסות הנכונה לאחריות בפני שימוש לרעה וניצול המידע שיגרום להפרת הפרטיות במידע אישי.

ההסכמים צריכים להגדיר את חובות הביצוע המוטלות על מי שעושה שימוש במידע, על חובתו להענות לכל דרישותיכם במידע וכמובן לחובתו לשמור על הגנת הפרטיות במידע אותו יקבל מכם ובכל שימוש שלו ושל אחרים במידע.

המאמר נכתב ונבדק ע"י עורך הדין יורם ליכטנשטיין.

המאמר אינו המלצה ואין להסתמך עליו אלא לפנות לייעוץ ספציפי.

עודכן לאחרונה ב-19.1.2022.