הרשות להגנת הפרטיות: מועדוני הלקוחות לא עומדים בכללי אבטחת מידע בסיסיים

כמעט כל מועדוני הלקוחות בישראל לא עומדים בכללי הגנת פרטיות, כגון בקרה ארגונית ראויה או שמירה על פרטיות מידע בעבודה עם גורמים חיצוניים - ונדרשו לתקן ליקויים שהתגלו בפעילותם; כך לפי דו"ח נרחב של הרשות להגנת הפרטיות שמפורסם היום (ד').

במהלך השנים 2018 ו-2019 ביצעה הרשות 233 הליכי פיקוח לבדיקת היבטי פרטיות ואבטחת מידע בתשעה מגזרים, דוגמת מרפאות לבריאות הנפש, מכונים רפואיים, ספקי פלטפורמות לימודיות מקוונות וספקיות שירותי אחסון ואבטחת מידע. מגזר מועדוני הלקוחות נבחר כאחד מיעדי העבודה המרכזיים של הרשות ב-2018, ובהליך הפיקוח עליו נבדקו 44 חברות שמנהלות מאגרי מידע הכוללים לפחות 100 אלף איש כל אחד.

צילום: שאטרסטוק

במסגרת הליך הפיקוח נשלחו לחברות מועדוני הלקוחות שאלוני ביקורת, על מנת לבחון קריטריונים שונים בפעילותם. "בסיום ההליך, ב-43 מתוך 44 הגופים המפוקחים נמצאו ליקויים הדורשים תיקון", נכתב בדו"ח. "בהתאם לכך, הפיצה הרשות לאותם גופים מכתבי דרישה לתיקון הליקויים שנמצאו, ודרישה לספק תוכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים, כאשר כחלק מההליך תבדוק הרשות באמצעות ביקורת חוזרת את השלמת התיקונים בגופים נבחרים".

השאלונים בחנו את פעילות הגופים לפי ארבעה קריטריונים. הראשון, בקרה ארגונית וממשל תאגידי, בוחן את קיומה של תוכנית אבטחת מידע והגנת פרטיות, ומינוי של גורמים בתחום. "במרבית הגופים (65%) נמצאה רמת עמידה בינונית עד נמוכה בהוראות החוק בנוגע לבקרה הארגונית וממשל תאגידי", נכתב בדו"ח. רמת עמידות גבוהה מוגדרת כעמידה של מעל ל-80% בקריטריונים, בינונית בטווח של בין 50% ל-80%, ונמוכה כעמידה בפחות מ-50%.

"כחלק מאי העמידה בדרישות הממשל התאגידי, נמצאו ליקויים בהגדרת מאגר המידע ומטרותיו ואי מילוי הדרישה למינוי של מנהלי מאגרים", נכתב בדו"ח. "גם כאשר מונו כאלו, נמצאו גופים מפוקחים אשר מינו בעלי תפקידים ללא כתב מינוי או עם כתב מינוי אשר אינו כולל את מהות התפקיד. נמצאו ארגונים ללא מסמך הגדרות המאגר אותו הם מנהלים; נמצאו גופים בהם תפקידים ותחומי אחריות היו מרוכזים אצל גורם יחיד באופן אשר עלול להוות ניגוד עניינים, בניגוד לדרישות תקנות הגנת הפרטיות. במרבית מהגופים שנבחנו, נמצא כי סט הנהלים וההדרכות אשר אמור היה להתייחס לנושא הגנת הפרטיות, כלל התייחסות להיבטי אבטחת מידע בלבד".

הקריטריון השני, ניהול מאגרי מידע, בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, ההתאמה בין המידע שנאסף למטרות המאגר, ומתן זכות עיון במידע ועמידה בהוראות החוק בהבטים כמו איסוף מידע ביומטרי. במקרה זה, מרבית הגופים, 57% נמצאו ברמת עמידה גבוהה, 23% ברמה בינונית ו-20% ברמת עמידה נמוכה.

"נמצאו ליקויים ביישום הוראות החוק בכל הנוגע לשקיפות בדבר מקור הסמכות לאיסוף המידע האישי ויידוע האנשים עליהם מוחזק המידע, בדבר זכויותיהם ומאגר המידע בו הם רשומים בעת פנייה בדיוור ישיר. מכלל גופים אלו, מרביתם לא הבהירו לנושאי המידע את זכותם לעיין במאגרי המידע ולא ציינו זאת בתקנון שלהם או במסגרת אחרת", נכתב.

קריטריון אבטחת מידע עוסק בציות לתקנות חוק הגנת הפרטיות בכל הנוגע לניהול מידע אישי. "במרבית הגופים (52%) נמצאו ליקויים בניהול הרשאות הגישה למאגרים, בין אם בהיעדר תהליכים נאותים לניהול ההרשאות ובין אם בהיעדר יישום הפרדת תפקידים ויישום מתן ההרשאה לפי עקרון הצורך לדעת בלבד", נכתב. "בנוסף, נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים - בין אם בהעדר הגבלות על שימוש באמצעים אלו או בהיעדר הצפנה נאותה".

הקריטריון האחרון, שירותי מיקור חוץ, בוחן התקשרויות עם גורמים חיצוניים שמחזיקים או מעבדים מידע. כאן זוהו הביצועים הגרועים ביותר: 68% מהגופים נמצאו ברמת עמידות נמוכה, ו-14% ברמה בינונית. "גם במקרים בהם הגופים שנבדקו הטמיעו מנגנוני בקרה נאותים בארגון, קיים עדיין ליקוי בישום הדרישות מחברות צד ג'. חלק מהגופים לא נקטו צעדים מספקים על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של נושאי המידע. מרבית הגופים אינם מבצעים התקשרות לפי הוראות התקנות בצורה מספקת, לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות פיקוח כנדרש".

בעקבות הממצאים נשלחו לגופים שבהם אותרו ליקויים הנחיות מפורטות לתיקונם ולעמידה בדרישות החוק, כאשר לדברי הרשות הליך הפיקוח עצמו עורר בקרב חברות מועדוני הלקוחות תהליך של בחינה ושיפור. "קיימים סיכונים לא מעטים לפרטיות לקוחות במגזר מועדוני הלקוחות, אשר נובעים מניהול מידע רב, מזוהה ורגיש", נכתב בדברי הסיכום של הדו"ח. "כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות הגנת הפרטיות, שקיפות מול הלקוח, ומילוי החובות החלות מכח החוק.

"הרשות להגנת הפרטיות תמשיך לפעול לאכיפת מדיניותה בקרב בעלים ומחזיקים במאגרי מידע אישי באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות ועל מנת לחזק את ההגנה על זכות הציבור לפרטיות".