על תפקידה של הביקורת הפנימית בהגנת הפרטיות
שומרי החומות
פרטיות הוא הנושא החם ביותר בשנים האחרונות בכל העולם.
כולם מדברים על פרטיות, רוצים לשמור עליה ולהודיע על כך בריש גלי ללקוחותיהם.
החברות לא נהפכו בן־לילה ללוחמי הפרטיות אלא מדובר בתהליך ארוך שנים שהבשיל בשלוש השנים האחרונות בעקבות רגולציה מסודרת שחוקקה בכל העולם, לרבות בישראל, שבמסגרתה מושתים על חברות מפרות קנסות בסכומי עתק על ידי רשויות הפרטיות המקומיות.
כמו כן, העלייה המתמדת באירועי אבטחת מידע וסייבר תורמת לרצון החברות לאמץ את הוראות הרגולציה לא רק כדי לצאת ידי חובה אלא גם כדי להגן עליהן מפני איבוד מידע ופגיעה אנושה בעסקיהן.
כך למשל, חברת הביטוח שירביט חוותה במהלך חודש דצמבר 2020 מתקפת כופר על ידי האקרים אשר הדליפו פרטים אישיים על לקוחות החברה לאחר שמועד תשלום דמי הכופר חלף.
מעבר לפגיעה בעסקים ונזקי המוניטין שנגרמו לחברה, הרי שהוגשו נגד שירביט מספר בקשות לאישור תובענות ייצוגיות בבית המשפט וכן נפתחה כנגדה חקירה על ידי הרשות להגנת הפרטיות.
נושא הפרטיות מביא עמו אתגרים רבים לביקורת הפנימית, לרבות הצורך להכיר לפרטי פרטים את התקנות והחוקים המקומיים והעולמיים החלים על החברות המבוקרות.
תקנות ה־GDPR
תקנות הגנת המידע האירופיות, ה-GDPR (General Data Protection Regulation) התקבלו אומנם בשנת 2016 אך הפכו לבנות אכיפה החל ממאי 2018. רגולציה זו חלה על כל גורם המעבד נתונים של אזרחי האיחוד האירופי ולכן גם חברות ישראליות רבות כפופות לה, ללא קשר למקום התאגדותן, ובלבד שהן משווקות את מוצריהן באירופה.
רשויות הפרטיות המקומיות באירופה רשאיות להטיל מכוח ה ־ GDPR קנסות חמורים אשר יכולים להגיע לכדי 4% מהמחזור השנתי הגלובלי של גוף מפר או קנס עד 20 מיליון יורו, לפי הגבוה מביניהם.
להלן כמה מקרים בולטים שפורסמו לאחרונה:
- באוקטובר 2019 הודיעה רשות הפרטיות הבריטית ה־ICO (Information Commissioner'sOffice) על כוונתה להטיל קנס חסר תקדים על סך 183.4 מיליון פאונד על חברת התעופה בריטיש איירוויס בגין הפרת אבטחת מידע (Security) שגרמה לדלף מידע אישי. בסופו של דבר, באוקטובר 2020 הוחלט להשית על החברה קנס בסך 20 מיליון פאונד – סכום לא מבוטל לכל הדעות.
- בדצמבר 2020 הטילה רשות הפרטיות הצרפתית, ה־CNIL (Commission National Informatique & Libertés) קנס בסך מצטבר של 135 מיליון tאירו על חברות גוגל ואמזון בגין העדר שקיפות ואי קבלת הסכמה מדעת של המשתמשים לעשות שימוש במידע האישי שלהם אשר נאסף באמצעות עוגיות[1] (Cookies) לצורכי פרסום מודעות מותאמות אישית.
רגולציית ה־GDPR הציבה סטנדרט חדש של ציות בכל הקשור לפרטיות ואף יצרה הגדרת תפקיד חדשה לחברות שמעבדות מידע רגיש בהיקף רחב – "ממונה על הגנת הפרטיות" או "DPO" (Data ProtectionOfficer).
תקנות ה־CCPA וה־CPRA
תקנות הגנת פרטיות הצרכן בקליפורניה, ה־CCPA (California Consumer Privacy Act) נכנסו לתוקף במהלך 2020 והן כוללות שורה של הגנות לצרכן בדומה ל־GDPR ואף שדרוגים והרחבות לזכויות הפרט, כגון הזכות הישירה למנוע מחברות למכור מידע אישי לצדדים שלישיים ;מדובר בהרחבה לחובת יידוע על הזכות לבטל הסכמה (Opt-out) בדיוור ישיר מותאם אישית (למשל לצורכי פרסום ממוקד).
כמו מקבילו האירופי, גם ה־CCPA עשוי לחול על חברות ישראליות ובלבד שהן אוספות או מוכרות מידע אישי של תושבי קליפורניה או מספקות לתושבי קליפורניה שירותים או מוצרים באמצעות רשת האינטרנט או בכל דרך אחרת.
למרות שתקנות ה־CCPA נכנסו לתוקף לא מכבר, הן כבר עודכנו והחל מינואר 2023 יוחלפו ב־CPRA (California Privacy Rights Act). התקנות הוחלפו ונוספה בהם הנחיה ששומרת על הצרכן ואוסרת על החברה שאוספת מידע על הלקוח – למכור את אותו מידע הלאה לאחרים.
למשל, פייסבוק שמקבלת פרטים עלינו ועל החיפושים שלנו ומוכרת אחר כך את המידע הזה למפרסמים..
ומה המצב בישראל?
בשנת 2017 הותקנו תקנות עדכניות לחוק הגנת הפרטיות שחוקק עוד בשנת 1981 ואשר מיישרות קו עם רוב ההוראות המקובלות בעולם – תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
התקנות נכנסו לתוקף במאי 2018 והן חלות על כל מי שמנהל, מחזיק ו/או בבעלותו מאגר של מידע אישי כולל ארגונים, חברות, עסקים ואנשים פרטיים.
התקנות מפרטות את אופן יישומה של חובת אבטחת המידע וקובעות מנגנונים ודרישות שמטרתם להפוך את אבטחת המידע לחלק שוטף ושיגרתי. מדובר בדרישות קונקרטיות וטכניות, כגון הכנת:
- מסמך הגדרות מאגר. רשות הפרטיות מספקת תבנית גנרית של מסמך הגדרות אשר יש למלאו תוך התייחסות לנושאים כגון: אופן איסוף המידע, מטרות השימוש בו, סוגי המידע השונים וכיו"ב.
- נוהל אבטחת מידע אשר מתייחס לאספקטים השונים הכתובים בתקנות, בהתאם לרמת האבטחה החלה על המאגר (נמוכה, בינונית, גבוהה).
- מיפוי מערכות המאגר הכולל רשימת מצאי מעודכנת של מערכות המאגר.
את כל המסמכים הללו יש לעדכן אחת לשנה ובמסגרתם לבדוק גם כי לא מוחזק במאגר מידע רב מהדרוש למטרותיו.
התקנות מפרטות חובות נוספות למאגר בעל רמת אבטחה גבוהה כגון החובה לערוך סקר סיכוני אבטחת מידע, לקיים מבדקי חדירה, להדריך את בעלי הרשאות הגישה למאגר ולקיים דיונים שוטפים בדבר אירועי אבטחה.
פעולות אכיפה של רשות הפרטיות בארץ
על פי תקנות העבירות המנהליות (קנס מנהלי – הגנת הפרטיות), תשס"ד-2004 הרשות להגנת הפרטיות רשאית להטיל קנסות מנהליים בסכומים של עד 25 אלף ₪ על יחידים וחברות במקרים של הפרת הפרטיות בעבירות של אחריות קפידה[2].
סכום זה אומנם נראה נמוך אך הרשות רשאית להכפיל את הקנסות ככל שמדובר במספר אירועי הפרה על פני תקופה.
כך למשל באוקטובר 2017 הוטלו קנסות בסך 400 אלף ₪ ו־150 אלף ₪ על שתי חברות סיעוד, חברת שי-חברה לשירותי סיעוד בע"מ וחברת מ.ס.ד חיפה חברה למסחר בע"מ, בהתאמה, בגין שימוש במידע רפואי רגיש על חולים מאושפזים שמקורו במאגרי המידע של בתי החולים בהם אושפזו, וזאת לצורכיה העסקיים, ללא ידיעתם או הסכמתם של המאושפזים. גובה הקנס בסך 400 אלף ₪, שהושת על חברת שי, משקף מכפלה של 16 אירועים נפרדים ולכן הגיע לסכום משמעותי זה.
במרץ 2018 הוטל קנס מהלי בסך 100 אלף ₪ על חברת ליבנה דני שירותים פיננסיים בע"מ, שפועלת תחת השם המסחרי "אובליגור". החברה לא רשמה מאגר מידע כנדרש ופגעה בפרטיותם של נושאי המידע בכך שעשתה שימוש בתוכנה לצורך איתור פרטי קשר של לקוחות פוטנציאליים על מנת לעניין אותם בשירותיה. בנוסף, עשתה החברה גם שימוש מסחרי במאגר המידע שבאתר "נט המשפט" של הנהלת בתי המשפט, ובמסגרתו איתרה תיקים שבהם אזרחים נתבעו על ידי בנקים מסחריים, ופנתה אליהם כלקוחות פוטנציאליים בדיוור ישיר שלא כדין, כדי להציע להם שירותים לטיפול בתביעות נגדם.
כמו כן, במקרים מסוימים הפרת פרטיות עשויה להיחשב עבירה פלילית. במקרים אלו, הרשות להגנת הפרטיות מוסמכת לקיים חקירה ולהעביר את ממצאיה לפרקליטות לצורך הגשת כתב אישום.
בכל הקשור לאירועי אבטחת מידע, הרשות מבצעת פעולות אכיפה ופיקוח מנהלי אך לרוב מסתפקת במתן הנחייה לתיקון ליקויים ללא השתת קנסות וזאת משום שתקנות העבירות המנהליות מיושנות ואינן מאפשרות הטלת קנסות על רוב הפרות אבטחת המידע המפורטות בתקנות אבטחת המידע.
כך למשל בספטמבר 2020 נקבע כי חברת סיקינג אלפא בע"מ הפרה את סעיף 17 לחוק הגנת הפרטיות והתקנות בקשר לאחריותה לאבטחת מידע, וזאת בעקבות אירוע של ניצול פרצת אבטחת מידע בקוד אתר החברה, שאפשר להשיג באמצעות הדפדפן גישה למחשבי משתמשים אחרים הרשומים באתר החברה.
ניתן לראות בנקל כי לעת עתה רשות הפרטיות האמונה על אכיפה חוק הגנת הפרטיות במשרד המשפטים הינה "חסרת שיניים" ביחס לחברותיה בעולם.
בעוד שבעולם מדובר בסכומים דמיוניים שמגיעים למאות מיליוני דולרים, הקנסות המנהליים בארץ יכולים להגיע לתקרה של עשרות אלפי שקלים בודדים ובמקרים של מספר הפרות או הפרה נמשכת למאות אלפי שקלים.
עם זאת, הצעת חקיקה עברה בקריאה ראשונה בכנסת בשנת 2018 ומאז עומדת על שולחנה של ועדת החוקה, חוק ומשפט לתיקון חוק הגנת הפרטיות ובמסגרתה מוצע להקנות לרשות הפרטיות סמכויות אכיפה משמעותיות, לרבות היכולת להטיל עיצומים כספיים משמעותיים בסכומים של מאות אלפי שקלים ואף מיליוני שקלים במקרה של הפרה נמשכת וחוזרת[3].
ומה תפקידה של הביקורת הפנימית?
בהתאם למודל שלושת הקווים של ה־IIA, ניתן לומר כי תפקידו של הממונה על הגנת הפרטיות בחברה הוא לשמש כקו ההגנה השני בארגון, קרי אותו גורם שאחראי על פיקוח הציות להוראות הרגולציה בתחום הגנת הפרטיות.
המבקר הפנימי, כאמור, משמש כקו השלישי והבלתי תלוי, ואכן תקנה 16 לתקנות הגנת הפרטיות קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית יערוך אחת לשנתיים ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע.
במסגרת ביקורת פנימית כזו, על המבקר לבחון האם הארגון מקיים את הדרישות הקבועות בחוק ובתקנות, כגון הכנת נוהל אבטחת מידע, מסמך הגדרות ומיפוי מערכות המאגר, וכן לאתר פערים בין נוהלי הארגון והוראות החוק אל מול אופן יישומם בפועל.
מוצע להיעזר בגורמים בעלי ידע והכשרה טכנולוגית שכן על המבקר לאמת את ממצאיו, לעיתים באמצעות טסטים, בנושאים טכניים כגון ניהול הרשאות גישה, זיהוי ותיעוד גישה, גיבוי ושחזור המידע וכן שימוש באמצעי הגנה נאותים בחיבור התקנים ניידים למערכות המאגר.
לאחר הגשת דו"ח הביקורת, על החברה לקיים דיון ענייני בממצאים על מנת לבחון את הצורך בעדכון נוהליה הפנימיים, עדכון בקרות והוספת אמצעי הגנה נוספים.
לפיכך, המבקרים הפנימיים יכולים לשמש כוח עזר לממונים על הגנת הפרטיות, הן לאור התמחותם בנושאי הפרטיות ואבטחת המידע והן לאור היותם אובייקטיבים.
לסיכום
יש לצפות כי לאחר תיקון החוק ומתן סמכויות אכיפה משמעויות ואפקטיביות יותר לרשות הפרטיות, יתעורר ביתר שאת הצורך מצד החברות לקיים באופן דווקני את הוראות הפרטיות וכך בהתאמה גם יגדל הצורך בעריכת ביקורות פנימיות יסודיות ומקיפות כדי לוודא את עמידתן בהוראות כאמור ובכך להימנע או לצמצם באופן משמעותי את חשיפתן לסנקציות.
עם זאת, פעילות פרואקטיבית של מבקר פנימי, המעוניין להפחית את הסיכונים שעלולים להתקיים אם יתרחש אירוע של דלף מידע, דוגמת האירוע בחברת שירביט, עשויה להוסיף גם במצב הקיים ערך רב לארגונים שבהם הם מכהנים.
[1] מחרוזת אותיות או מספרים המשמשת לאימות, למעקב ולאגירת מידע על אודותיו של גולש באתר אינטרנט, כגון שמירת העדפות המשתמש.
[2] אחריות קפידה הינה עבירה שבה די להוכיח כי אדם ביצע את העבירה ואין צורך להוכיח "יסוד נפשי" של מחשבה פלילית או רשלנות. הדוגמה הבולטת לאחריות קפידה היא דו"ח תנועה שמהווה עבירה פלילית.
[3] הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018
