הייתם חברים במועדון לקוחות? ככה ידעו עליכם הכל

ממלאים טופס או עונים לשאלונים בשירות הלקוחות של המועדון?אולי נחשפתם | צילום: shutterstock

מידע אישי עלול לדלוף, לא רק מגוף כמו מד"א או מחברת סלולר כמו רמי לוי תקשורת: המידע האישי שלנו דולף ועתיד היה עוד לדלוף גם ממועדוני לקוחות שאנו חברים בהם באופן שנדמה לנו כאילו הוא משתלם לנו – אילולא הרשות להגנת הפרטיות במשרד המשפטים לא הייתה עומדת בפרץ וסותמת את הליקויים הללו. הרשות חושפת הבוקר (ד) את דו"ח ממצאי פיקוח הרוחב שביצעה במועדוני הלקוחות וממנו עולה, כי ביותר מחצי מהגופים (55%) נמצאה רמת עמידה בינונית עד נמוכה בהוראות החוק. הממצאים חשפו ליקויים באופן שבו גופים מגדירים את מטרות מאגר המידע בו הם מחזיקים וכתוצאה מכך המידע עלול לדלוף.

במסגרת ההליך נמצא כי שבעה גופים אשר דיווחו לרשות על סיום פעילותם המשיכו להחזיק במאגר המידע. אלה נדרשו לבער את המאגר שבידם באופן המיידי. שישה עשר גופים נדרשו לספק מידע, מסמכים והבהרות נוספות לרשות.

במהלך השנים 2018-2019, ביצע מערך פיקוח הרוחב ברשות להגנת הפרטיות 181 הליכי פיקוח רוחב לבדיקת מידת העמידה בהיבטי הגנת הפרטיות ואבטחת מידע בקרב מגזרים שונים, אשר מנהלים או מחזיקים במאגרי מידע שיש בהם סיכון מוגבר לפגיעה בפרטיות. בין היתר, בשל רגישות המידע, היקפי המידע ומטרות השימוש בו. במסגרת הליך פיקוח הרוחב, פנתה הרשות לגופים שונים הנמנים על המגזרים המפוקחים בדרישה למילוי שאלוני ביקורת.

ביניהם, פנתה הרשות אל 54 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של למעלה ממאה אלף איש, 30 מרפאות לבריאות הנפש, 23 מכונים ומעבדות רפואיות, 38 ספקי פלטפורמות אינטרנטיות לימודיות אשר אוספות מידע על קטינים ו- 36 חברות המספקות שירותי אחסון ועיבוד מאגרי מידע.

מדובר במאגרי מידע המחזיקים מידע עצום על מספר רב של אנשים הכולל את הרגלי הצריכה שלהם. הם מנהלים עימם קשר אינטראקטיבי המאפשר להם לזהות וללמוד מעבר למידע אודות הרגלי הצריכה של הלקוחות, גם מאפיינים ייחודיים לגבי אישיותם, מצבם הכלכלי, קשריהם המשפחתיים, השתייכותם הדמוגרפית, אמונתם וכד'.

שאלוני הביקורת של הרשות בחנו ארבעה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי; ניהול מאגרי מידע; אבטחת מידע ושירותי מיקור חוץ. כך למשל נמצא כי בפניה ללקוחות בדיוור ישיר, הגופים אינם מקפידים על יידוע הלקוחות בדבר האופן שבו נאסף המידע על אודותיהם ואף אינם מיידעים אותם בדבר זכויותיהם מכוח חוק הגנת הפרטיות.

בכ -70% מהגופים נמצאה רמת עמידה נמוכה בהוראות החוק בכל הנוגע לעיבוד מידע אישי באמצעות מיקור חוץ. נמצא, כי ההתקשרויות עם גורמים שלישיים במיקור חוץ בעייתיות, הגופים שנבחנו אינם בוחנים את סיכוני אבטחת המידע וכן אינם מוודאים כי הגורמים החיצוניים מודעים ומיישמים את החובות בתחום אבטחת המידע. והחמור מכל הגופים שנסקרו אינם נוקטים אמצעי בקרה ופיקוח על עמידתם בהוראות תקנות אבטחת מידע.

בסיום ההליך של הרשות להגנת הפרטיות נמצא כי המאגרים – כמעט כולם היו עם ליקויים הדורשים תיקון: 43 מתוך 44 מתוכם. הגופים הללו כמובן נדרשו לתקנם.

דו"ח ממצאי פיקוח הרוחב מצא עוד, כי גם במקרים בהם הגופים שנבדקו הטמיעו מנגנוני בקרה נאותים בארגון, הם לא נקטו צעדים מספקים מבעוד מועד על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של האנשים על אודותיהם מוחזק המידע.