מול תקיפות הסייבר הנשנות: אלה ההמלצות להתגוננות מראש

הרשות להגנת הפרטיות ממליצה לארגונים במשק ולגופים ציבוריים לצמצם מידע אישי עודף • במסמך שמפרסמת הרשות, היא מתריעה על הסיכונים לפרטיות הציבור כתוצאה מאיסוף, שמירה ושימוש במידע אישי עודף ומדגישה בפני ארגונים וגופים ציבוריים את הוראות הדין בנושא, כמו גם את החשיבות והתועלת בצמצומו במטרה להקטין את הסיכונים לפרטיות הציבור

אהרון סוויסה 04.04.2021

מתקפת סייבר, אילוסטרציה | צילום: שאטרסטוק

נוכח העלייה בהיקף התרחשותם של אירועי אבטחת מידע חמורים, הרשות להגנת הפרטיות פרסמה מסמך הסוקר את הפרקטיקה בה ארגונים וגופים ציבוריים אוספים, שומרים ועושים שימוש במידע עודף ואת הסיכונים לפרטיות העלולים להיגרם כתוצאה מכך. במסמך, אשר מפורסם בשלב הראשון לקבלת התייחסויות והערות מאת הציבור, מפרטת הרשות המלצות ודגשים לארגונים במשק ולגופים ציבוריים כיצד לפעול במטרה למזער את הסיכונים כתוצאה משימוש במידע עודף.

מידע אישי עודף הוא מידע אשר נאסף ונשמר במאגרי מידע, אולם אינו רלוונטי לשם השגת המטרה שלשמה נטען שהוא נאסף מלכתחילה או למטרות המאגר בו הוא נשמר. מידע עשוי להיות עודף כבר במועד שבו נאסף, ויכול להפוך לעודף בחלוף הזמן. מידע עשוי להיחשב עודף, בין היתר, בשים לב להיקפו, סוגו ומשך שמירתו.

לגישת הרשות להגנת הפרטיות יש להימנע ככל הניתן מאיסוף ושמירה של מידע אישי שאינו הכרחי למטרת האיסוף או למטרת המאגר בו הוא שמור. לפיכך, מומלץ כי ארגונים וגופים ציבוריים יקפידו לאסוף ולשמור אך ורק את המידע המינימלי הנדרש וההכרחי למטרות האמורות.

לעמדת הרשות, עיקרון צמצום המידע נלמד בין השאר מעיקרון צמידות המטרה הבא לידי ביטוי בחוק הגנת הפרטיות, ממנו עולה כי איסוף, שמירה ושימוש במידע חייבים להיעשות בהתאם למטרת האיסוף ומאגר המידע.

איסוף או שמירה של מידע עודף גם מייצרים, לגישת הרשות, סיכון מיותר לאבטחת המידע. בהתאם לתקנות הגנת הפרטיות (אבטחת המידע) על בעל מאגר מידע לבחון, אחת לשנה, אם המידע שהוא שומר במאגר אינו חורג מן הנדרש ביחס למטרות המאגר. לעניין זה מבהירה הרשות כי אי-צמצום מידע בנסיבות בהן בעל המאגר בחן והגיע בעצמו למסקנה כי מידע השמור במאגר שנמצא בבעלותו הוא אכן עודף, עשוי להוות הפרה של התקנות ופגיעה בפרטיות.

הרשות מדגישה כי צמצום מידע עודף – הן בשלב האיסוף הראשוני והן לאורך תקופת שמירתו של המידע – מסייעים במזעור הסיכונים לפגיעה בפרטיות העשויים לנבוע מהמשך החזקתו והשימוש בו.

במסמך, מדגישה הרשות כי צמצום מידע עודף אף עולה בקנה אחד עם האינטרס הפנימי של ארגונים אשר מחזיקים במידע אישי, למזעור סיכונים לפרטיות והפרות של החוק. במסגרת כך מזכירה הרשות את היתרונות שבמינוי ממונה הגנה על הפרטיות כגורם המתאים בארגון לבחינת הצעדים למזעור הסיכון לפגיעה בפרטיות.

המלצות ודגשים לארגונים במשק ולגופים ציבוריים בנושא צמצום מידע:

על גורמים אשר אוספים מידע מתוקף הסכמה או הסמכה שבחוק להקפיד על כך שהמידע שייאסף יהיה רלוונטי ונדרש לשם השגת מטרת איסוף המידע ומטרת המאגר בו נשמר המידע.
מומלץ לכלל הגורמים הרלוונטיים להטמיע את עיקרון צמצום המידע העודף במסגרת פעילותם. שמירת מידע שלא למטרה לשמה הוא נמסר ולמטרת המאגר, או שלא לצורך מטרות נלוות החיוניות עבורן (כגון לצורך התדיינות משפטית או חובה חוקית לשמירת המידע), מגדילה את הסיכון לפגיעה בפרטיות ולהפרת חובות אבטחת מידע.
גופים ציבוריים המקבלים מידע על פי תקנות העברת מידע בין גופים ציבוריים, מחויבים במחיקת מידע עודף מיד עם קבלת הנתונים.
על-פי תקנות הגנת הפרטיות (אבטחת מידע) בעל מאגר מידע מחויב לבדוק, אחת לשנה, האם במאגר המידע שבבעלותו נשמר מידע עודף שאינו נדרש לשם עמידה במטרת המאגר. עמדת הרשות היא כי רצוי שבדיקה כזו תיערך מספר פעמים לאורך השנה, בהתאם לסוג המידע השמור ומטרת איסופו, וזאת על מנת להימנע ממצב בו מידע עודף נשמר במאגר ללא הצדקה לפרקי זמן ארוכים.
בנסיבות בהן מגיע בעל מאגר למסקנה כי מידע מסוים השמור במאגר הוא עודף, ואינו פועל לצמצום מידע זה, התנהלות זו עשויה להוות הפרה של הוראות תקנות הגנת הפרטיות (אבטחת מידע) ובעל המאגר אף עלול להיות חשוף בגינה לתביעות אזרחיות.
במקרים ספציפיים בהם עשויה להתקיים חובה סטטוטורית לצמצום מידע עודף – כגון חובה לתקן או למחוק מידע בתנאים הקבועים בסעיף 14 לחוק הגנת הפרטיות – על הגורמים הרלוונטיים לפעול לצמצום המידע בהקדם בהתאם לקבוע בהוראות הדין.

קישור למסמך באתר הרשות להגנת הפרטיות >>>

הרשות מזמינה את הציבור להעביר לה התייחסויות והערות למסמך ולהשפעותיו עד לתאריך ה-29.04.21.

התייחסויות ניתן לשלוח לכתובת הדוא"ל [email protected] – בשורת הנושא יש לציין: "התייחסות למסמך בנושא צמצום מידע".