סייבר, אבטחת מידע ופרטיות

קבוצת הסייבר, אבטחת מידע והגנת הפרטיות אברהם ללום ושות’ משרד עורכי דין בינלאומי.

רקע

רשימת האתגרים בעקבות התמורות והשינויים הטכנולוגיים בשני העשורים האחרונים, לא פסחה על עולם המשפט.

חוקים ותקנות בתחום הסייבר, הגנת הפרטיות ואבטחת המידע שהיו קיימים דרשו ועודם דורשים עדכון והתאמה להלך הרוח הגלובלי.

בתחומים בהם לא קיימת אסדרה חקיקתית, החלו רשויות כגון מערך הסייבר הלאומי לפעול לאסדרה.

עבירות ועוולות רבים נידונים בהתאם לחוק המחשבים והנחת היסוד שגם  בתחום יבוצעו עדכון והתאמה.

מידע אישי” ו – “מידע רגיש” העומדים בלב “הגנת הפרטיות” הפכו למעין מטבע עובר לסוחר ומשמשים כ “מטרת איכות” במתקפות סייבר רבות.

הרשות להגנת הפרטיות האמונה גם על רישום מאגרי המידע ואכיפת הרגולציה מבצעת פיקוחי רוחב, אכיפה מנהלית, הטלת קנסות ואף ממליצה על הגשת כתבי אישום.

הזכות לפרטיות מעוגנת בישראל במסגרת חוק יסוד: כבוד האדם וחירותו, ולפיכך לזכות לפרטיות מעמד של זכות חוקתית.

בישראל, מאז 1981, קיים חוק הגנת הפרטיות הכולל בין היתר פרק העוסק בתחום פרטיות באבטחת מידע.

יוצא איפה שבנוסף להגדרות של מהי פרטיות, מהו מידע, מאגר מידע, מידע אישי ומידע רגיש  החוק מתייחס לפרטיות שבמידע, קרי הפרטיות שבנתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו.

בשנת 2017, הותקנו תקנות הגנת הפרטיות (אבטחת מידע) ותקנות אלו שנכנסו לתוקפן במאי 2018 באופן מאוד סימבולי עם התקנות הנהוגות באיחוד האירופי, ה- GDPR, מגדירות לכל מי שאוחז במאגר/י מידע כהגדרתו בחוק את החובות החלות עליו.

אי ציות לחובות הללו חושף את בית העסק ומנהליו, את הארגון, הרשות המקומית וכיוצ”ב לביקורת ואכיפה של הרגולטורים השונים, לחולשות בפני מתקפות סייבר, ולתביעות ותובענות מצד גורמים שונים בארץ ובחו”ל.

 

עו”ד יעקב עוזשותף המוביל במשרדנו את קבוצת הסייבר, אבטחת מידע והגנת הפרטיות.

עו”ד עוז הינו מעורכי הדין המובילים בתחום הסייבר, אבטחת מידע והגנת הפרטיות והינו בעל ניסיון עשיר כמייצג וכיועץ רגולציה לארגונים, חברות, עסקים ורשויות מקומיות המנהלים ומחזיקים “במידע רגיש” כהגדרתו בחוק ותקנות הגנת הפרטיות. עו”ד עוז הינו מרצה בעל שם והרצאותיו נשמעות הן בארגונים, חברות פרטיות, משרדי ממשלה וגופים יציגים והן כמנהל אקדמי בלשכת עורכי הדין  בקורסי הגנת הפרטיות הנוהגים בארץ ובחו”ל.

 

השירותים המשפטיים

השירותים המשפטיים אותם קבוצת הסייבר, אבטחת מידע והגנת הפרטיות של משרדנו מעניקה ללקוחותיה כוללים בין היתר:

  • הגשה וניהול תובענות ייצוגיות

  • ליטיגציה.

  • ייצוג בהליכים מול הרשות להגנות הפרטיות.

  •  כתיבת חוו”ד.

  •   עריכת תקנון שימוש ומדיניות פרטיות לאתרי אינטרנט ורשתות חברתיות.

שו"ת בתחום הסייבר

ש: האם בישראל קיים חוק סייבר?

ת: לא, בישראל פועל מערך הסייבר הלאומי שהוקם בהחלטת ממשלה.

המערך הוא גוף ממלכתי, ביטחוני וטכנולוגי האמון על הגנת מרחב הסייבר הלאומי ועל קידום וביסוס עוצמתה של ישראל בתחום. המערך פועל ברמת המדינה לחיזוק תמידי של רמת ההגנה של הארגונים והאזרחים, לטיפול בתקיפות סייבר ולסילוקן ולהיערכות לחירום. כחלק מתפקידיו, מקדם המערך פתרונות חדשניים וטכנולוגיות צופות פני עתיד, מתווה אסטרטגיה ומדיניות בזירות הלאומית והבין-לאומית, ומפתח את ההון האנושי בתחום. המערך חותר לקיום מרחב סייבר מוגן, בטוח וחופשי עבור כלל האזרחים, המאפשר את צמיחתה ואת ביסוס עוצמתה של מדינת ישראל.

ש: האם מערך הסייבר רשאי להיכנס למערכות ומידע שאינו ממשלתי

ת: בשנת 2018 המערך הגיש את תזכיר חוק הגנת הסייבר ומערך הסייבר הלאומי, התשע”ח-וזכה  לתגובות רבות מן הארץ ומן העולם.

בחודש מרץ 2021 בוצי ניסיון נוסף להגיש את החוק כהוראת שעה וגם מהלך זה נתקל בקושי.

(גילוי נאות: עו”ד יעקב עוז עמד בראש צוות תגובה להצעה זו)

בהוראת שעה זו, שנתבקשה למשך שנתיים מבקש מערך הסייבר הלאומי סמכויות לאלה שנתבקשו בהצעת החוק, סמכויות רחבות שתכליתן “התערבות” במצב של סכנה ממשית למתקפת סייבר גם בארגונים שאינם ממשלתיים.

ש: מה ניתן לעשות מבחינה משפטית שמזהים מתקפת סייבר על הארגון?

ת: בכל ארגון צריך שיהיו נהלים ברורים של סדר הפעולות במקרה של מתקפת סייבר.  בין יתר הפעולות ארגונים רבים כוללים גם נוהל הודעה לרשויות החרום כגון: משטרת ישראל, מערך הסייבר הלאומי, הרשות להגנת פרטיות*

* ישנם ארגונים שלהם מאגר מידע המחייבים דיווח לרשות להגנת הפרטיות שרשאית להיוועץ עם מערך הסייבר הלאומי.

ש: האם עו"ד יכול לנהל מו"מ עם תוקפי סייבר?

ת: ישנם ארגונים שבמסגרת נהלי הגנת הסייבר שלהם , שוכרים את שרותיו של “צוות התערבות” הכולל גם עורך דין העוסק בתחום זה.

ש: האם בית העסק/הארגון שלי חשוף לתביעה בעקבות מתקפת סייבר?

ת: ככל והארגון לא קיים הוראה חקוקה וגרם לנזק לצד שלישי כלשהו, ניתן להגיש תביעת נזיקין, תובענה ייצוגית במידה וניתן לזהות קבוצה נפגעת בכפוף לחוק תובענות ייצוגיות וניתן גם להגיש תלונה במשטרת ישראל שרשאית לפתוח בחקירה במקרה של חשד לביצוע עבירה פלילית.

שו"ת בתחום אבטחת מידע והגנת הפרטיות

ש: האם חוק הגנת הפרטיות הוא חוק אזרחי או פלילי?

ת: חוק הגנת הפרטיות, התשמ”א – 1981 הינו חוק הכולל סעיף (4) שהמפר אותו יחשב כמעוול בנזיקין – אזרחי.

וסעיף (5) שהעובר עליו עובר עבירה פלילית.

ש: האם ניתן לקבל פיצויים לפי חוק הגנת הפרטיות?

ת: סעיף 29א’ קובע כי בית המשפט רשאי לחייב את הנתבע לשלם לנפגע פיצוי שלא יעלה על 50,000 שקלים חדשים, בלא הוכחת נזק.

ואם הוכח כי הפגיעה בפרטיות נעשתה בכוונה לפגוע, רשאי בית המשפט לחייב את הנתבע לשלם לנפגע פיצוי שלא יעלה על כפל הסכום כאמור באותה פסקה, בלא הוכחת נזק.

ש: מה נחשב כפגיעה בפרטיות?

ת: סעיף 2 בחוק הגנת הפרטיות מונה 11 סעיפים קטנים המגדירים פגיעה בפרטיות:

(1) בילוש או התחקות אחרי אדם, העלולים להטרידו, או הטרדה אחרת;

(2)   האזנה האסורה על פי חוק;

(3)   צילום אדם כשהוא ברשות היחיד;

(4)   פרסום תצלומו של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו;

(4א) פרסום תצלומו של נפגע ברבים שצולם בזמן הפגיעה או סמוך לאחריה באופן שניתן לזהותו ובנסיבות שבהן עלול הפרסום להביאו במבוכה, למעט פרסום תצלום בלא השהיות בין רגע הצילום לרגע השידור בפועל שאינו חורג מהסביר באותן נסיבות; לעניין זה, “נפגע” – מי שסבל מפגיעה גופנית או נפשית עקב אירוע פתאומי ושפגיעתו ניכרת לעין;

(5)   העתקת תוכן של מכתב או כתב אחר שלא נועד לפרסום, או שימוש בתכנו, בלי רשות מאת הנמען או הכותב, והכל אם אין הכתב בעל ערך היסטורי ולא עברו חמש עשרה שנים ממועד כתיבתו; לענין זה, “כתב” – לרבות מסר אלקטרוני כהגדרתו בחוק חתימה אלקטרונית, התשס”א-2001;

(6)   שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם ריווח;

(7)   הפרה של חובת סודיות שנקבעה בדין לגבי עניניו הפרטיים של אדם;

(8)   הפרה של חובת סודיות לגבי עניניו הפרטיים של אדם, שנקבעה בהסכם מפורש או משתמע;

(9)   שימוש בידיעה על עניניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה;

(10)  פרסומו או מסירתו של דבר שהושג בדרך פגיעה בפרטיות לפי פסקאות (1) עד
(7) או (9);

(11)  פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.

ש: האם צריך לקבל את הסכמתי לפני שמצרפים אותי למאגר מידע?

ת: כן, אלא אם זוהי חובה על פי חוק, וגם אז חייבים למסור לך את המטרה לשמה נאספו פרטים אודותיך ולמי המידע יועבר.

ש: האם יש לי זכות עיון במידע המוחזק אודותי?

ת: כן, כל מי שמופיע במאגר מידע (למעט חריגים, רשויות ביטחון וכו’) רשאי לעיין במידע אודותיו וגם לבקש לתקנו?

ש: האם ניתן להגיש תביעה נגד אם בעל מאגר מידע שמסרב?

ת: כן.

שו"ת כלליות בתחום הגנת הפרטיות

ש: על אילו מאגרי מידע חלות התקנות? מה הדין לגבי מידע המגיע ממקור פומבי המצוי בנחלת הכלל?

ת: התקנות חלות על כלל מאגרי המידע העונים על הגדרת “מאגר מידע” בסעיף 7 לחוק הגנת הפרטיות, בכלל זה מאגרים שהמידע שבהם נאסף ממקורות פומביים.

ש:מיהו הגוף שעתיד לפקח על מילוי הוראות תקנות אבטחת מידע והאם ניתן להטיל סנקציות בגין הפרתן?

ת: הרשות להגנת הפרטיות מפקחת על מילוי הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, לרבות תקנות אבטחת מידע. הפרת התקנות עלולה להביא להטלת סנקציה מצד הרשות, לרבות ביטול אישור ניהול המאגר (רישומו בפנקס המאגרים) ופרסום ההפרה לציבור. כמו כן, עלולה ההפרה להיות בסיס לתביעות אזרחיות, ייצוגיות ואחרות.

ש: האם עמידה בדרישות התקנות בישראל מקיימת גם את דרישות ה- GDPR רגולציית הגנת הפרטיות האירופאית?

ת: עמידה בתקנות אבטחת מידע אינה מהווה בהכרח עמידה בדרישות ה-GDPR. לעניין הדין הזר, יש לקבל ייעוץ מקצועי ממומחה הבקיא בנושא

ש: האם סטודנט שיש לו גישה לפורטל סטודנטים של מוסד אקדמי, המאפשר לו לצפות בנתוניו בלבד (כגון: ציונים, תשלומים וכו') נחשב בעל הרשאה לעניין סיווג רמת המאגר?

ת: הסטודנט הוא נושא המידע, והגישה שניתנת לו מוגבלת לצפייה במידע האישי על אודותיו בלבד. נושא מידע כזה לא ייחשב לבעל הרשאה במובן התקנות, משום שככלל, יכולתו של אותו סטודנט לצפות במידע על אודותיו בלבד והרשאות הגישה המצומצמות המוקנות לו יוצרות סיכוני אבטחה מופחתים בהשוואה לעובד פנימי של הארגון

ש: האם קבצי אקסל עם פרטי עובדים נחשבים למאגר מידע?

ת: ככלל, קבצי אקסל עם פרטי מידע אישי אודות עובדים הינם בגדר מאגר מידע

ש: האם כמות בעלי הרשאה שמשפיעה על היות המאגר ברמה גבוהה, מתייחסת למשתמשים פנימיים של הארגון או גם למשתמשים חיצוניים שבדרך כלל יש להם גישה רק לנתונים של עצמם ולא של כלל המאגר?

ת: בעל הרשאה יחשב לכזה אשר יש לו גישה למידע במסגרת פעילותו בארגון, ללא תלות במתכונת המשפטית של העסקתו. נושא מידע שניתנה לו גישה מוגבלת לצפייה במידע האישי על אודותיו בלבד לא ייחשב לבעל הרשאה במובן התקנות, משום שככלל, יכולתו של אותו נושא מידע לצפות במידע על אודותיו בלבד, לא תפגע בפרטיות במובן השליטה של אדם במידע על אודותיו, ואף תתרום לה. התקנות מבחינות לעניין רמת אבטחה גבוהה בין בעל הרשאה לבין מידע על אנשים, אם למשל מספר בעלי ההרשאה עולה על 100 או המידע במאגר הוא על יותר מ-100,000 אנשים וקיים מידע מהסוג המנוי בסעיף 1(3) אזי תחול רמת אבטחה גבוהה. כאשר בוחנים את מספר נושאי המידע במאגר, כמובן כל אדם שיש עליו מידע גם אם אין לו כלל הרשאה לצפות בו יחשב למניין מידע על אנשים.

שאלות בנושא תיעוד אירועי אבטחה

ש: האם חובת הדיווח לרשם במקרה שאירע "אירוע אבטחה חמור" חלה על המחזיק במאגר, או שהחובה חלה רק על בעל המאגר (תקנה 11ד(1))?

ת: החובה חלה גם על המחזיק. תקנה 19(א) קובעת, כי החובות החלות בתקנות אלה על בעל מאגר מידע, יחולו גם על מנהל המאגר ולמעט החובות הקבועות בתקנות 2 ו-15(א)- יחולו גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין. תקנה 15(א)(2)(ה) קובעת שבעל מאגר יקבע בהסכם עם המחזיק את אופן יישום חובותיו לעניין התקנות, ובהסכם זה יכול בעל המאגר להגדיר שהמחזיק ימלא אחר חובת דיווח זו גם עבור בעל המאגר.

ש: עוד באותו נושא- תקנה 11ד(1) קובעת, כי במידה ומתרחש אירוע אבטחה חמור, בעל המאגר יודיע על כך לרשם באופן מיידי. האם נקבע פרק זמן שבמהלכו יש להודיע על קרות האירוע?

הכוונה במונח “באופן מיידי” היא שנדרש למסור את ההודעה בסמוך ככל האפשר למועד הגילוי וללא דיחוי בנסיבות העניין. הרשות עשויה לפרסם הוראות מדויקות יותר לגבי זמן המענה, אך ככלל, יש לקיים את חובת הדיווח תוך 24 שעות ממועד גילויו של אירוע האבטחה, ולא יאוחר מ-72 שעות מאותו מועד.

ש: תקנה 11(ד)(2) קובעת, כי הרשם רשאי להורות לבעל מאגר המידע להודיע על אירוע האבטחה לנפגעים. איזה קריטריונים יילקחו בחשבון במסגרת החלטת הרשם?

ת: החלטת רשם מאגרי המידע בדבר יידוע הנפגעים הפוטנציאליים מהאירוע, תיבחן בכל מקרה לגופו תוך איזון שיקולים כגון: הסתברות גבוהה לכך שהאירוע יישא השלכות שליליות לגבי המידע האישי או הפרטיות של נושאי המידע, הסיכוי שאירוע אבטחה יוביל לגניבת זהות, למעשי הונאה, לנזק פיזי או נפשי או לפגיעה בשם הטוב, יעילות וחשיבות היערכות נושאי המידע כאמצעי להקטנת הנזק ועוד. למשל, במקרה שתתגלה חדירה למאגר מידע שהכניסה אליו היא באמצעות שם משתמש וסיסמא, יתכן שהרשם ימצא לנכון להורות על יידוע הלקוחות, על מנת שיוכלו לשנות את הסיסמאות שלהם ולהקטין את הנזק.

ש: תקנה 11(ד)(2) קובעת, כי הרשם רשאי להורות לבעל מאגר המידע להודיע על אירוע האבטחה לנפגעים. איזה קריטריונים יילקחו בחשבון במסגרת החלטת הרשם?

ת: החלטת רשם מאגרי המידע בדבר יידוע הנפגעים הפוטנציאליים מהאירוע, תיבחן בכל מקרה לגופו תוך איזון שיקולים כגון: הסתברות גבוהה לכך שהאירוע יישא השלכות שליליות לגבי המידע האישי או הפרטיות של נושאי המידע, הסיכוי שאירוע אבטחה יוביל לגניבת זהות, למעשי הונאה, לנזק פיזי או נפשי או לפגיעה בשם הטוב, יעילות וחשיבות היערכות נושאי המידע כאמצעי להקטנת הנזק ועוד. למשל, במקרה שתתגלה חדירה למאגר מידע שהכניסה אליו היא באמצעות שם משתמש וסיסמא, יתכן שהרשם ימצא לנכון להורות על יידוע הלקוחות, על מנת שיוכלו לשנות את הסיסמאות שלהם ולהקטין את הנזק.

שו"ת בנושא חובות בעל מאגר מידע, מנהל המאגר והמחזיק בו

ש: כיצד רואה הרשות את חלוקת האחריות על אבטחת המידע שבמאגר ודיווח על אירועי אבטחה בין בעל המאגר לבין המחזיק?

ת: סעיף 17 לחוק קובע שבעל המאגר, המחזיק או מנהל המאגר “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”. תקנה 19(ב) לתקנות מחילה את מרבית חובותיו של בעל המאגר לפי התקנות “גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין”. על רקע זה, עמדת המחוקק והרשות היא שבעל המאגר והמחזיק נושאים ביחד ולחוד באחריות לאבטחת המאגר, כאשר את חלוקת התפקידים ביניהם לביצוע בפועל של החובות המפורטות בתקנות יש לקבוע במפורש בהסכם ביניהם, בהתאם לתקנה 15(2) שעוסקת בתנאים להתקשרות של בעל המאגר עם גורם חיצוני לצורך קבלת שירות שכרוך במתן גישה למאגר המידע

ש: האם בעל המאגר מחויב למנות מנהל מאגר?

ת: החוק והתקנות לא מחייבים מינוי מנהל מאגר. יחד עם זאת, מנכ”ל החברה הוא האחראי למילוי החובות שמוטלות בחוק על מנהל המאגר, לרבות חובת אבטחת המידע, ויישא באחריות המוטלת עליו. נזכיר, כי ס’ 17 לחוק קובע, כי בעל מאגר מידע, מחזיק במאגר או מנהל מאגר, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע.

ש: מיהו גורם בעל הכשרה מתאימה לעריכת ביקורת פנימית או חיצונית?

ת: רמת המומחיות הנדרשת חייבת להיות תואמת את הרגישות, המורכבות והיקף הנתונים שבידי הארגון, בהתאם למקובל מקצועית. לדוגמה, כאשר פעילות הארגון מורכבת במיוחד ונגזרות ממנה מערכות מידע מורכבות, הכשרה מתאימה ראוי שתממש רמה גבוהה יותר של מומחיות וניסיון מקצועי. היקף המיומנות נגזר מגודל המשימה. לגופו של עניין, הכשרה מתאימה ראוי שתכלול גם שליטה בדרישות החוק והתקנות בישראל לעניין הגנת הפרטיות ואבטחת המידע, היכרות עם האופי העסקי של המגזר בו הלקוח פועל, ובהשלכה של זה על מערכות המידע, ניסיון והכשרה במערכות מידע, ובפרט ביישום אבטחת מידע. ההכשרה והניסיון בנושאים אלו יהיו בהתאמה לרגישות המידע ומורכבות המערכות באופן שיאפשר לאדם לבצע את תפקידו לבחון נוהלים, להעריך סיכונים, לזהות ליקויים, ולהציע אמצעים לתיקונם.

ש: האם קיימת רשימה של בודקים חיצוניים שהוסכמו על-ידי הרשות להגנת הפרטיות לצורך ביקורת כאמור בהוראה?

ת: הרשות להגנת הפרטיות איננה מסמיכה גורמים מקצועיים בתחום אבטחת מידע. במידה ולא קיים אדם בעל הכשרה מתאימה בארגון, גורמים כגון אלו קיימים בשוק וניתן לשכור את שרותיהם

ש: מה פירוש "מנגנוני הצפנה מקובלים"?

ההצפנה מקובלת” נחשבת ככזאת תחת קונצנזוס מקצועי של מומחי אבטחה, אך עשויה להיות לא רלוונטית או חלשה בעתיד, באופן שיישום שלה לא יספק רמה נאותה של הגנה. אבטחת מידע הנה תהליך מתמשך ולא חד פעמי, ולכן, את ההחלטה בבחירת מנגנון ההצפנה הרלוונטי יש לתעד ולעדכן במידת הצורך בהתאם לקונצנזוס המקצועי באותה עת. בעת בחירת מנגנון הצפנה יש לבחון את איכות המנגנון והיישום הנכון של ההצפנה המוצעת. יישום נכון מחייב להבין מהי רמת ההגנה הנדרשת בהתאמה לסיכונים. על בעל מאגר להכיר את אופן הפעלת ההצפנה, לדוגמה, ייתכן שמכשיר כלשהו מוצפן במצב כבוי, אבל לא בזמן במצב הפעלה. ישנם מוצרים עם “מפתחות ברירת המחדל” אותם נדרש לשנות מיד בשלב ההתקנה. בעל מאגר נדרש ליישם אמצעי הגנה מתאימים בשים לב לסיכונים. הצפנת מידע אישי במאגר הוא אחד מבין אמצעי ההגנה החשובים המעידים על האופן בו מקיים בעל המאגר את חובותיו לאבטחת המידע האישי. כך למשל, מנגנון הצפנה יחשב גם לאמצעי הגנה סביר למידע אישי שהועתק להתקן נייד.

להתייעצות ראשונית

jacob@lalumlaw.co.il

052-7700359