16 במאי 2018

ללכת על בטוח

קבלו אותן! תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, נכנסו לתוקף. מה אנחנו כעצמאים צריכים לעשות? אם יש לכם לקוחות, בטח יש לכם טבלה עם פרטי קשר של הלקוחות שלכם. בין אם זה בקובץ אקסל (פויה) או ב-google spreadsheet. האם עכשיו צריך להתייחס לזה כמאגר מידע לכל דבר?

ובכן, תקנות הגנת הפרטיות חלות על כל מאגר מידע כהגדרתו בסעיף 7 לחוק הגנת הפרטיות. חסכתי לכם את הטרחה, והנה ההגדרה הרשמית של מאגר מידע:

אוסף של נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט – 
(1)   אוסף לשימוש אישי שאינו למטרות עסק; או
(2)   אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף; 
"מידע" - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;

אם אתם מקפידים לשמור רק שם, מען ודרכי התקשרות (מייל, טלפון וכו'), אתם לא צריכים לעשות כלום. כמובן, אל תסמכו עלי, כי אני לא משפטן, ותעשו את הבדיקה בעצמכם. אני יכול להגיד על עצמי שאני לא אוסף על הלקוחות שלי מידע רגיש, כמו אישיותו של אדם (אם הוא נחמד או לא) וצנעת אישותו (העדפותיו המיניות). אני גם לא מתעד את הדעות והאמונות שלהם, או את מצבם הבריאותי ומצבם הכלכלי. כן יצא לי להוסיף לחלק מהלקוחות שלי את התואר פרופ' או ד"ר, שיש בכך כדי לציין את הכשרתם המקצועית, וגם לפעמים ציינתי קשרים משפחתיים.

אמנם אם אתם שומרים רק את השם והטלפון של הלקוח זה לא מאגר מידע, אבל אם נגיד שמרתם מישהי שהתקשרה אליכם בתור "מלכה, אשתו של יוסי" - שמרתם מידע שנוגע למעמדו האישי של אדם. מסתבר שגם מידע דמוגראפי (למשל, גיל או מספר ילדים) הוא חלק ממעמדו האישי של אדם. אם אתם אוספים תאריכי לידה של לקוחות, כדי לשלוח להם צ'ופר ליומולדת, תדעו שזה מידע שצריך לאבטח. גם מספר תעודת זהות, למשל. בקיצור, אל תאספו נתונים כאלה, אלא אם הם חיוניים לעסק שלכם.

טיפ 1: במקום לשמור תאריכים של ימי הולדת, שמרו רק את המזל האסטרולוגי, ושלחו את הצ'ופר בבת אחת לכל הלקוחות שנולדו באותו מזל. טיפ 2: במקום מספר תעודת זהות, מספרו את הלקוחות במיספור פנימי לצורך זיהוי. זו דרך טובה להימנע מאיסוף של מידע רגיש שיכול לחשוף אתכם לאחריות פלילית במקרה של פריצה למאגר המידע שברשותכם.

קראתי את התקנות החדשות אבל לא עד הסוף הבנתי אם אני מחויב להן. באתר של הרשות להגנת הפרטיות פורסם מדריך שנכתב במיוחד לעצמאים ולעסקים קטנים. הוא היה מאוד מאיר עיניים, אבל עדיין לא הבנתי ממנו אם אני חייב לעשות משהו על פי חוק. בכל מקרה, החלטתי ללכת על בטוח.

אז אני עצמאי שרוצה לאבטח את מאגר המידע שלו (ולא משנה אם אני חייב לעשות זאת או לא) - מה עושים? המאגר שיש לי מוגדר כמאגר המנוהל בידי יחיד: "זהו מאגר מידע שמנהל יחיד בעצמו או תאגיד בבעלות יחיד ("חברת אני"), ואשר הגישה למידע שבו מותרת רק לאותו יחיד ולכל היותר לעוד שני בעלי הרשאה נוספים".

התקנות שחלות על מאגר המנוהל בידי יחיד:

תקנה 2 - מסמך הגדרות המאגר
צריך לכתוב מסמך שמגדיר את מטרת השימוש במאגר, את סוג המידע שנאסף ועוד. יש תבנית באתר הרשות להגנת הפרטיות > מסמך הגדרות המאגר

תקנה 6(א) - אבטחה פיזית סביבתית
אם אתם שומרים את מאגר הנתונים שלכם במחשב האישי, שנמצא לרוב בבית, ולבית שלכם יש דלת עם מנעול, זה כנראה מספיק טוב.

תקנה 9(א) - זיהוי ואימות
אם אתם היחידים שמשתמשים במאגר, וכדי להיכנס אליו אתם צריכים להכניס סיסמא, אז אין בעיה. אם יש עוד אנשים (מקסימום שניים) שיכולים להיכנס למאגר, ודאו שיש להם סיסמא משלהם, ושלא כולם משתמשים באותה סיסמא.

תקנה 11(א) -  תיעוד של אירועי אבטחה
פרצו לכם הביתה ונגנב המחשב עם המאגר? פרצו לכם לחשבון גוגל דרייב או דרופבוקס שבו שמור המאגר? יש לתעד את האירוע בתיעוד פנימי של העסק (לא צריך לדווח עליו לרשויות).

תקנה 12 - התקנים ניידים
המלצה שלי - אל תעבירו את המידע בהתקנים ניידים. יש אינטרנט. אם אתם מוכרחים, אז שימו לב שאתם מעתיקים אל הדיסק-און-קי רק קבצים המוגנים בסיסמא.

תקנה 13 - ניהול מאובטח ומעודכן של מערכות המאגר
תקנה 14 - אבטחת תקשורת
אם אתם משתמשים במחשב מהשנים האחרונות, עם תוכנת אנטיוירוס, ומתחברים לרשת מוגנת בסיסמא, אתם בסדר. מתחברים לרשת בבית קפה? הגדירו אותה כרשת ציבורית.

תקנה 20 - סמכויות הרשם
לא רלוונטי. אם זה יהיה רלוונטי אליכם, רשם מאגרי המידע במשרד המשפטים ירצה לדבר אתכם. אם זה קורה... אנחנו לא מכירים, כן?

מכל הדברים האלה, לא הייתי צריך לשנות כלום בהתנהלות שלי עד כה, למעט כתיבת מסמך הגדרות המאגר. כן אצטרך לעדכן אותו אם יש שינוי כלשהו. גם צריך לעבור עליו פעם בשנה, כדי לראות שהוא עדיין מתאר באופן הולם את מטרות המאגר, אז שמתי לי תזכורת לעוד שנה.


סיורים מודרכים במרכז תל אביב


ובעניין אחר - יש לי שיתוף פעולה מנצח עם מרכז קהילתי דב הוז. בשבוע שעבר הובלתי סיור בשם "בואו להזדנגף: תל אביב בירת התרבות העברית". אפשר לקרוא עוד על הסיור באתר שלי של הסיורים בתל אביב - TLVXP > בואו להזדנגף. חוץ מזה, אני ממשיך בסדרה של סיורים עם המרכז. סמנו ביומנים:

יום ראשון, 27/5 בשעה 10:00 - "שבעים לישראל- הסיפור של הקמת המדינה"
יום חמישי, 14/6 בשעה 18:00 - "בואו להזדנגף- תל אביב בירת התרבות העברית"
יום שני, 25/6 בשעה 10:00 - "נערות ריינס- הנשים שעשו את תל אביב"

מוזמנים להצטרף בעלות סמלית (15 ש"ח). הרשמה דרך המרכז הקהילתי: 03-724-7910.



Related Posts Plugin for WordPress, Blogger...