מי נושא באחריות על הגנת הפרטיות?

בקצרה

ההתפתחויות הרגולטוריות האחרונות מצביעות על החמרה בפיקוח והאכיפה בתחום הגנת הפרטיות. שלושה מקרים שפורסמו ממחישים כיצד שימוש לא תקין בהרשאות גישה הוביל לקנסות אישיים, פיטורים וחקירות פליליות. לצד המחיר האישי, הארגונים נפגעו תדמיתית, משפטית וכלכלית. העיקרון המרכזי שעולה מהמקרים הוא שהרשאת גישה אינה מקנה זכות לצפות במידע שאינו נדרש לתפקיד. האחריות להגנת פרטיות חלה על כלל הדרגים בארגון, מהדירקטוריון ועד העובדים. נדרשים צעדים מערכתיים לשיפור מודעות, בקרה וניהול הרשאות כדי לצמצם סיכונים.

ההתפתחויות הרגולטוריות האחרונות, לצד הגידול בפעולות האכיפה הננקטות על ידי הרשות להגנת הפרטיות, משקפות מגמה של החמרה והעמקת הפיקוח בתחום הגנת הפרטיות ואבטחת המידע. מגמה זו באה לידי ביטוי בהטלת אחריות אישית על עובדים ובעלי תפקידים בארגון, לרבות חשיפה לסנקציות מנהליות ואחרות, ובמקביל בהגברת החשיפה של ארגונים עצמם לסיכונים משפטיים, כלכליים ותדמיתיים.

שלושה מקרים שפורסמו לאחרונה:

א. עובדת של מרפאה פוטרה ועומדת בפני חקירה פלילית

עובדת של מרפאה פרטית עשתה שימוש בהרשאות הגישה שניתנו לה לצורך תפקידה לצרכים אישיים, כאשר ניסתה לצפות בתיק רפואי של שורד שבי ששב לישראל מתוך סקרנות ולא לצורך תפקידה.
המחיר האישי: פיטורים, חקירה פלילית, סיכון לרישום פלילי.
המחיר הארגוני: חשיפה תקשורתית שלילית, פגיעה באמון המטופלים, חקירה של הרשות להגנת הפרטיות.
לעיון בפרטי המקרה: "הסתיימה חקירה של עובדת מרפאה אשר ניסתה להיכנס לתיקו הרפואי של אחד משורדי השבי" - הרשות להגנת הפרטיות.

ב. עובדת של ביטוח לאומי נקנסה באופן ישיר בסך 75,000 ₪

מורשת גישה תשאלה את מאגר המידע של הביטוח הלאומי 15 פעמים בקשר לעניינים אישיים. הפעולות בוצעו שלא לצורך תפקידה.
לעיון בפרטי המקרה: "קנס בסך 75,000 ₪ הוטל על עובדת ביטוח לאומי לשעבר" - הרשות להגנת הפרטיות.
המחיר האישי: 75,000 ₪ קנס ישיר על העובדת ופיטורים.
המחיר הארגוני: פגיעה באמון הציבור, חקירה פנימית נרחבת, עלויות משפטיות.

ג. עובד של רשות המסים נקנס באופן ישיר ב־95,000 ₪

מורשה גישה השתמש בגישתו למאגר מידע ממשלתי כדי לחפש מידע על אנשים שלא לצורך תפקידו. העובד טען כי רצה לסייע לאנשים שונים לאתר מכרים ופרסם את תוצאות החיפוש ברשת החברתית.
לעיון בפרטי המקרה: "קנס מנהלי בסך 95 אלף ₪ הוטל על עובד מדינה שניצל גישתו למאגר מידע ממשלתי ופרסם מידע אישי בקבוצת פייסבוק" - הרשות להגנת הפרטיות.
המחיר האישי: 95,000 ₪ קנס ישיר על העובד.
המחיר הארגוני: פגיעה חמורה במוניטין רשות המסים, חקירות פנימיות, תהליכי משמעת.

המכנה המשותף

בשלושת המקרים גם העובד וגם הארגון שילמו מחיר כבד. על העובדים הוטלו קנסות אישיים, חלקם איבדו את עבודתם ואף עומדים בפני הליכים פליליים. בנוסף, הארגונים חוו פגיעה במוניטין, ירידה באמון הציבור ונשיאה בעלויות כספיות משמעותיות.

העיקרון המרכזי

מתן הרשאת גישה למידע אינו מקנה למורשה הגישה את הזכות לצפות במידע שאינו נדרש לצורך ביצוע תפקידו. כל שאילתה וכל צפייה במידע אישי חייבות להיות מוצדקות ותואמות את מטרות הארגון.

אז על מי האחריות חלה?

הגנת הפרטיות אינה תחום המוטל על גורם יחיד בארגון; היא חלה על כלל הדרגים. היקפה ומהותה משתנים בהתאם למעמד, לסמכויות ולתחומי האחריות של כל גורם: הדירקטוריון קובע ומפקח, ההנהלה מיישמת ומנהלת, והעובדים מבצעים ופועלים בהתאם לנהלים. שילוב מתואם בין כלל הדרגים מאפשר צמצום סיכונים ועמידה אפקטיבית בדרישות הרגולציה.

צעדים מומלצים

לאור ההתפתחויות האחרונות והמקרים שהוצגו לעיל, מומלץ לארגונים לשקול את הצעדים הבאים:

העלאת מודעות ארגונית - שיתוף המקרים עם כלל העובדים, במיוחד אלו בעלי הרשאות גישה למידע אישי, תוך הדגשת העיקרון כי הגישה למידע מותרת אך ורק למטרות שהוגדרו על ידי הארגון.
סקירה ועדכון של הרשאות גישה - ביצוע סקירה מקיפה של הרשאות הגישה למאגרי המידע ובהתאם, עדכונן וחידודן.
הטמעת מערכות ניטור ובקרה - הטמעת מערכות לניטור פעילות במאגרי מידע, כולל רישום מפורט של audit logs לכל שאילתה, והפעלת התראות אוטומטיות לפעילות חריגה או גישה שאינה רלוונטית לתפקיד.
הקמת מנגנון פנייה וייעוץ - הקמת ערוץ תקשורת ייעודי המאפשר למורשי גישה לפנות לקבלת הבהרות בנושאי הגנת פרטיות.

לסיכום

ההמלצות שהוצגו לעיל נועדו להגן הן על העובדים והן על הארגון. השקעה במודעות, הדרכות ובקרה אינה רק חובה רגולטורית - היא צעד הכרחי לשמירה על האינטרסים של כלל הצדדים ולצמצום חשיפה לסיכונים, לאור האחריות המשותפת בתחום הגנת הפרטיות.