© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

בעלי מאגרי מידע? אתם אחראים גם לפעולות שמתבצעות ע"י צדדים שלישיים

הפריצה של Black Shadow לחברת Cyberserve שפורסמה לפני מספר ימים, אשר תוצאותיה, נכון לעת הזו, הן הדלפת מאגר הכולל למעלה מ-800,000 רשומות אודות בני אדם שונים, לצד מאגרים נוספים שנחשפו, מעלה שאלות חשובות הנוגעות ליחסים בין בעלי מאגרי מידע לבין הגורמים שעימם הם מתקשרים ומקבלים שירותים שונים הנוגעים לפעילות העסקית ואגב כך נוגעות במידע שלהם.

 

המציאות היא שפעולות עיבוד מידע מחייבות, ברוב המקרים, שימוש בצדדים שלישיים לצורך ביצוע הפעולות עצמן. בין אם מדובר בשירותי אחסון – ענן או חוות שרתים אחרות או בשירותי דיוור ללקוחות, שימוש בכלים כמו מערכת CRM מבוססת ענן או הטמעה של שירותי תשלום בעמוד אינטרנט, כל אלה שירותים הכוללים עיבוד מידע על-ידי צד שלישי.

 

מיקור חוץ או שימוש בצד שלישי לעיבוד מידע מוסדרים בדין. תקנות הגנת הפרטיות (אבטחת מידע),  מטילות מספר חובות על בעלי מאגרי מידע, בעת התקשרות עם גורם חיצוני לצורך קבלת שירות, כאשר קבלת השירות כרוכה במתן גישה למאגר המידע.

 

חובות אלה אינן מעטות והן משמעותיות מאוד.

 

טרם ביצוע ההתקשרות, על בעל המאגר לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה ראוי.

 

ההתקשרות צריכה להיעשות באמצעות הסכם בין בעל המאגר לגורם החיצוני, אשר ייקבעו בו במפורש:

  • המידע שהגורם החיצוני רשאי לעבד;
  • מטרות השימוש המותרות במידע לצורכי ההתקשרות;
  • אילו מערכות במאגר הגורם החיצוני רשאי לגשת;
  • סוג העיבוד או הפעולות שהגורם החיצוני רשאי לעשות
  • כיצד המידע יושב לבעל המאגר בסיום ההתקשרות
  • סוגיית השמדת המידע מרשותו של הגורם החיצוני

ועוד פרטים נוספים אשר חייבים להיכלל בהסכם באופן מפורש.

 

בנוסף חלות על בעל מאגר המידע חובות גם בהמשך ההתקשרות, כגון עריכת ביקורות תקופתיות ובקרה על תיקון ליקויים שמתגלים. מדובר בתהליכי בחינה ובקרה מתמשכים ותמידיים להם נדרש בעל מאגר המשתמש בשירותים של צדדים שלישיים.

 

במילים אחרות, האחריות כלפי נושאי המידע נשארת אצל בעל מאגר המידע. האחריות להבטיח טיפול נאות בסיכוני אבטחת המידע נופלת על כתפיו של בעל המאגר, גם בהתקשרות עם גורמים חיצוניים, ואין בעובדה שמדובר במיקור חוץ כדי להסיר מעליו אחריות זו, גם במקרים של אירועי אבטחת מידע, כדוגמת הפריצה ל-Cyberserve.

 

לכן, גם כאשר שירותי מיקור החוץ נרכשים און-ליין במסגרת חוזה אחיד אינטרנטי, או כאשר הם נרכשים מתאגידים בינלאומיים, בעל המאגר לא יוצא לידי חובתו מבלי שבדק את הנושאים הנוגעים לאבטחת מידע.

 

חובות דומות ואף רחבות יותר קיימות גם בתקנות הגנת הפרטיות האירופאיות ה-GDPR וכאשר מדובר בפעילות בינלאומית אופן ההסדרה החוזי מחייב התייחסות גם להיבטים אלה של הפעילות.

 

עריכת הסכם נדרשת גם כאשר קיימת קרבה תאגידית בין בעל מאגר המידע ובין הגורם החיצוני שאחראי על פעולות עיבוד המידע. לדוגמה, גם כאשר מדובר בחברת אם וחברה בת, נדרשת הסדרה מתאימה במסגרת הסכם בין חברתי.

 

אנו עומדים לרשותכם בכל הנוגע לייעוץ בנושאי מאגרי מידע ופרטיות ונשמח לסייע לכם. לפרטים נוספים, הקליקו כאן

תגיות: הגנת פרטיות | מאגרי מידע | סייבר